定级不准、备案被驳，直接整改重来！等保第一步，千万别走错

等保工作启动后，很多企业第一件事就是买设备、做整改、找测评。但有一个环节比这些都更早、也更容易出错，那就是定级。等保2.0将网络安全保护等级分为五级，等级越高防护要求越严格。企业需要结合业务数据敏感性、影响范围等因素，科学判定系统等级。听起来不复杂，实际操作中却频频翻车。有的企业为了省事省钱，把高风险系统往低了定；有的企业不了解新标准的变化，凭经验拍脑袋；还有的企业把所有系统打包成一个去定级。然后就出现了这样的局面——2024年全国约有17%的等保定级申请因材料不规范或定级逻辑不清而需重新提交。

所以，定级不准，后果比想象中严重得多。定级低了，系统缺乏相应的防御能力，出了问题不仅自身业务受损，还可能因为安全责任没有履行到位而加重处罚。某电商平台曾将支付系统误定为二级，测评时发现达不到三级要求的“异地灾备”标准，被迫暂停业务整改，损失超千万元。另一个案例中，某地医疗信息系统存储大量敏感医疗记录与个人身份信息，本应定为三级，实际却仅按二级备案，遭勒索病毒攻击后患者数据泄露，直接损失超千万元。某省级教育考试院原计划将在线报名系统定为二级，梳理后才发现该系统处理数百万考生身份信息、关联准考证生成和考场分配等关键流程，一旦中断将直接影响重大国家考试的公信力，最终调整为三级。

而且，等保2.0的定级流程已经比过去严格得多，专门新增了“专家评审”和“主管部门审核”两个环节。定级不再是企业自己说了算的事。那定级到底是怎么一回事，有什么依据呢？定级依据的是等级保护对象受破坏时所侵害的客体和对客体造成侵害的程度。其中关键信息基础设施“定级原则上不低于三级”。如果企业在定级阶段就出现偏差，后续的备案、建设、测评、整改全都要推倒重来。某地市级政务云平台就曾因前期定级依据模糊、业务边界不清，导致三级系统被误判为二级，不仅延误了整改周期，还面临监管通报风险。

那定级这么重要，到底应该怎么做？第一步是系统梳理：把企业所有的信息系统列出来，明确每个系统的业务功能、服务范围、数据存储情况。第二步是确定等级保护对象：同一个业务目标、同一个安全责任主体的系统可以合并为一个定级对象，但不同业务、不同责任主体的系统需要分开定级。第三步是初步定级：根据系统遭到破坏后对国家安全、社会秩序、公共利益和公民合法权益的侵害程度，参照定级指南确定等级。第四步是专家评审：组织行业专家对定级结果进行评审，出具评审意见。第五步是主管部门审核：将定级材料报行业主管部门审批。第六步是备案：到公安机关办理备案手续。每一步都有明确的要求和规范，任何一个环节出问题，整个定级流程就得重来。

专业的事交给专业的人，定级环节尤其如此。北京七星安为科技有限公司的等保咨询服务能够帮助企业从系统梳理入手，精准把握定级依据，避免因定级错误导致的重复投入和合规风险，全程把关定级、备案、建设、测评各环节。

等保的第一步走对了，后面的每一分钱才不白花。如果你正在启动等保工作，建议先花时间做一次全面的系统盘点。可以从这几个问题入手自查：企业的所有信息系统是否都已纳入范围？每个系统处理什么类型的数据？一旦遭到破坏，影响面有多大？拿不准的地方，不妨找有经验的专业机构把把关。定级准了，后面的一切才顺。