在算法备案实地核查常态化的当下，不少AI企业、互联网企业在应对网信、网安核查时，都会被问到一个核心合规项——网络安全等级保护（简称“等保”）。很多企业误以为等保只是“走个流程、拿个证明”，却忽略了它是网络安全合规的法定底线，更是业务合法运营的必备前提。尤其对于部分地区需要通过算法备案实地核查的企业，等保合规与否直接影响核查进度，甚至决定备案成败。

等保的核心流程可概括为“定级→备案→测评→整改→持续合规”，其中定级是基础，备案资料是关键，测评整改是核心难点。本文将围绕全流程，重点拆解大家最关心的备案资料准备，同时明确定级、测评整改的核心要点，帮企业理清思路、少走弯路，高效完成等保合规。

一、第一步：定级——明确等保级别（2级/3级是企业主流选择）

等保定级是等保工作的起点，也是后续所有工作的基础，级别一旦确定，备案标准、测评要求、整改难度都会随之明确。根据《信息安全等级保护管理办法》，信息系统按受破坏后对国家安全、社会秩序、公共利益及公民合法权益的危害程度，分为5个等级，其中企业日常接触最多、最主流的是2级和3级，4级、5级主要针对国家级、涉密类重要系统，普通企业基本不涉及。

1. 定级核心判定标准（明确2级/3级适用场景）

企业无需盲目追求高等级，也不能随意定低等级，需结合自身系统的重要性、数据敏感度、受侵害后果综合判定，避免定级不准导致备案被驳回或合规风险：

• 2级（指导保护级）：适用于一般信息系统，系统遭到破坏后，仅会对公民、法人和其他组织的合法权益造成严重损害，不会影响社会秩序和公共利益。比如企业官网、内部OA系统、非核心业务管理系统，不涉及大量敏感个人信息或支付数据、重要业务数据。

• 3级（监督保护级）：适用于重要信息系统，系统遭到破坏后，会对社会秩序和公共利益造成严重损害，或对国家安全造成损害。比如AI核心算法系统、用户数据平台、核心交易系统、金融/医疗/教育领域的核心业务系统，涉及大量敏感个人信息、重要业务数据，对社会有重要影响[3][4]。

2. 定级关键操作

定级并非企业自行决定即可，需完成规范流程，留存相关材料作为备案依据：

1. 梳理系统：全面梳理企业所有信息系统，明确每个系统的功能、数据类型、用户规模、业务重要性；

2. 撰写定级报告：编制《信息系统安全等级保护自定级报告》，详细说明系统基本信息、定级依据、定级过程及最终等级，需加盖企业公章；

3. 评审确认：2级系统可由企业内部评审确认，3级系统需组织专家评审或提交主管部门审核批准，留存评审意见或审核文件，作为后续备案的核心材料。

特别提醒：定级后需在30日内到所在地设区的市级以上公安机关办理备案手续，逾期未备案将面临合规风险[1]。

第二步：备案资料准备——核心环节，缺一不可（重点展开）

等保定级完成后，需准备完整的备案资料并提交至属地公安网安部门，备案资料的完整性、规范性直接影响备案审核效率，也是算法备案实地核查时网安部门的重点抽查内容。结合各地备案要求，备案资料分为“通用基础资料”和“分级专项资料”，2级、3级系统资料要求略有差异，具体如下：

一、通用基础资料（2级、3级系统均需提供）

此类资料是备案的“必备项”，无论定级为2级还是3级，均需按要求准备，确保填写完整、加盖公章，同时准备电子文档备份：

1. 《信息系统安全等级保护备案表》：核心备案材料，需从公安机关指定网址下载，按要求填写完整，一式两份（纸质版），加盖企业公章，电子文档需与纸质版一致。备案表包含单位信息、系统基本信息、系统定级信息等核心内容，填写时需确保信息真实、准确，不得遗漏关键项；

2. 信息系统定级相关材料：包括《信息系统安全等级保护自定级报告》（原件1份，纸质+电子）、定级评审结果（专家评审报告或主管部门审核批准意见，原件1份，纸质+电子），证明定级流程合规、等级准确；

3. 企业主体资质材料：企业营业执照彩色扫描件（加盖公章）、法定代表人身份证复印件（加盖公章），若系统有运维单位，需提供运维单位资质及双方运维协议（加盖双方公章）；

