很多企业负责人、行政或业务主管会觉得 “等保是 IT 部门的事，全是技术术语，自己插不上手”。但实际上，等保 2.0 不仅是技术工作，更是关系企业合规、业务合作和数据安全的关键任务。本文基于 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》，用 “少术语、讲干货” 的方式，拆解等保的核心要求、必须做的原因和一步步落地的方法，让非技术人士也能理清逻辑、推进合规。

一、先搞懂：等保 2.0 到底是什么？核心是 “按系统重要性配防护”

等保 2.0 不是 “一张证书”，而是国家制定的网络安全标准 —— 简单说，就是根据企业系统的 “重要程度”，要求配备对应的安全措施，避免 “小系统浪费资源、重要系统防护不足”。

它把企业系统分成 5 个等级，普通企业常用前 3 级，关键看 “系统存什么数据、影响多少人”：

一级（自主保护级）针对仅存储公告、通知等非敏感数据、且仅影响少数人的系统，像企业内部通知系统、不收集用户信息的简单个人官网，这类系统只需自主做好基础防护（如设置密码），无需外部监督；

二级（指导保护级）适用于存储手机号、邮箱等普通敏感数据、影响内部员工或少量外部用户的系统，例如中小公司的打卡 OA 系统、仅留存用户手机号且不涉及支付的普通电商网站，需按基础安全标准落实防护（如部署防火墙、留存操作日志），有需求时可借助专业人员指导；

三级（监督保护级）则对应存储身份证号、病历、银行卡号等高度敏感数据、影响大量外部用户的系统，比如医院病历系统、银行支付系统、存储客户核心信息的大型企业 CRM，这类系统不仅要构建数据加密、异地备份等全面防护体系，还需接受监管部门的监督检查。需要特别注意的是，系统等级并非依据企业规模划分，比如仅 5 人的小微诊所，因系统存储患者病历这一高度敏感数据，需按三级标准防护；而千人规模工厂的内部通知系统，因仅发布公告，定一级即可。

关键提醒：等级不是按 “公司大小” 定的！比如 5 个人的小诊所，系统里存着患者病历（高度敏感数据），就得按三级做防护；而千人规模的工厂，内部通知系统只发公告，定一级就行。

二、为什么必须做？不做等保，企业要面临 3 大风险

很多人觉得 “等保是负担”，但实际是 “不做等保才会有大麻烦”，核心原因有 3 个：

1. 法律不允许：不做会罚款、甚至赔大钱

国家有明确法律规定（《网络安全法》《数据安全法》）：企业必须按要求做等保，否则会面临：

罚款：被网信、公安部门要求整改，不改的话罚 5 万 - 50 万元；

赔钱：如果因为没做防护导致用户数据泄露（比如客户身份证被偷），企业要给用户赔偿。2023 年有家医疗企业没给病历系统做三级等保，泄露 5000 条患者信息，最后赔了 200 多万；

刑事责任：要是因为防护不到位，造成国家安全、公共利益受损，负责的人可能还要承担法律责任。

2. 业务做不了：没等保资质，合作、投标都没资格

现在很多行业把等保当成 “合作门槛”，没资质连业务门都摸不到：

投标：政府、国企的项目会明确要求 “投标方核心系统要过三级等保”，没有就直接淘汰；

行业准入：开支付公司要拿《支付业务许可证》，必须过三级等保；医院要接入区域医疗平台（比如患者跨院查病历），也得有三级等保资质；

客户信任：对接大客户时，对方会要等保报告 —— 比如你是做 SaaS 服务的，客户会担心 “我的数据存在你那安全吗？”，等保报告就是最好的证明。

3. 安全没保障：没做等保的系统，更容易被黑客攻击

根据 2024 年的行业报告，没做等保的企业：

被勒索病毒攻击（电脑文件被锁，要花钱解锁）的概率，是合规企业的 3.2 倍；

数据泄露（比如客户信息被偷）的概率，是合规企业的 2.8 倍。

等保就像给系统装 “防护网”，能挡住大部分常见攻击（比如黑客偷数据、病毒入侵），就算出问题也能快速恢复。

三、一步步落地：非技术人士也能推进的 6 个步骤

等保不用懂技术，只要按这 6 步推进，就能顺利合规：

第一步：定等级 —— 明确 “你的系统该配什么级别的防护”

别让 IT 部门自己定，非技术负责人可以把握 2 个简单标准：

看数据：存身份证、银行卡、病历→至少三级；只存手机号、邮箱→二级；只存公告、通知→一级；

看影响范围：影响外部用户（比如患者、电商买家）→至少三级；只影响公司内部员工→二级或一级。

拿不准的话，找 “国家认可的等保测评机构” 帮你判断（网上能查到名单），就像装修时找师傅看户型，避免 “定低了不安全，定高了多花钱”。

第二步：备案 —— 去公安局 “登记一下”

