一、政策框架与核心依据

我国网络安全等级保护制度以《网络安全法》《网络安全等级保护条例》及《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）为基础，形成"国家标淮+行业规范"的双轨体系。2025年新规进一步强化了动态合规与全生命周期管理，要求信息系统在功能扩展、数据范围扩大或发生安全事件后重新评估等级并备案。例如，电商平台新增支付接口后需主动申请补测，避免合规风险。

二、适用范围与等级划分

覆盖对象全国范围内所有非涉密信息系统，包括政务云、工业控制系统、金融交易平台等。重点监管领域包括能源、交通、医疗、教育等关键行业。

等级判定

自主定级+审核备案：企业依据《信息系统安全等级保护定级指南》初步定级，三级及以上系统需经专家评审和主管部门核准。

动态调整机制：系统功能扩展、数据范围扩大或发生安全事件后，需重新评估等级并备案。

三、测评流程与时间节点

核心流程

定级备案：向当地公安机关提交定级报告、网络拓扑图等材料，审核通过后发放《备案证明》。三级系统需同步提交《数据摸底调查表》，详细说明数据类型及流向。

建设整改：依据定级结果部署安全设备（如二级系统需防火墙、日志审计；三级系统需WAF、数据库审计系统），并制定安全管理制度。

等级测评：选择具备CMA/CNAS资质的测评机构，二级系统常规周期为两年，可申请弹性延长至30个月，但需满足业务稳定性等条件。三级系统测评频率为每年一次，首次测评需在系统上线30日内完成。

监督检查：公安机关不定期抽查，未通过测评的系统需在15日内完成漏洞修复，数据库异地备份成为硬性指标。

时间约束

备案后30日内启动测评（三级系统）。

漏洞修复周期缩短至15天，未达标系统直接判定为"基本符合"。

#等保测评#