近年来，随着数字化转型不断深入，越来越多南京企业上线了官网平台、商城系统、APP、小程序、ERP系统以及各类SaaS软件。与此同时，网络安全合规要求也在持续提升。

很多企业负责人都会问：

公司的网站需要做等保吗？APP要做等保吗？等保到底分几个等级？

事实上，网络安全等级保护（简称“等保”）已经成为信息系统建设和运营过程中的重要合规要求。对于涉及用户信息、业务数据以及网络服务的平台而言，等级保护不仅是安全建设的重要依据，也是许多项目验收、招投标合作和行业监管的重要参考条件。

哪些南京企业需要开展等级保护？

简单来说，只要企业建设并运营信息系统、网络平台或者互联网应用，就应当进行等级保护定级评估。

常见需要开展等级保护工作的系统主要包括以下几类：

互联网运营平台

• 电商商城平台
• 供应链交易平台
• B2B采购系统
• 在线教育平台
• 本地生活服务平台
• 会员服务平台

这类平台通常涉及用户注册、订单管理、交易数据和信息存储，是开展等级保护工作的重点对象。

企业管理系统

• OA办公系统
• ERP管理系统
• CRM客户管理系统
• 财务管理系统
• 人力资源管理系统

虽然属于企业内部使用系统，但同样涉及重要业务数据和运营信息，也需要根据实际情况进行定级。

移动互联网应用

• APP应用程序
• 微信小程序
• SaaS软件平台
• 云服务系统

尤其是面向客户提供服务的平台，往往需要提前规划等级保护建设。

行业专属业务系统

• 医疗信息系统
• 教育管理平台
• 工业互联网平台
• 智慧园区系统
• 物流运输系统
• 金融科技平台

由于涉及大量用户数据和关键业务流程，通常对网络安全要求更高。

等级保护一共分几个等级？

根据网络安全等级保护制度要求，信息系统共划分为五个安全等级。

一级系统

属于自主保护级。

系统受到影响后，对个人或组织造成的影响较小，通常由运营单位自行开展安全管理。

二级系统

属于指导保护级。

南京大部分中小企业的信息系统主要集中在这一等级。

例如：

• 企业官网后台
• OA办公系统
• CRM客户系统
• 普通业务管理平台

此类系统受到攻击后，会对企业正常经营造成一定影响。

三级系统

属于监督保护级。

目前互联网行业最常见的等级之一。

例如：

• 电商平台
• SaaS软件平台
• 在线交易系统
• 大型APP应用
• 医疗服务平台

三级系统一旦发生安全事件，可能影响大量用户权益或社会公共利益，因此监管要求明显高于二级。

四级和五级系统

通常涉及国家关键基础设施、重要行业核心业务系统以及国家级重点网络设施。

普通商业企业较少涉及。

南京企业如何开展等保测评？

企业开展等级保护工作，通常需要经历以下几个阶段：

第一阶段：系统定级

根据系统的重要程度、服务范围、数据类型以及安全事件可能造成的影响，对系统进行等级划分。

这是整个等级保护工作的基础环节。

第二阶段：备案准备

对于二级及以上系统，需要按照相关要求开展备案工作，并建立网络安全管理体系。

第三阶段：安全建设整改

依据等级保护标准要求，对系统进行全面安全加固。

主要包括：

• 网络边界安全建设
• 身份认证管理
• 访问权限控制
• 日志审计管理
• 数据备份与恢复
• 安全管理制度建设

这一阶段通常是整个项目工作量最大的部分。

第四阶段：等级保护测评

由具备资质的等级保护测评机构对系统进行技术和管理两方面测评。

测评内容主要涵盖：

• 主机安全
• 网络安全
• 数据安全
• 应用安全
• 安全管理制度

测评通过后可获得正式测评报告。

第五阶段：持续运营维护

等级保护并非一次性工作。

系统上线后，企业还需要持续开展安全运维、安全检查和风险整改，确保系统长期符合等级保护要求。

企业为什么越来越重视等保？

对于南京地区企业来说，等级保护已经不仅仅是网络安全建设问题。

在实际经营过程中，等保成果往往与以下事项密切相关：

• 平台合规上线
• 政企项目合作
• 招投标资质审核
• 客户安全审查
• 数据安全管理
• 企业品牌信誉建设

特别是电商平台、供应链系统、SaaS平台、APP应用等互联网项目，提前完成等保建设，能够有效提升平台安全能力和市场竞争力。

总结

对于南京企业而言，只要系统涉及用户信息管理、业务数据处理或互联网服务运营，就应当尽早开展等级保护定级评估工作。

目前市场上绝大多数企业主要涉及等保二级和等保三级建设。企业越早规划网络安全体系，越有利于项目顺利上线、业务持续发展以及未来合规运营，为数字化发展构建更加稳固的安全基础。