等保二级和三级有啥不一样？听我瞎掰一掰！

你看啊... 哎，最近老听人说“等保”“等保”的，搞得跟啥武林大会似的，分个二级三级。我一开始还以为是给汽车分等级呢，后来才知道是给电脑系统分的。反正就是搞平安的，对吧？具体有啥区别， 说实话，我也不太懂，但网上看了点资料，加上我自己瞎琢磨，给大家唠唠，说得不对也别喷我，反正我就一普通老百姓，懂啥技术啊。

先说说啥是等保吧， 反正就是分个三六九等

等级保护，顾名思义，就是把信息系统分个等级，然后按等级搞保护。就跟人分三六九等一样。有的系统重要，有的不重要，重要的就得好好保护，不然出了事麻烦大。比如说你家的个人博客，跟银行的系统，能一样吗？肯定不一样啊，银行要是被黑了钱没了那还得了？所以等保就是这么个意思， 按重要程度来分等级，常见的就是二级和三级，一级好像没啥用，四级五级又太高，一般企业用不上，说实话...。

二级和三级最大的区别？我觉得就是“麻烦程度”不一样！

要说区别，可多了去了但我感觉最明显的就是“麻烦”和“花钱”的程度。二级嘛，相对简单点，三级就复杂多了花钱也多。 我明白了。 具体是哪些麻烦，哪些花钱，我慢慢说你们慢慢听，反正我今天没啥事，就瞎唠。

第一个区别：定级标准——啥系统该过二级，啥该过三级？

这个说白了就是看你的系统要是出了问题，能有多大事。二级系统，就是那种坏了之后对普通人或者企业有点影响，但不会太要命的那种。比如说 一个小公司的官网，就是宣传一下产品，卖卖东西，要是网站挂了几天可能生意受点影响，但对社会没啥大影响，这种一般就过二级就行。还有那种内部用的OA系统， 员工打卡、发通知用的，要是坏了员工可能没法打卡，但也不至于国家动荡，所以二级差不多。

那三级呢？就是那种一旦坏了麻烦就大的系统。比如说银行的支付系统，你要是付不了钱，那整个社会不就乱套了？还有医院的病历系统，医生要是看不到你的病历，看病出错了那可是人命关天的事。 往白了说... 或者政府的政务服务系统，老百姓办不了事，肯定要闹。这种系统就必须过三级，主要原因是它们关系到大家的切身利益，甚至社会秩序和国家平安，不能马虎。

我听说还有个说法， 就是如果你的系统里有很多用户的敏感信息，比如身份证号、银行卡号什么的，那也得按三级来搞。主要原因是信息泄露了被人盗用了麻烦就大了。反正就是越重要、越敏感的系统，等级就得越高，这个道理还是懂的。

第二个区别：测评周期——二级“随便测测”，三级“每年必测”？

改进一下。 这个区别我印象挺深的。二级等保，好像没啥硬性规定说必须多久测一次。也就是说你可以两年测一次或者自己找个人测一下甚至自己瞎搞搞也行。反正就是监管部门不太盯着你，指导指导你就完事了。说白了就是“佛系”测评，你想测就测，不想测也没人逼你。

三级就不一样了那可是“每年必测”，一次都不能少。而且还得找专业的测评机构来测，不能自己瞎搞。测完了还要报给监管部门备案，人家还会定期来检查，看看你到底达没达标。要是没达标，可能还要罚款，或者让你整改，反正麻烦得很。我朋友的公司过三级，说光是测评就花了好几万，还要停工配合，折腾得够呛。

第三个区别：技术投入——二级“买个杀毒软件就行”，三级“买一堆高科技”？

这个区别就更明显了就是“花钱多少”的区别。二级等保，技术上要求不高，说白了就是搞点基础防护就行。比如买个防火墙，再装个杀毒软件，再搞个日志审计系统，再来个基础堡垒机。这些东西加起来可能几万块就能搞定，对于一般小企业还能接受，事实上...。

三级呢？那技术要求就高了去了得买一堆“高大上”的设备。什么WEB应用防火墙、数据库审计、数据脱敏、备份恢复系统，还有那个什么“平安态势感知”。这些东西加起来 少说也得几十万，而且还得满足一些特殊要求，比如日志要存半年以上，设备得24小时开着，还得有人专门维护。我听说有的企业为了过三级，光买设备就花了上百万，心疼死我了，反思一下。。

第四个区别：管理要求——二级“随便写制度”，三级“写一堆还要签字”？

除了技术，管理上区别也大。二级等保， 管理上很简单，就是写点基本的平安管理制度，比如“谁负责啥”“不能随便拷贝数据”之类的，明确一下岗位职责就行，不用搞太复杂的流程。什么审批啊、审计啊，能简化就简化，反正就是“差不多就行”。

划水。 三级就不一样了管理上严格得要命。得建立一整套完善的平安管理体系，什么人员保密协议、离职权限回收、运维变更规范流程、操作日志审计。还得让法务、业务、技术好几个部门一起搞，跨部门协同，麻烦死了。我听人说三级的管理制度文档能写好几本，跟写论文似的，看得人眼花缭乱。

第五个区别：监管力度——二级“没人管你”，三级“捕快盯着”？

再说说这个区别，就是监管的力度。二级等保， 属于“指导保护级”，说白了就是监管部门给你提提建议，告诉你该注意啥，但不会逼着你干啥，更不会罚款。只要你别出太大的事，一般没人管你。就像你家的孩子，老师有时候提醒一下学习，但不会天天盯着你，绝了...。

三级就不一样了属于“监督保护级”，监管部门盯得可紧了。你没达标，可能就要面临行政处罚，比如罚款、警告，严重的还可能让你停业。而且现在很多招投标、合作伙伴合作，都要求你有三级等保证书， 闹笑话。 不然根本不跟你玩。就像你考驾照，有了C1证能开小轿车，但要想开大货车，就得有B2证，不然没人敢用你。三级等保就像那个“高级驾照”，有了它，企业才能接更大的项目，赚更多的钱。

一下：二级适合小打小闹， 三级适合“大场面”

小丑竟是我自己。 反正我琢磨了半天等保二级和三级的区别，就是“简单”和“复杂”的区别，“便宜”和“贵”的区别，“没人管”和“有人盯着”的区别。如果你的企业就是个小公司，做个官网，内部用个OA系统，那过二级就够了没必要花冤枉钱搞三级。但要是你的系统涉及到金融、 医疗、政务这些重要领域，或者有很多用户敏感数据，那别想了老老实实搞三级吧，不然出了事，麻烦可比花钱大多了。

再说说说句实在话，等保这东西，虽然麻烦，但也是为了平安。现在网络这么发达，黑客那么多，系统不平安，出了事，企业损失不说老百姓也可能跟着遭殃。所以啊， 也许吧... 不管过二级还是三级，认真对待总是没错的。反正我就知道这么多，说得不对的地方，大家多担待，有懂行的，欢迎来评论区指教，别骂人就行，我怕。

哦对了 我听说还有人说等保二级和三级在“平安要求”上有区别，比如二级是“基础防护”，三级是“纵深防御”，什么“一个中心，三重防护”，听着就很高端，反正我也听不懂，大概意思就是三级防护更全面吧，能防更厉害的攻击。反正就是一句话：等级越高，防护越强，花钱越多，麻烦越大。行了不说了我得去吃晚饭了饿死了，当冤大头了。。