定好等级后，30 天内要去当地公安局网安部门备案（也能线上提交），需要准备的材料很简单，非技术负责人也能牵头准备：

填《网络安全等级保护备案表》：写清楚系统名字、定几级、存什么数据；

画 “系统拓扑图”：不用专业，简单画 “服务器连防火墙、防火墙连互联网” 就行，标注清楚设备；

带营业执照复印件、系统负责人身份证复印件。

如果是三级系统，公安局可能会上门看一眼实际情况，提前把机房、设备整理好，别乱糟糟的就行。

第三步：找差距 —— 让专业机构 “查缺补漏”

找国家认可的测评机构来公司，帮你查 “哪些地方没达标”，他们会做 3 件事：

问：比如 “员工离职后，账号删了吗？”“数据备份了吗？”；

查：看有没有安全制度文件、操作日志、设备配置；

测：用工具扫系统有没有漏洞（比如黑客能利用的入口）。

最后会给你一份《差距分析报告》，写清楚 “哪没达标（比如没做异地备份）、风险有多高、该怎么改”—— 这份报告是后续整改的核心依据，非技术负责人要重点看 “整改建议”，不用懂技术细节。

第四步：改问题 —— 按报告补 “安全措施”

根据报告整改，分 “技术” 和 “管理” 两部分，非技术负责人可以牵头推进，让 IT 部门落地具体操作：

（1）技术整改：让 IT 部门按这些要求做（非技术版理解）

网络防护：装防火墙、入侵报警器（挡住外部非法访问），重要系统和互联网之间要 “隔一层”（比如设个专门的区域，先挡住风险）；

数据安全：敏感数据要加密（比如手机号存的时候中间四位用 * 代替，传数据时用 HTTPS），还要 “本地 + 异地” 双备份（比如北京的系统，在上海再存一份，防止北京机房出问题）；

登录安全：管理员登录要 “账号 + 密码 + 动态令牌”（比如手机收验证码），密码要复杂点（至少 12 位，有大写小写 + 数字），90 天换一次。

（2）管理整改：非技术负责人能直接推动

写制度：比如《网络安全应急预案》（出问题该找谁、怎么做）、《数据备份办法》（多久备份一次、存在哪），网上有模板可参考；

管人员：关键岗位（比如管数据库的）要 “双人负责”（避免一个人操作出问题），员工离职必须删账号、收权限，留书面记录；

做培训：每年给员工讲 4 次安全知识（比如 “别点陌生链接、别借账号给别人”），非技术负责人可以牵头组织，找测评机构来上课。

第五步：正式测评 —— 让机构再查一次，拿 “合规证明”

整改完后，再找测评机构来测，只要满足 2 个核心要求，基本就能过：

技术上：没有高危漏洞，中危漏洞改完 90% 以上，数据备份能恢复；

管理上：制度都有，还有执行记录（比如培训签到表、应急演练照片）。

过了之后会拿到《网络安全等级保护测评报告》—— 这就是企业合规的 “证明”，非技术负责人要收好，投标、合作时会用到。

第六步：定期复查 —— 别做完一次就不管了

等保不是 “一劳永逸”，非技术负责人要记好周期：

二级系统：每 2 年复查一次；

三级系统：每 1 年复查一次；

系统改大功能（比如迁到云上、加支付模块）或出安全事故（比如数据泄露），要提前复查。

平时每月让 IT 部门自查一次：比如看看日志有没有异常、漏洞有没有及时改，非技术负责人只要看 四、别踩坑：非技术负责人要避开的 3 个常见误区

四、别踩坑：非技术负责人要避开的 3 个常见误区

误区 1：“让 IT 部门自己定级，我不管”

问题：比如小诊所的病历系统，IT 部门觉得 “公司小，定二级就行”，实际该定三级，最后测评不通过；

解决：成立 “业务 + IT + 安全” 跨部门小组，非技术负责人牵头，结合 “数据敏感程度” 定，别只听 IT 的。

误区 2：“只买设备，不建制度”

问题：花几十万买防火墙、WAF，却没写安全制度，没做员工培训，测评时还是不通过；

解决：非技术负责人要盯 “管理整改”，比如有没有制度文件、培训记录、应急演练，这些比买设备更重要。

误区 3：“拿到报告就完事，后续不管”

问题：报告到期了没复查，系统改了功能没重新测评，最后被监管部门罚款；

解决：非技术负责人把 “复评周期” 记在日历上，每年 / 每 2 年提前推进，让 IT 部门配合。

等保 2.0 不是技术部门的 “独角戏”，非技术负责人只要把握 “定等级、备案、查差距、改问题、定期复查” 这 5 个核心环节，就能推进合规。它不是 “负担”，而是保护企业数据、避免罚款、争取业务的 “安全保障”。

如果你的企业正在做等保，遇到 “不知道怎么找机构”“整改卡壳” 这些问题，不用慌 —— 可以在评论区留言你的行业和困惑，一起拆解解决方案。

    天津市犀思科技有限公司是专业从事web应用定制开发的一家公司，主营业务包括定制营销型网站建设、微信小程序开发、微信公众号开发、APP定制开发、天津企业微信开发、ERP、CRM、OA等企业应用场景信息化解决方案等服务，致力于成为中国领先的IT服务及行业解决方案的提供商。