2026年等保2.0整改清单与制度包

PAGE2026年等保2.0整改清单与制度包政策法规·实用文档2026年·8960字

目录一、72小时进阶：一家被抽查的真实救火二、模板越全越翻车：制度不落地的代价与补救三、跨云多地如何定级与划边界：一个政企混合平台的拆解四、等保2.0整改清单的具体操作步骤（按周推进）五、定级与自评报告模板（可直接替换字段）一、系统概况二、定级结论与依据三、自评结果六、安全管理制度30项落地要点：账号、介质、变更等七、物理与主机安全检查表：门禁、视频、补丁八、边界与通信安全配置：ACL、防火墙、零信任的实操九、数据安全与备份制度：周期、密级标识、密钥管理十、日志审计留存怎么写：180天与关键溯源十一、整改计划与佐证样例：截图、台账、抽样比例十二、三类企业通关路线对比：共性提炼与里程碑十三、外部服务合同与责任边界样稿（含违约/争议/签署）一、定义二、服务范围三、双方权责四、保密与数据安全五、验收与缺陷修复六、费用与支付七、违约责任八、不可抗力九、争议解决十、知识产权十一、通知与送达十二、签署

题目里说的是等保2.0整改清单，别把它当成一本摆在架子上的合规手册。对多数企业，它更像是火场上的操作卡：拉闸、切换、通报、复位，哪一步慢了，后面都被动。这篇文章把我这几年见过的坑和解法收一遍，按“怎么救火、怎么落地、怎么举证、怎么签约划责”四条线展开。最后给你一包可直接替换的字段【】和条款，拿回去就能改。一、72小时进阶：一家被抽查的真实救火去年11月12日，杭州一家医疗SaaS遭到区网安部门抽查。当天16:10电话通知，要求48小时内提交网络边界拓扑、日志留存证明、等保自评报告初稿，72小时内完成高危漏洞修复和复核。公司的CIO一开始还在外地出差。真实场景只有两件事最要命：边界说不清，日志拉不出。时间线是这么跑的：1.第0到4小时，先定边界。我们把“系统边界”按访问路径倒推：对外入口【】、【】，入口后是WAF、防火墙、微服务网关、容器节点，再到数据库与对象存储。白板上画完，用Visio固化，第一版拓扑在19:20发给检查组。别追求美观，先跑通事实。对，先粗后细。2.第4到12小时，拉日志。从云WAF、负载均衡、主机Agent、审计系统抓取近180天日志留存证明。WAF有180天，主机只有90天。补救方案：立刻将日志汇聚到【ELK/阿里云SLS/华为云LTS】并下发加密归档规则，补齐至180天，“缺口期”的审计通过数据库审计和对象存储访问日志补证。提供“补齐计划”和“补齐前证据链”，检查组接受。3.第12到36小时，补洞。凌晨两点，容器镜像扫描扫出【CVE-2023-4911】高危，Nginx暴露目录索引。快速办法：替换镜像到【vX.Y.Z-20251112】、回滚Nginx配置、对外限流，全部变更走紧急变更单，留痕到【CHG-2025-11-12-001】。等保里，紧急变更不是不能做，不能没记录。4.第36到54小时，制度“绑实”。把已有的账号管理制度、变更管理制度、日志管理制度，与实际台账一一对应。比如账号冻结与离职同步，我们在【HR-IT联动表】里补充了“离岗T+0自动冻结”，并上传三条最近记录佐证。5.第54到72小时，预演通关。模拟抽检十题：日志抽查、口令策略、应急演练记录、备份还原证明、漏洞修复时效。每题准备截图与原始台账，负责人【姓名】、联系方式【电话】写在角标。检查那天，现场就三十分钟。这家公司为什么能过？不是材料多，而是“说得清、拉得出、证得上”。如果你也遇到日志保不到180天，先把未来的保留策略上线，同时说明“历史保留的替代证据链”，例如：数据库审计、对象存储访问日志、云厂商的安全通告响应记录。做不到一步到位，就做出合理合规的过渡方案，并在整改计划内承诺时间点【YYYY-MM-DD】。二、模板越全越翻车：制度不落地的代价与补救我见过太多人被一套200页的制度模板坑过。条款写得华丽，“不得、应当、需要”满篇，落地证明却只有空白台账。