1.為什么要做等保系統(tǒng)定級？

等保2.0在2019年12月1日開始實施之后，政府機關(guān)、金融行業(yè)、電信行業(yè)、能源行業(yè)、企業(yè)單位、醫(yī)療行業(yè)、教育行業(yè)都被要求做信息系統(tǒng)定級?！毒W(wǎng)絡(luò)安全法》明確規(guī)定信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度要求，履行安全保護義務(wù)，如果拒不履行，將會受到相應(yīng)處罰。

2. 等級測評工作流程

定級——備案——安全建設(shè)整改——等級測評——檢查，大概的就是這些流程。簡單的來說，做等保就和看病一樣。

如果一個人生病了，就得看醫(yī)生，通過CT或者核磁共振等設(shè)備進(jìn)行詳細(xì)檢查，針對檢查出的每一個問題給出具體的治療建議，經(jīng)過治療強健身體降低再患病的風(fēng)險或者減小患病后對人體造成的損害。

如果一個信息系統(tǒng)有風(fēng)險，就得做等保，通過各類設(shè)備工具比如漏掃設(shè)備等進(jìn)行全面詳細(xì)的檢查，針對檢查出的每一個風(fēng)險漏洞給出具體的整改建議，經(jīng)過整改提高信息系統(tǒng)的信息安全防護能力,降低系統(tǒng)被各種攻擊的風(fēng)險，保證重要的信息系統(tǒng)在有攻擊的情況下能夠很好地抵御攻擊或者被攻擊后能夠快速的恢復(fù)應(yīng)用,不造成重大損失或影響。

3.要是不進(jìn)行等級保護的影響有多大？
如果符合以下三個特征，并且安全保護等級是二級及以上，還必須通過等級保護測評。

等級保護定級對象的三大基本特征：

①具有確定的主要安全責(zé)任主體；

②承載相對獨立的業(yè)務(wù)應(yīng)用；

③包含相互關(guān)聯(lián)的多個資源。

也許有人會抱有僥幸心理，感覺不進(jìn)行等保也無所謂。非也非也，不進(jìn)行等保還會面臨處罰等嚴(yán)重后果。

舉個例子：

河南省安陽市內(nèi)黃縣教師培訓(xùn)與教育究中心網(wǎng)站自上線運行以來，始終未進(jìn)行網(wǎng)絡(luò)安全等級保護的定級備案、等級測評等工作，導(dǎo)致網(wǎng)站存在高危漏洞，造成網(wǎng)站發(fā)生被黑客攻擊入事件。根據(jù)《網(wǎng)絡(luò)安全法》第二十一條和五十九條之規(guī)定，內(nèi)鄉(xiāng)縣公安局網(wǎng)安大隊依法對河南省安陽市內(nèi)黃縣教師培訓(xùn)與教育研究中心被處一萬元罰款，法人代表許某某被處五千元罰款。

因此，我們除了要認(rèn)識到等級保護的重要性，還要避免在日常開展等級保護工作中一些誤區(qū)，只有正確認(rèn)識等保，才能防患于未然↓↓

.1等級保護是否是強制性的，可以不做嗎？
答:《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行相關(guān)的安全保護義務(wù)。同時第七十六條定義了網(wǎng)絡(luò)運營者是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。

等級保護相關(guān)標(biāo)準(zhǔn)雖然為非強制性的推薦標(biāo)準(zhǔn)，但網(wǎng)絡(luò)（個人與家庭網(wǎng)絡(luò)除外）運營者必須按網(wǎng)絡(luò)安全法開展等級保護工作。

.2、“等?！迸c“分?！庇惺裁磪^(qū)別？
答:指等級保護與分級保護，主要不同在監(jiān)管部門、適用對象、分類等級等方面。

監(jiān)管部門不一樣，等級保護由公安部門監(jiān)管，分級保護由國家保密局監(jiān)管。

適用對象不一樣，等級保護適用非涉密系統(tǒng)，分級保護適用于涉及國家密秘系統(tǒng)。

等級分類不同，等級保護分5個級別：一級(自主保護)、二級(指導(dǎo)保護)、三級(監(jiān)督保護)、四級(強制保護)、五級(專控保護)；分級保護分3個級別：秘密級、機密級、絕密級。

3、我的系統(tǒng)已經(jīng)上云或者系統(tǒng)托管到其他地方，系統(tǒng)就不歸我管了，就不用做等保了？
答:根據(jù)“誰運營誰負(fù)責(zé)，誰使用誰負(fù)責(zé)，誰主管誰負(fù)責(zé)”的原則，該系統(tǒng)責(zé)任主體還是屬于網(wǎng)絡(luò)運營者自己，所以還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任，該進(jìn)行系統(tǒng)定級的還是得定級，該做等保的還是得做等保。

.4、等級保護工作就是做個測評就可以？
答:等級保護工作不僅是一個測評而是包含：定級、備案、測評、建設(shè)整改和監(jiān)督審查五項內(nèi)容，測評只是其中一項。

5、系統(tǒng)在內(nèi)網(wǎng)，就不需要做等保了？
答:首先所有非涉密系統(tǒng)都屬于等級保護范疇，和系統(tǒng)在外網(wǎng)還是內(nèi)網(wǎng)沒有關(guān)系；其次在內(nèi)網(wǎng)的系統(tǒng)往往其網(wǎng)絡(luò)安全技術(shù)措施做的并不好，甚至不少系統(tǒng)已經(jīng)中毒不淺。所以不論系統(tǒng)在內(nèi)網(wǎng)還是外網(wǎng)都得及時開展等保工作。

6、不做等保沒關(guān)系，只要不出事就行？
答:《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條 國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。不做等保就屬于第五個行為，國內(nèi)目前已經(jīng)有公開報道的因沒有落實等級保護制度而被處罰的真實案例。所以等保及時去做，不要等。

7、等保測評做過一次就可以了，以后隨便做不做？
答:等保工作是一個持續(xù)的工作，等保測評也是一個周期性的工作，三級系統(tǒng)要求每年做一次，四級系統(tǒng)每半年做一次，二級系統(tǒng)部分行業(yè)明確要求每兩年做一次，沒有明確要求的行業(yè)建議大家兩年做一次測評。

8、是否系統(tǒng)定級越低越好？
答:不是?？筛鶕?jù)實際業(yè)務(wù)系統(tǒng)的情況參照定級標(biāo)準(zhǔn)進(jìn)行定級，采用“定級過低不允許、定級過高不可取”的原則。當(dāng)出現(xiàn)網(wǎng)絡(luò)安全事件進(jìn)行追責(zé)的時候，如因系統(tǒng)定級過低，需承擔(dān)系統(tǒng)定級不合理、安全責(zé)任沒有履行到位的風(fēng)險。

(注意：等級保護最后需要由等級保護測評機構(gòu)出具“等級保護測評報告”)