文章总结: 本文指出上海企业等保定级常见错误,强调定级需依据GB/T22240-2020标准,通过受侵害客体与侵害程度矩阵计算,而非随意选择。定级对象应为完整业务系统,云上租户侧和数据资源需独立定级。需从业务信息安全和系统服务安全双维度评估取高值,二级及以上必须经专家评审和备案。正确定级是合规基础,避免后续整改风险。 综合评分: 87 文章分类: 安全建设,技术标准,政策法规,数据安全,应用安全
上海企业等保定级,为什么多数人的”第一级”一开始就定错了
保保顾问 保保顾问
上海等保测评
2026年7月14日 20:15 上海
在小说阅读器读本章
去阅读
去年底,浦东一家做 SaaS 的创业公司来问我们:”我们系统很简单,按等保定了第一级,自己备案了,应该没事吧?”我们看了它的业务——上面跑着几十家客户的合同、发票和员工信息。按定级方法,这恰恰不应该是一级。
很多企业把”定级”理解成”给系统选个数字”,备案时随手写个一级或二级就交了。等到公安抽查、等保测评或者监管检查,才发现定级结论站不住,要么被责令重新定级,要么一开始就埋下合规瑕疵。定级是整个等保工作的第一颗扣子,扣错了,后面全歪。
一、定级不是选个数,是两张表的乘积
国家标准《网络安全等级保护定级指南》GB/T 22240-2020 把定级拆成两个要素:受侵害的客体,以及对客体的侵害程度(标准 4.2)。客体分三档——公民/法人/其他组织的合法权益、社会秩序和公共利益、国家安全;侵害程度分三档——一般损害、严重损害、特别严重损害。
把”客体”和”程度”交叉,就得到一张总定级矩阵(标准 4.3 表1):合法权益被一般损害是一级,合法权益严重损害或公共利益一般损害是二级,公共利益严重损害是三级,公共利益特别严重或国家安全严重是四级,国家安全特别严重是五级。
说人话就是:你的系统被攻破,伤的到底是”几家客户的权益”,还是”公共利益甚至国家安全”?伤得轻还是重?这两个问题的答案相乘,才是等级。很多上海企业一上来就写”一级”,是因为只看见了”我们公司自己的系统”,没去想”系统里跑着谁的数据、出事会影响多少人”。
二、定级对象划错,后面全错
定级之前,先得确认”定什么”。标准 5.1.1 给了一个常被忽视的禁忌:不能把单台服务器、终端或网络设备当成定级对象,定级对象必须是”承载相对独立业务应用”的信息系统,且有确定的主要安全责任主体。
我们见过最典型的错误,是把机房里一台应用服务器单独定个级、把一台数据库单独定个级,结果一个真实业务被切成七八块,每块都定得偏低。正确做法是把一个完整业务系统作为整体来定。
云计算把这个事又复杂了一层。标准 5.1.2 明确:云服务客户侧的业务系统,和云服务商侧的云计算平台/系统,要分别单独定级。也就是说,你上了阿里云、腾讯云,云平台的等保是云厂商自己的事,但你租户侧那个业务系统,等级由你自己的业务决定——这正好解释了为什么”系统上了云,等保不能甩给云厂商”。
还有一类容易被漏掉的:数据资源。标准 5.3 规定数据资源可以独立定级,尤其当安全责任主体不同、或者涉及大量个人信息时,数据本身就可能要单独定级。在《个人信息保护法》《数据安全法》已经落地的今天,这一点对上海的互联网、医疗、金融企业尤其重要。
三、一个系统,要算两个维度
很多人不知道,定级其实要算两遍。标准 6.1 规定,定级对象的安全要同时从”业务信息安全”和”系统服务安全”两个角度去定:业务信息被破坏时侵害谁、伤多重;系统服务被破坏(也就是系统宕机、用不了)时侵害谁、伤多重。两个角度各自出一张矩阵表(标准 6.4 表2 业务信息、表3 系统服务),最后取较高者,作为这个系统的安全保护等级。
为什么这么设计?举上海某区挂号系统的例子:它存着大量患者就诊信息,数据很敏感(业务信息安全维度容易到三级),但真宕机了,影响的是挂号效率,范围可控(系统服务安全维度可能只是二级)。最终等级取高,按三级建设。如果只从一个维度拍脑袋,要么建设不足、要么过度投入。
四、定级有闭环,不是一次定终身
定完级不是结束。标准 4.4 给了一条完整流程:确定定级对象 → 初步确定等级 → 专家评审 → 主管部门核准 → 备案审核。这里有个关键放宽:初步确定为第一级的,网络运营者可以自行确定最终等级,不走专家评审和备案;但二级及以上,必须组织专家评审、主管部门核准、最后公安备案审核,闭环才算完成。
所以”一级免备案”是真实存在的,但它只适用于真正简单、影响小的系统。把本该二级的系统硬定成一级来”省事”,本质是跳过了法定程序,风险全留给了自己。
定级还讲究”变更”。标准第8章规定,当系统处理的业务信息或系统服务范围发生变化,导致受侵害客体和程度可能变化时,要重新定级。系统迁移上云、业务大幅扩展、数据量级跃升,都可能触发重定级。我们服务过的一家上海制造企业,原来本地 ERP 定的是二级,后来接入了供应链金融、上了公有云,重新评估后定到了三级——这不是折腾,是合规的应有之义。
总结
定级是等保的源头,核心就三句话:对象要划对(按业务系统整体,不是按设备);等级要算对(客体×程度双维度取高);流程要闭环(二级及以上必须走专家评审、核准、备案)。上海企业尤其要注意云上租户侧独立定级、数据资源独立定级这两个新场景,别让”随手定的一级”变成日后被责令整改的隐患。
如果你拿不准自己系统该定几级、定级对象和边界怎么划,我们整理了一份《等保定级备案自查清单(企业版)》,按 GB/T 22240-2020 的定级要素和流程逐条列了核查点,可以照着先自查一遍。
长按识别二维码加保保顾问微信,备注”定级自查”领取清单;手机号同号:18121180886。本机构也可为你做一次免费的定级边界梳理。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:上海等保测评 保保顾问 保保顾问《上海企业等保定级,为什么多数人的”第一级”一开始就定错了》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论