前年7月，深圳一家跨境电商在复测时被指出“账号生命周期制度未落地”，原因很简单：制度上写“离职T+1冻结”，台账里却找不到离职单号与冻结记录的关联。代价是二次整改，推迟发货系统扩容两周。怎么补：1.制度三件套矩阵。把制度条款逐条映射到“流程文件、记录载体、系统证据”。比如“口令最少12位、复杂度三类、90天更新”，落地对应是AD或IAM策略截图、策略变更记录、最近一次全员口令到期清单。没有对应关系的条款，要么删，要么改。2.每条款给一位业务主责。制度写“安全部负责监督”，等于没写。改成“数据部负责人【姓名】每月5日前导出【数据平台】敏感权限名单，并邮件抄送【安全邮箱】”。能追责，才会发生。3.设“制度粒度阈值”。别往一份总制度里塞所有细则。把“账号管理制度”拆成“通用账号规则、特权账号规则、第三方账号规则”三份，避免检查时被一处不合规拖累整份制度。4.台账三色标注。绿是例行，黄是偏离但有补救，红是违例并已闭环。检查现场，黄比空白强得多，能解释，也有行动。还有个关键点：样式统一。时间统一用【YYYY-MM-DDHH:mm:ss】，人名与岗位同列，系统名用全称【系统全称】与简称【系统简称】并存。检查的人也要看得顺。三、跨云多地如何定级与划边界：一个政企混合平台的拆解案例来自【省份】政务数据共享平台与下游企业应用的混合体。上层在【政务云A】，下层在【公有云B】，两地三中心，专线打通。麻烦出在“哪块定三级，哪块定二级，边界到底在哪”。拆法：1.按业务影响定级。政务共享交换核心平台定三级，企业侧数据消费与展示多为二级，但凡涉及“个人敏感信息集中处理”“影响超过【市/省】范围”的，最低三级起步。以GB/T22240评估原则做打分，给出“安全事件最大影响等级”表。2.画出“域—区—段”三层边界。域是政务域、企业域、管理域。区划应用区、数据区、管理区、DMZ区。段细化到VPC与子网CIDR，例如政务云A的VPC【/16】，DMZ子网【/24】。用这个结构决定哪些日志要互通，哪些只能汇聚到各自域。3.跨云通讯白名单化。MPLS专线、网络加速隧道的两端IP段、端口、协议列单，写到“跨域访问控制清单”，每条有审批单【CHG编号】。防火墙策略命名统一“SRC-DEST-PORT-PURPOSE”，例如“ENTDATA-GOVDWH-1521-ETL”。4.共享数据“镜像不出域”。数据交换采用标准化接口与消息队列【如Kafka/消息总线】传输，“存储副本”只留在源域，消费域仅留脱敏或聚合数据。审计链路保留“接口调用日志、数据条数、脱敏规则版本”。如果你遇到“云上云下边界难画”的情况，先从“日志归集与审计主体”倒推。谁是审计主体，谁就握边界。政务域的日志留在【省平台日志中心】，企业域留在【企业SLS】，跨域只保留摘要与哈希。四、等保2.0整改清单的具体操作步骤（按周推进）第1周快速摸底与止血1.资产梳理：主机【数量】、容器【数量】、数据库【类型/版本】、中间件【类型/版本】、公网入口【域名/IP】，形成资产清单【V1.0】。2.边界确定：出入口清单、VPC与子网、ACL、防火墙策略导出。3.基线核查：口令策略、最小权限、补丁状态、暴露端口扫描。4.日志现状：留存天数、采集覆盖率、时间同步。第2到3周制度与技术并行1.制度打补丁：把共性制度模板填上【部门/人名/时间】，同步产出台账模板。2.技术整改：关闭不必要端口、上线堡垒机、细化安全组、开启WAF、部署主机与数据库审计。3.漏洞闭环：高危72小时内修复，中危7天，低危30天，例外必须走审批【EXC-编号】。4.备份到位：关键库每日全量、每小时增量，三地三份，恢复演练一次并留存截图。第4周自评与证据固化1.定级报告与自评报告出【V1.0】，附件包括体系结构图、资产清单、日志留存、演练记录。2.证据体系：截图命名规范【系统-控制点-日期-责任人】，台账导出为PDF并加盖【电子章/骑缝章】。3.预审走查：邀请【第三方测评机构】做一次桌面预评，按扣分项补齐。