2025年常见等保问题问答

依据公安部公网安〔2025〕2391号、1846号等文件要求进行整理，内容仅供参考，请以最新相关要求为准。

1. 为什么做等保？

答：

降低信息安全风险，提高信息系统的安全防护能力；

满足《网络安全法》《数据安全法》等法律法规要求；

履行网络运营者的安全保护义务，避免因未落实等保要求被处罚；

通过整改重大风险隐患，提升系统抵御攻击的能力。

2. “等保”与“分保”有什么区别？

答：

维度等级保护（等保）分级保护（分保）监管部门公安部门国家保密局适用对象非涉密系统（如公共服务、企业平台）涉及国家秘密的系统等级划分一级至五级秘密级、机密级、绝密级

3. 公安机关会检查等保落实情况吗？

答：

会。公安机关对第三级以上系统每年至少开展一次安全检查，重点督查高风险问题和重大风险隐患整改情况。

4. 等保测评几年做一次？

答：

三级系统：每年一次；

四级系统：每年一次；

二级系统：建议每两年一次（部分行业强制要求，如电力行业）；

五级系统：每年一次（参考关保要求）。

5. 如何确定系统安全防护等级？

答：根据《GB/T 22240-2020 定级指南》：

从业务信息安全和系统服务安全两个维度评估；

按受侵害的客体（国家安全/社会秩序/公共利益/公民权益）及危害程度定级；

需组织专家评审并报主管部门审核。

6. 系统在内网还需要做等保吗？

答：

需要。所有非涉密系统（无论内网或外网）均属等保范畴。内网系统同样面临安全风险（如勒索病毒、内部威胁），必须落实等级保护要求。

7. 系统在云上，安全责任如何划分？

答：

云平台：负责基础设施安全（如物理环境、虚拟化隔离）；

租户：负责业务系统及数据安全（如访问控制、数据加密）；

特别要求：云数据出境需通过审批，且云计算基础设施必须位于境内。

8. 等保测评结论如何判定？

答：2025年新规采用三级结论制（取消分数制）：

符合率重大风险隐患结论≥90%无符合≥90%有基本符合60%-90%不限基本符合<60%不限不符合注：重大风险隐患可由单个高风险问题或多个中低风险叠加形成。

9. 什么是重大风险隐患？

答：指可能引发系统性安全风险的问题，例如：

数据明文存储或违规出境；

未部署恶意代码防护措施；

云计算平台未隔离多租户数据；判定需综合相关性、严重性、高发性原则。

10. 第五级系统有哪些特殊要求？

答：

定义：影响国家安全或国计民生的系统（如能源管理、金融核心交易）；

备案：需至省级公安机关网安部门备案；

测评：参考《GA/T 2182—2024 关保测评要求》，每年测评一次。

11. 备案流程及地点如何选择？

答：

时限：系统上线后30日内备案；

地点：

以安全管理机构所在地优先（非注册地或运维地）；

跨省系统由省级公安机关或其指定地市受理；

有效期：《网络安全等级保护备案证明》有效期为三年。2025年 1月 1日前备案的，有效期自 2025年 1月 1日起算。完成等级测评后有效期自动延长一年。期满需要延期的，应当于期满前三个月内向受理备案的公安机关申请延期。

12. 等保测评后是否需高额整改？

答：

不一定。整改可按需开展：

低成本措施：调整安全策略（如强化口令复杂度）、完善管理制度；

高成本措施：添置安全设备（如防火墙、入侵检测系统）；

优先修复高风险项（如空口令、未加密传输）。

13. 等保测评是否发放证书？

答：

否。等保采用备案与测评机制，非认证制度。通过后可获得：

《信息系统安全等级保护备案证明》；

加盖测评机构公章的测评报告。

14. 保护工作方案是什么？

答：

适用对象：三级及以上系统运营者；

内容要求：包括资产清单、重大风险隐患分析、整改计划；

提交时限：每年6月30日前报送属地公安机关。

15. 不做等保是否会被处罚？

答：

是。《网络安全法》第21条、第59条规定，未落实等保义务的单位将面临警告、罚款或停业整顿。