二级信息安全等级保护备案每两年复评？复评材料准备清单

两年一“体检”，等保复评真不是走个过场！

很多企业做完等保备案后，就以为“上保险”了，结果两年一到，突然被通知要复评，手忙脚乱翻旧材料、补漏洞、赶报告……其实，等保二级的复评不是“重考”，而是一次实实在在的“健康复查”——系统有没有老化？人员有没有变动？新上的小程序、云服务有没有悄悄绕过安全策略？这些都得重新拉出来过一遍筛子。

复评≠重来，但真得“动真格”

有人问：“上次备案材料还热乎着，能不能直接复用？”答案很实在：部分可用，但绝不能照搬。比如去年用的《定级报告》框架还能沿用，但里面的系统架构图、网络拓扑、新增的API接口清单、员工权限变更记录……这些动态信息，必须更新到最近一个月。九蚂蚁服务过的客户里，超六成卡在“材料陈旧”这关——不是不会做，是没把复评当成一次主动梳理资产的机会。

这5类材料，现在就得开始归档

别等到复评通知下来才翻箱倒柜！我们建议企业日常就养成“复评预备包”习惯：
✅ 最新版《网络安全管理制度》（含新员工安全培训签到+课件）
✅ 近6个月的漏洞扫描与整改闭环记录（尤其Web应用、数据库日志）
✅ 等保设备清单+运维日志（防火墙策略变更、WAF规则更新时间戳）
✅ 第三方系统接入说明（比如对接了微信小程序、钉钉审批流，得附上数据流向图）
✅ 全员签署的《网络安全责任承诺书》（注意：必须是最新版，带手写签名和日期）

别让“小疏忽”拖垮整个流程

最常被忽略的其实是“人”的环节：安全负责人换了岗没同步备案？外包运维团队没纳入管理制度？甚至办公电脑的杀毒软件版本过期三个月……这些细节，在复评现场核查时，专家一眼就能揪出来。九蚂蚁协助客户复评时发现，30%的延期问题，根源不在技术，而在管理留痕不连续。

等保复评，本质是给企业安全水位线做一次校准。材料齐不齐，反映的是日常有没有真把安全当回事；准备顺不顺，背后是团队协作有没有形成闭环。与其临阵磨枪，不如把复评变成一次轻量级的“安全自检日”——毕竟，合规不是终点，而是让业务跑得更稳的起点。