在上海，无论你做的是 小程序后台、SaaS 平台、APP、私有部署系统、政企对接平台、电商系统，只要涉及用户数据、交易数据或行业业务，都必须按国家《网络安全法》要求完成 等级保护 2.0（简称“等保”）。

下面按上海企业最关心的“三大核心环节”讲透：定级 → 评估 → 测评。

一、上海企业等保如何定级？（最关键一步）

等保定级决定了你需要达到的安全等级要求，一般分为 一级、二级、三级、四级，企业系统 99% 都集中在二级和三级。

上海企业定级标准（通俗版）

✔ 等保二级：商用系统的标准级别（最常见）

适用：

• 电商、小程序后台、SaaS 平台

• 企业 ERP / OA / CRM 等内部系统

• 普通互联网平台、在线服务应用
  特点：
  系统遭到攻击后，会影响企业自身，但不会影响社会公共利益。

✔ 等保三级：涉及关键行业与社会影响的系统

适用上海区域：

• 医疗、教育、金融、能源、交通等行业平台

• 与政府、国企、城市管理平台对接的系统
  特点：
  系统被攻击会影响公众、行业运行或社会秩序。

上海定级流程

1. 收集系统信息

2. 进行系统边界梳理（服务器、网络、业务流程）

3. 根据影响范围判断等级

4. 编制《定级报告》

5. 交由上海公安网安部门备案

二、上海企业等保如何评估？（查差距）

评估目标：
👉 找出系统与国家等保标准之间的“差距”和“需整改项”。

评估内容包含五大安全域：

1. 安全物理环境（机房、设备）

2. 安全通信网络（网络拓扑、防火墙）

3. 安全计算环境（主机、数据库）

4. 安全管理中心（日志、安全管理系统）

5. 安全管理制度（制度、台账、流程）

评估会产出：
✔ 差距分析
✔ 漏洞与风险点清单
✔ 需要整改的项目清单
✔ 优先级排序（高/中/低风险）

三、上海企业等保如何测评？（正式出报告）

测评是等保的“官方证明”，需由具备资质的第三方测评机构完成。

测评流程如下：

① 技术测评

• 漏洞扫描

• 系统配置检查

• 入侵防护检测

• 应用系统安全检查

• 数据库扫描与权限核验

② 现场核验

• 上海测评机构上门检查机房、防火墙、服务器运行情况

• 查看日志、监控、访问控制

• 检查备份、容灾策略

③ 文档访谈

• 安全制度、网络拓扑、账号管理制度

• 对管理员进行访谈（是否按制度执行）

④ 出具正式报告

最终提供：
✔ 《信息系统等级保护测评报告》
✔ 《风险整改建议书》
✔ 可用于上海地区：投标、甲方验收、平台接入、合规要求

四、上海企业做等保常见痛点

• 系统未上线 → 无法测评

• 文档缺失 → 无法通过访谈

• 数据库与服务器安全薄弱

• 内网无隔离

• 日志未集中管理

• 未安装防护设备（WAF、防火墙等）

如果你需要，我可以帮你：

✅ 判断你系统是二级还是三级（免费定级）
✅ 生成你的系统“等保差距清单”
✅ 给你一版“上海企业等保整改方案”
✅ 梳理边界、准备文档、模拟测评