五、定级与自评报告模板（可直接替换字段）报告封面系统名称：【系统全称】（简称：【系统简称】）建设单位：【单位全称】运维单位：【运维单位】报告版本：【V1.0】报告日期：【YYYY-MM-DD】一、系统概况1.系统用途与业务边界：该系统用于【用途】，服务对象【对象】，涉及数据类型【数据类型】，业务可用时段【7x24/工作日】。2.逻辑与物理架构：部署在【云厂商/自建IDC】，地域【城市/可用区】。网络划分为【应用区/数据区/管理区】，CIDR：【】。3.系统边界：对外暴露【域名/IP】共【数量】；对内调用【系统名称】清单见附件A。二、定级结论与依据1.影响面评估：按GB/T22240进行业务影响度评估，安全事件最大影响等级为【二级/三级】。2.等级建议：建议定为【三级】。理由：涉及【个人敏感信息/关键业务】且影响范围为【地市/省级】。3.定级流程：专家评审会时间【YYYY-MM-DD】，参会人员【名单】。三、自评结果1.对标标准：GB/T22239-2019、等保2.0实施指南【版本】。2.控制项符合率：共计【条目数】项控制，符合【百分比】；不符合【数量】项，部分符合【数量】项。3.主要问题与整改计划：见附件B《整改计划表》。附件A系统资产清单资产类型【服务器/容器/数据库】资产标识【主机名/IP/实例ID】所属区域【应用区/数据区/管理区】责任人【姓名/联系方式】重要性【高/中/低】附件B整改计划表编号【R-001】控制点【示例：A.3.1账号管理】问题描述【例如：口令长度不足】整改措施【升级IAM策略为12位复杂度】责任人【姓名】完成时限【YYYY-MM-DD】佐证材料【截图/台账】六、安全管理制度30项落地要点：账号、介质、变更等1.账号管理制度：统一身份源【AD/IDP名称】，开通与离职联动【HR系统名称】，特权账号双人审批。2.密码策略：最少12位，包含三类复杂度，90天更新，历史记忆5次，不得与账号名近似。3.最小权限：按岗位【岗位名称】配置角色，季度复核，例外权限【EXC-编号】。4.双因子认证：外网访问、特权操作、生产库登录必须二次认证【OTP/短信/硬件令牌】。5.介质管理：可移动介质默认禁用，启用须登记【介质编号】，出入库台账【台账编号】。6.变更管理：常规、紧急、标准三类变更，紧急变更24小时内补充评审。7.发布管理：灰度、回滚预案、版本签名【版本号】，生产审批【审批单号】。8.漏洞管理：扫描【每周/每月】，高危72小时闭环，例外审批。9.配置基线：主机CIS/等保基线，数据库安全参数，容器镜像白名单。10.补丁管理：高危补丁【7】天内完成，生产环境需演练与回退方案。11.日志管理：采集覆盖率≥95%，留存≥180天，时间同步误差≤1秒。12.审计制度：特权操作、敏感数据访问、策略变更全量审计，审计日志只读、不可篡改。13.备份管理：3-2-1策略，关键系统RPO【小时】、RTO【分钟】。14.密钥管理：KMS托管，主密钥轮换【90】天，密钥分级存储，离职立即回收。15.数据分类分级：数据分为【公开/内部/秘密/内部参考】，处理与传输按级控制。16.数据脱敏：非生产环境不得使用明文敏感数据，脱敏规则【规则编号】。17.访问控制：网络ACL最小化白名单，跨域通信审批。18.网络安全：WAF、IPS/IDS、DDoS防护处于开启状态并定期策略优化。19.终端安全：运维终端安装EDR，USB管控，磁盘加密。20.物理安全：门禁分级、访客登记、视频留存【≥90】天。21.供应商管理：准入评估、保密协议、第三方账号隔离。22.应急预案：场景库【勒索/数据泄漏/宕机】，每年至少两次演练。23.安全培训：新员工入职必修，年度考试合格率≥【90%】。24.安全审计外包：委托【机构名称】，明确范围、频次、交付物。25.开发安全：代码审计、依赖库治理、CI/CD门禁【SAST/DAST】。26.容器安全：镜像签名、运行时防护、命名空间隔离。27.云权限治理：RAM/IAM权限最小化，跨账号协作采用STS临时凭证。28.隐私合规：个人信息最小化收集，取得【隐私政策/授权】，可撤回机制。