《等保2.0系列（三）：定级方法与第二级详解——从“影响一群人”到“S和A”》

在上一章中我们了解了等保2.0第一级别的划分详情，在这篇文章中我们来了解一下等保2.0的划分条件和详情。

等保2.0中对于第二级别的定级原则是会对公民、法人和其他组织的合法权益造成严重损害或特别严重损害；或者对社会秩序和公共利益造成危害，但不危害国家安全。

值得注意的是第二级别属于指导保护级，第二级要求定级备案（向公安机关提交材料），但不强制要求进行等级测评（即由第三方机构出具正式报告）。也就是说如果系统划分达到第二等级，那么需要像公安机关提交定级报告和备案表，证明系统定级合规。但是不强制要求进行等级测评。

虽然不要求强制测试，不会造成更高级别测试—>不合格，整改—>再测试的循环中，但是安全无小事，公安机关的网安会随时抽查，不合格的会面临行政处罚。

在等保2.0中测评通常是指第三方测评，即必须由具备国家认证资质（持有《网络安全等级保护测评机构推荐证书》）的独立机构来执行的测评而自我测评不包含在内。

那么那些系统属于第二级别的划分呢？典型对象就是如普通高校教务系统、区县级医院信息系统、中小企业的ERP系统等的大部分普通企事业单位业务系统。

这么说大家可能会很疑惑，因为从第二级别开始，划分就变得复杂化了，而且等保2.0中第二级别以上定级不在由自己说了算，是由所以这次我们不能从具体系统代表来讲了。

首先请大家记住一点，等保2.0中第二级别以上的定级有一整套完整的流程，包括但不限于专家评审和备案审核，所以现在我们从等保2.0划分的核心原则，系统损害后受影响面来理解。

作为损害后受影响面由系统数据和服务两个方面构成，请记住第一章中就高不就低的原则，所以数据和服务无论哪个超出第二级别的划分，系统都会升级为更高的等级。

系统数据方面主要分为，系统损害后，数据所有者的范围和数据的敏感性这两者，我将对照等保2.0一至四个等级设立S1-S4四个等级。

S1：数据所有者是谁？仅个人。数据敏感性如何？任意类型。

泄露或篡改后后果多大？对个人合法权益造成一般损害。

一句话判断：数据是你自己的，丢了只影响你自己。

S2：数据所有者是谁？公司内部员工或有限客户群体。数据敏感性如何？一般敏感（手机号、邮箱、地址、订单记录等）。

泄露或篡改后后果多大？对个人合法权益造成严重损害或特别严重损害。

一句话判断：数据涉及一批人，但不危害社会。

S3：数据所有者是谁？不特定公众或海量用户。数据敏感性如何？高度敏感（身份证、银行卡、病历、行踪轨迹、人脸指纹、儿童信息等）。

泄露或篡改后后果多大？对社会秩序和公共利益造成严重危害。

一句话判断：数据涉及公众，泄露会导致社会性灾难。

S4：数据所有者是谁？国家安全范畴。数据敏感性如何？国家秘密或核心敏感数据。

泄露或篡改后后果多大？对国家安全造成严重危害。

一句话判断：数据涉及国家安全，底线中的底线。

根据2025年实施的《网络数据安全管理条例》和相关国标，敏感数据的判定可参考下表：

系统服务方面就要简单一些，主要分为就是系统服务面对谁提供服务，以及如果服务损害受影响有多大？这方面我同样按照等保2.0分为A1—A4四个方面。

A1：服务面对谁？仅个人。服务中断后影响多大？只影响个人，可忍受。

一句话判断：系统停了，只有你自己不方便。

A2：服务面对谁？公司内部员工或有限客户群体。服务中断后影响多大？影响公司正常运营或损害客户权益，但不危害社会。

一句话判断：系统停了，公司内部乱一阵，社会无感知。

A3：服务面对谁？不特定公众或全社会。服务中断后影响多大？严重影响社会秩序或公共利益。

一句话判断：系统停了，社会公众跟着遭殃。

A4：服务面对谁？国家安全相关领域。服务中断后影响多大？严重危害国家安全。

一句话判断：系统停了，国家安全受威胁。

因此，只要一个系统的数据类型属于S1或S2（不涉及高度敏感的公众数据），且服务范围属于A1或A2（不面向不特定公众），它就不会超过第二级。两者取最高值，就是系统的最终等级。

由此可判断等保2.0中第二级别的划分公式为：S<=2&&A<=2 即系统数据所有者为公司内部员工或有限客户群体且数据敏感性为一般敏感（手机号、邮箱、地址、订单记录。服务面对公司内部员工或有限客户群体。服务中断后影响公司正常运营或损害客户权益，但不危害社会。

下一篇文章我们来看看等保2.0中第三级别的划分要求。

//注：好像明天要上课去，而且好像也没有必要了S和A的定级也把剩下的都说完了，我看看吧。