在厦门做互联网业务(APP、小程序、网站、SaaS系统、企业信息化平台),等保定级是第一步,也是最关键的一步。
很多企业不是不想做等保,而是卡在一个核心问题上:
👉 到底是做二级,还是必须做三级?
定错等级,会导致:
下面这份清单,帮你直接对号入座判断。
一、先搞清楚:二级和三级的本质区别
✔ 等保二级(一般系统)
👉 国家要求“具备基本安全防护能力”的系统
特点:
- 风险影响较小
- 出问题主要影响企业自身
- 不涉及大规模公众数据安全
✔ 等保三级(重点监管系统)
👉 国家要求“较高安全防护能力”的系统
特点:
- 一旦出问题影响范围较大
- 涉及大量用户数据或资金交易
- 监管要求更严格(需现场测评+整改闭环)
👉 一句话理解:
二级是“企业自己安全”,三级是“社会级安全”。
二、厦门企业等保二级判断清单(满足任意多数即可)
如果你的系统符合以下情况,大概率是二级等保:
✔ 1. 系统类型较基础
- 企业官网
- 宣传展示型网站
- 内部办公系统(OA)
- 简单管理后台
✔ 2. 用户数据规模较小
- 用户数量不大(通常非海量用户)
- 不涉及全国性用户服务
- 数据以基础信息为主
✔ 3. 不涉及资金交易或支付闭环
- 没有在线支付
- 或支付仅跳转第三方平台(如微信/支付宝收单)
- 不做资金托管或分账系统
✔ 4. 系统功能相对单一
✔ 5. 业务影响范围较低
👉 结论:
满足以上大部分条件 → 通常做等保二级即可
三、厦门企业等保三级判断清单(重点核查)
如果符合以下任意情况,基本必须做三级等保:
✔ 1. 涉及用户数据较大或敏感
- 用户量较大(区域/全国级平台)
- 涉及手机号、身份证、地址等敏感信息
- 有用户画像或行为数据分析
✔ 2. 存在支付或资金流转
- 在线支付(自营收款)
- 会员系统
- 分账系统
- 充值/打赏/虚拟币体系
✔ 3. 属于对外服务平台系统
- 电商平台(B2C/B2B)
- 本地生活平台
- 医疗/教育/政务类系统
- SaaS系统对外提供服务
✔ 4. 业务连续性要求高
- 系统不能长时间中断
- 一旦宕机会影响大量用户
- 对企业收入有直接影响
✔ 5. 涉及关键行业或监管领域
- 金融/类金融业务
- 医疗健康系统
- 教育平台
- 互联网基础服务平台
✔ 6. 数据安全风险较高
- 存在数据泄露风险
- 涉及跨系统数据交换
- 有第三方接口或开放API
👉 结论:
符合任意2项以上 → 基本必须做等保三级
四、快速判断方法(一句话版)
你可以用这个简单逻辑判断:
👉 只做展示/内部用 = 二级
👉 涉及用户+交易+平台化 = 三级
五、企业最容易误判的3种情况(重点)
⚠️ 1. 认为“有网站就要三级”
👉 错:展示型网站通常只是二级
⚠️ 2. 认为“只要有支付就必须三级”
👉 不一定:第三方支付跳转不一定触发三级
⚠️ 3. 认为“规模小可以不做等保”
👉 错:只要上线系统,基本都要等保备案
六、厦门企业实操建议(非常重要)
✔ 第一阶段:先定级再开发
不要等系统做完才考虑等保
✔ 第二阶段:提前规划架构
三级系统必须提前设计安全架构,否则后期整改成本高
✔ 第三阶段:结合业务增长预留升级空间
很多企业一开始是二级,但后期会升级三级
七、总结(核心逻辑)
厦门企业等保定级,本质就是判断三件事:
👉 有没有用户数据?
👉 有没有交易闭环?
👉 系统影响范围大不大?
✔ 最终结论:
- 二级 = 基础业务系统合规
- 三级 = 平台型/交易型/数据型系统合规