4. 系统基本信息材料：系统概况说明（详细介绍系统功能、建设时间、部署环境、用户规模、数据存储情况等）、系统拓扑结构图（标注核心设备、网络架构、数据流向，加盖企业公章）；

5. 安全管理制度材料：基础安全管理制度汇编，包括安全管理组织架构、人员安全管理、设备安全管理、数据安全管理等制度，无需过于复杂，但需贴合企业实际，加盖企业公章。

二、分级专项资料（2级vs3级，差异重点）

3级系统作为重要信息系统，备案资料要求更严格，除通用资料外，还需额外提供以下材料，2级系统无需提交：

1. 系统安全保护设施相关材料：系统安全保护设施设计实施方案或改建实施方案（原件+复印件1份，纸质+电子），说明系统安全设施的建设思路、部署情况、防护能力；

2. 信息安全产品相关材料：系统使用的信息安全产品清单（注明产品名称、型号、生产厂家、部署位置），以及产品的认证、销售许可证明（原件+复印件1份，纸质+电子），确保使用的安全产品符合国家相关标准；

3. 专家评审相关材料：信息系统安全保护等级专家评审意见（原件+复印件1份，纸质+电子），需由专业评审团队出具，明确系统定级合理、防护措施达标；

4. 后续补充材料：3级系统需在测评完成后30日内，额外提交《备案表》表四及测评报告（原件+复印件1份，纸质+电子），完成备案信息补充。

三、备案资料准备注意事项

1. 所有纸质资料需彩色打印、加盖企业公章，扫描件需清晰可辨，避免模糊、黑白扫描或缺章，否则会被要求补正，延误备案进度；

2. 备案资料需与系统实际情况、定级报告保持一致，比如系统拓扑图、功能说明需与实际部署情况相符，不得出现信息矛盾；

第三步：测评与整改——核心难点，合格率关键解析

备案资料提交后，公安网安部门会在10个工作日内完成审核，审核通过后，企业需委托有正规资质的第三方测评机构开展等级测评（这是等保工作的重点环节），测评结果直接决定是否能通过合规验收。

1. 测评核心重点

测评机构会对照GB/T 22239-2019等保标准，从“技术层面”和“管理层面”全面核查，核心重点包括：

• 技术层面：网络安全（安全域划分、通信加密）、主机安全（身份鉴别、漏洞修复）、应用安全（权限管理、数据加密）、数据安全（数据备份、日志留存）等；

• 管理层面：安全管理制度落实、人员安全管理、应急响应机制、运维管理等。

尤其2025版《网络安全等级保护测评高风险判定指引》实施后，测评更注重“实效防护”，不再单纯看形式合规，会重点核查重大风险隐患，比如数据备份缺失、供应链攻击防御失效等，即使符合率较高，存在重大隐患也无法拿到“符合”结论。

2. 整改与合格率说明

测评完成后，测评机构会出具测评报告，明确系统存在的安全隐患（高、中、低风险），企业需根据报告进行针对性整改，整改完成后可申请复评。

关于合格率，很多企业存在误解，其实等保测评没有“固定合格线”，核心看企业需求和风险承受能力，结合2025版测评新规，具体说明：

• 测评结论分为三类：符合（符合率≥90%且无重大风险隐患）、基本符合（符合率60%-90%，或符合率≥90%但存在重大风险隐患）、不符合（符合率＜60%）；

• 行业内默认“符合率≥60%即可通过基本合规验收”，企业可根据自身业务需求选择整改力度：若仅需满足基础合规、通过算法备案核查，整改至符合率60%以上，解决高风险隐患即可；若属于金融、医疗等重点行业，或系统涉及大量敏感数据，建议整改至符合率90%以上，拿到“符合”结论，降低合规风险；

• 整改重点：优先解决高风险隐患（如弱口令、数据未加密、日志未留存等），中低风险隐患可结合企业实际逐步整改，但需制定明确的整改计划和时间节点，留存整改记录，以备网安部门核查。

第四步：持续合规——等保不是“一劳永逸”

等保合规不是一次性工作，而是覆盖系统全生命周期的动态过程，尤其对于3级系统，有明确的持续合规要求：

• 测评频次：3级系统每年至少开展一次等级测评，2级系统建议定期测评，2年一次）；

• 动态更新：系统业务、架构、等级发生变化时，需在30日内更新备案信息，重新开展定级、测评；

• 日常运维：定期开展漏洞修复、应急演练（3级系统每半年至少一次实战化演练），完善安全管理制度，留存运维记录，确保系统持续符合等保标准。