上海等保办理要求（等保二级/三级）｜企业最全合规指南

在上海，无论你是做互联网平台、SaaS 系统、金融科技、跨境服务、医疗数据平台，还是常规企业官网/内部系统，只要涉及数据存储、用户信息处理、线上业务系统，都必须按国家《网络安全法》《等保2.0》完成等保登记与测评。

以下带你一次读懂：上海企业办理等保的要求、流程、材料、周期与注意事项。

01｜上海哪些企业需要做等保？

在上海，几乎 90% 的数字化业务都需要进入等级保护范围：

📌 等保二级（常见业务类型）

适用于大多数企业系统：

• 企业官网、商城、小程序

• 在线会员系统、SaaS后台

• 医疗、教育、制造业 ERP/CRM

• 普通 APP / 小程序

• 第三方平台管理后台

• 跨境电商系统

👉 只要涉及个人信息、交易、账户体系，基本都是二级。

📌 等保三级（上海被要求最多的行业）

在上海，以下业务 90% 会被明确要求做三级测评：

• 金融科技、持牌支付类

• 医疗数据、医院 HIS/EMR

• 互联网平台型企业（用户量大）

• 政务对接、上链平台、国企系统

• 涉及敏感数据处理的平台

👉 如果系统一旦被攻击会影响社会秩序或大量用户数据，就会被认定为三级。

02｜上海等保办理流程（官方标准流程）

第一步：系统定级（1-3天）

由企业 + 测评机构共同确认是二级还是三级。

第二步：备案（3-10天）

到 上海公安网安部门提交备案材料，含：

• 系统说明

• 网络结构拓扑图

• 等级保护定级报告

• 企业营业执照

备案成功后，会获得：
👉 等级保护备案证明

第三步：安全整改（7-30天）

等保 2.0 的 5 大安全域要求包括：

• 物理环境安全

• 网络安全区划

• 主机安全

• 应用安全

• 数据安全

• 运营管理制度体系

常见整改内容：

• HTTPS + Web防火墙

• 日志审计、堡垒机

• 等保制度文件完善

• 服务器漏洞修复

• 账号权限规范化

第四步：正式测评（10-20天）

测评机构上门 + 远程检测：

• 穿透测试

• 配置核查

• 账号权限检查

• 安全策略验证

通过后生成：
👉 等保测评报告（官方认可）

03｜上海企业办理等保需要哪些材料？

• 企业营业执照

• 系统功能说明书

• 网络拓扑图

• 服务器/云主机信息（阿里云/腾讯云/华为云均可）

• 域名备案信息

• 系统截图、权限说明

• 安全制度 15-18 份（等保标准模板可提供）

04｜上海办理等保的周期

上海三级比其他城市要求严格得多，金融与医疗类系统基本都会被重点审核。

05｜办理上海等保的注意事项（非常关键）

❗1. 上海测评机构要求更细

证据链必须齐全，截图必须规范，很多城市能过的整改项在上海会被重新打回。

❗2. 使用云服务器也要等保

阿里云轻量、腾讯云轻量 ≠ 自动满足等保
仍需整改配置 + 测评。

❗3. 政企合作类系统必须三级

上海涉及对接政务平台、医保平台、税务平台，都会默认要求三级。

❗4. APP / 小程序上线前需提前规划

若后续要接支付、登录、订单，几乎必做二级。

❗5. 资料不齐会导致备案驳回

尤其拓扑图、制度文件、系统架构描述，是上海最常见驳回点。

06｜上海企业为什么一定要做等保？

• 平台上线审批需要（支付、三方授权）

• 政府/国企招投标刚性要求

• 上云系统安全合规要求

• 不做等保被查处可罚：

👉 ¥10,000–100,000 的罚款 + 系统下架整改