一、什么样的系统或企业需要做等保?
根据《网络安全法》《数据安全法》和《等级保护2.0标准》,以下6类单位或系统必须开展等保工作:
1. 政府及事业单位
各级政府部门、公立学校、医院、科研机构等。
示例:政务服务平台、社保系统、人口数据库。
2. 关键信息基础设施
能源、金融、交通、通信、水利等行业的核心系统。
示例:银行支付系统、电网调度系统、高铁控制系统。
3. 互联网企业及平台
用户量大的在线平台或涉及敏感数据的系统。
示例:电商平台(如淘宝)、社交软件(如微信)、云服务商(如阿里云)。
4. 国有企业及大型企业
央企、国企及规模以上企业的内部管理系统(如OA、ERP)。
示例:中石油的供应链系统、大型制造业的工业控制系统。
5. 医疗、教育、公共服务机构
存储大量个人隐私数据的系统。
示例:医院HIS系统、在线教育平台、智慧城市管理系统。
6. 其他需备案的系统
符合以下条件之一的系统:
系统承载超过100万用户的个人信息;
系统瘫痪会直接导致重大经济损失或社会影响;
法律、行业主管明确要求(如《数据安全法》规定的行业)。
二、等保是否需要每年都做?
是的,等保是持续性工作,但具体频率因系统等级而异:
1. 二级系统
测评周期:每两年一次(部分行业或地区要求每年一次)。
日常要求:每年需自查,并提交《网络安全自查报告》。
2. 三级及以上系统
测评周期:每年一次强制性测评。
额外要求:
每半年开展一次渗透测试或风险评估;
关键系统需实时监控并上报安全事件。
3. 特殊情况
系统发生重大变更(如架构调整、数据迁移)需重新测评;
行业监管部门(如金融、医疗)可能要求更频繁的检查。
三、不做等保的法律风险
1.行政处罚:责令整改、罚款;
2. 业务影响:未通过等保的系统可能被要求关停;
3. 事故追责:发生数据泄露时,未做等保的企业将承担更重法律责任。
四、常见问题解答
Q:小微企业是否需要做等保?
若系统不涉及敏感数据或用户量小,可暂不强制,但建议主动做二级等保以提升安全性。
Q:云服务商(如阿里云)已通过等保,客户还需做吗?
需做!云平台合规≠客户系统合规,客户仍需单独定级备案。
Q:等保测评费用多少?
地区不同,等级不同,系统难易度不同,价格都有差距,具体详情可咨询——信创致远等保一站式服务。