29.密件打印与销毁：双人审批、日志留痕、碎纸或物理销毁。30.安全度量：每月管理评审会，指标包括漏洞闭环率、审计覆盖率、事件处置时长。每条制度都要有“执行载体”。例如第11条日志管理，载体是【日志平台名称】里“采集清单、索引策略、归档策略”的截图与导出配置。七、物理与主机安全检查表：门禁、视频、补丁物理安全常见扣分点和对策：1.机房门禁：分级授权清单【人员名单】，近90天出入记录导出PDF并加盖【电子章】。2.视频监控：摄像头覆盖平面图，存储保留≥90天，抽查任意时段的回放截图。3.机柜管理：机柜锁具完好，布线标识清晰，闲置端口封堵【编号】。4.访客管理：访客登记表、随行人员清单、临时卡回收记录。主机安全自查项：1.禁止root远程直登，采用普通账户+sudo。配置文件【/etc/ssh/sshd_config】截图。2.SSH协议版本2，禁用空口令与弱口令，密码重试锁定5次10分钟。3.关闭不必要服务，列出端口清单并核对业务用途。4.日志落盘，关键日志转发至【日志平台】，磁盘满阈值告警80%。5.EDR/防护软件在管率≥95%，离管设备清单与处置记录。补丁策略：高危补丁7天内，重大0day按应急变更流程处理；不能立即修补的，采取隔离、限权、WAF规则临时加固，并在【YYYY-MM-DD】前完成有效改善。八、边界与通信安全配置：ACL、防火墙、零信任的实操1.ACL白名单化。写清楚源网段【】到目标网段【】的端口【】与协议【】，命名规则统一。每条ACL有业务说明与审批单号。2.防火墙策略整顿。按“任何拒绝、必要放行”的原则，从上到下放置，启用命中统计，90天无命中策略清退。3.WAF策略分组。对API与Web站点分组，基线规则、定制规则、CC限流分别上。所有放行都有“基于事件”的证据。4.零信任过渡。短期内先做“用户到应用”的多因子与设备指纹，中期再推进“应用到应用”的细粒度策略。别一步到位，容易断网。5.加密通信。TLS强制开启，最低TLS1.2，证书到期前【30】天自动告警与轮换。内部服务可用自签CA，但需统一信任与管理。6.跨云链路安全。IPSec或SSL网络加速，采用AES-256与SHA-2，密钥轮换【90】天，链路健康探测与自动切换策略开启。举个规则样例：规则名【PAY-DB-1521-ETL】源【/24】目的【5】端口【1521】协议【TCP】用途【支付ETL任务】审批【CHG-2026-0007】生效期【YYYY-MM-DD~YYYY-MM-DD】九、数据安全与备份制度：周期、密级标识、密钥管理1.数据分类分级。以“可识别个人+业务敏感度”二维划分：个人敏感信息、业务核心数据、内部运营数据、公开数据。每类都有处理准则与脱敏规则【规则编号】。2.标识与隔离。数据表、文件、报表要有密级标识；文件系统采用标签【内部参考/内部/公开】，共享目录按密级隔离。3.加密与密钥。传输用TLS，存储用数据库透明加密或磁盘加密；密钥由【KMS名称】托管，主密钥轮换每【90】天，访问采用最小权限，密钥操作需双人审批。4.备份策略。关键库每日全量、每小时增量；对象存储版本控制开启；跨地域异地备份到【地域】；备份保留周期【30/90/180】天，删除需二次确认。5.恢复演练。每季度对【系统名称】开展恢复演练，RTO目标【分钟】，RPO目标【小时】，演练记录与截图归档。6.数据出境与共享。境外访问走白名单与DLP检测，数据出境合规评估【评估编号】，共享走接口网关，禁止私下数据导出。如果你的生产库体量大，无法按小时增量，可切换到日志归档+位点复制，结合备份验证任务，确保可恢复性，而不是仅有“已完成”的备份状态。十、日志审计留存怎么写：180天与关键溯源等保2.0要求日志留存不少于180天，三级系统建议到12个月。写进制度要具体：1.范围：主机系统日志、应用访问日志、数据库审计日志、网络设备日志、安全设备日志、身份认证日志、变更与发布日志。2.时间同步：所有设备与服务对齐【NTP服务器】时间，偏差≤1秒。3.