二级等保
适用于地市级以上国家机关、企业、事业单位内部一般信息系统,如非涉密办公系统、小型局域网等。
系统破坏后主要影响公民、法人合法权益或社会秩序、公共利益,不损害国家安全。
三级等保
适用于地市级以上国家机关、企业、事业单位的重要信息系统,如跨省/全国联网运营系统、各部委官网等。
系统破坏后可能对社会秩序、公共利益造成严重损害,或对国家安全造成损害。
二级等保
需防护系统免受小型组织、少量资源威胁的恶意攻击,以及一般自然灾害。
需具备发现安全漏洞和事件的能力,遭受攻击后能部分恢复功能。
三级等保
在二级基础上,需防护系统免受有组织团体、丰富资源威胁的恶意攻击,以及严重自然灾害。
需具备发现安全漏洞和事件的能力,遭受攻击后能快速恢复绝大部分功能。
二级等保
需实现网络访问控制、拨号访问控制、网络安全审计等基本要求。
三级等保
在二级基础上,增加网络安全事件应急处置、网站安全防护、系统安全防护等要求。
设备要求更严格,需部署更多安全技术手段(如防火墙、入侵检测系统等)。
二级等保
每两年进行一次测评,特殊行业按周期要求执行。
属于指导保护级,国家信息安全监管部门进行适度保护,强制要求较少。
三级等保
每年至少进行一次测评。
属于监督保护级,国家信息安全监管部门进行强制监督、检查和指导,要求更严格。
二级等保
要求有本地备份机制。
机房物理环境要求较低,门禁可为吸附式木门,空调可为普通家用空调。
三级等保
要求异地实时备份。
机房物理环境要求高,需配备电子门禁(B级防火门)、视频监控、精密空调、UPS设备、防静电地板、电磁屏蔽柜及防水防潮、防盗窃措施。
二级等保适用于一般信息系统,强调基本安全防护,满足合规性要求。
三级等保适用于重要信息系统,强调高级安全防护,需具备更完善的安全体系和技术手段。
企业应根据自身业务类型、安全风险等级、法律法规要求及成本效益原则,选择适合的等保级别。