留存与归档：在线热数据【30/90】天，近线冷数据至【对象存储/归档存储】，全程加密，访问有审计。4.完整性保护：日志写入不可篡改，采用WORM策略或哈希链校验；跨系统同步日志的哈希摘要，定期对账。5.查询与告警：关键事件如“多次登录失败、权限变更、核心表大批量查询”，设定阈值与告警人【姓名/电话】。6.调阅流程：执法机关或审计需要调阅，走【单号】审批，限定范围与时段，调阅后7天内销毁副本并保留操作日志。举证方式：提交“日志平台索引策略截图、存储周期配置、随机抽取的180天前日志截图、归档检索命中截图、哈希校验报告”。别只说有，拿出能搜到老日志的证据。十一、整改计划与佐证样例：截图、台账、抽样比例整改计划表别只放一句“已整改”。要素包括：问题编号、控制点、整改动作、负责人、时间点、风险评估、回退方案、佐证材料链接。1.截图命名：系统-控制点-日期-责任人，例如【CRM-A3.1-2026-03-01-张三】。2.台账样式：字段含【记录日期/对象/动作/审批单号/执行人/复核人/备注】，导出PDF，加盖【电子章】。3.抽样比例：账号台账抽样不少于总量10%且不低于30条；日志抽查跨【三类】设备；变更记录覆盖【三个月】。4.交付清单：制度包【30项】、自评报告【V1.0】、资产清单【V1.0】、整改计划表【V1.0】、截图包【≥200张】、台账包【≥20份】、合同与责任边界说明【一份】。5.复测清单：对照不符合项逐条打勾，新增问题单独列出，不要混入旧问题。十二、三类企业通关路线对比：共性提炼与里程碑1.中小互联网企业共性问题：云上边界松散、日志留存不足、CI/CD缺门禁。路线：一周梳边界与日志，二周补制度与台账，三周关口令与权限，四周完成自评与预审。里程碑：WAF上线【日期】、堡垒机开通【日期】、日志180天达标【日期】、演练完成【日期】。2.制造业多地工厂共性问题：OT与IT混杂、机房视频不足、供应商账号混用。路线：先隔离OT，补视频与门禁，清理供应商账号，建立跨地备份。里程碑：OT/IT边界ACL生效、视频留存90天达标、第三方账号单独身份源、异地备份打通。3.政企混合平台共性问题：定级边界模糊、跨域日志互证不足、数据共享口径不一。路线：按域—区—段划边界，统一审计主体，接口网关加脱敏与节流。里程碑：定级报告评审通过、跨域审计链路连通、共享数据规则发布并执行。共性提炼就两句话：边界先行，证据先行。技术能临时加固，证据一旦缺失补起来最费劲。十三、外部服务合同与责任边界样稿（含违约/争议/签署）适用于等保整改外包、测评与运维委托。可直接替换字段。合同名称：【等保2.0整改与测评服务协议】甲方：【委托单位全称】乙方：【服务商全称】签署日期：【YYYY-MM-DD】签署地点：【城市】一、定义1.等保整改：指乙方依据等保2.0相关标准对甲方信息系统实施的差距分析、技术加固、制度完善及证据固化等活动。2.测评交付物：包括但不限于《定级报告》《自评报告》《整改计划表》《佐证材料包》《现场比对清单》。二、服务范围1.涵盖系统：【系统清单及边界】。2.标准依据：GB/T22239-2019、GB/T22240-2020及相关实施指南。3.交付物与时间表：乙方于【日期】前提交【交付清单】，甲方于【日期】完成验收。三、双方权责1.甲方提供真实、完整的系统资料与接入权限，指定项目负责人【姓名/电话】。2.乙方按时保质交付，保证整改措施不影响生产安全，涉及高风险操作应提交风险评估与回退方案。3.如需第三方参与，乙方应征得甲方书面同意并对第三方行为承担连带责任。四、保密与数据安全1.乙方对在本合同履行过程中获悉的甲方资料负有保密义务，未经甲方书面许可不得向任何第三方披露。2.涉及个人信息、重要数据的处理，应遵守相关法律法规与甲方的内部管理制度。项目完成后【7】个工作日内删除或返还全部资料，并提交销毁证明。五、验收与缺陷修复1.验收标准：以《交付物清单》及等保控制项符合性为准，达标条件为符合率不低于【百分比】，重大不符合项为【数量】以下。2.