等级保护7个常见的错误标题

误区一

一些客户经常问：我们做完等保测评之后，多久可以拿到证书？很多人把等保测评等同于安全认证。

《中华人民共和国网络安全法》中第二十一条明确规定：

运营者

由此可见，等保测评并非相当于ISO 20000系列的信息技术服务管理认证，也并非于ISO27000系列的信息安全管理体系认证。

等级保护制度是国家信息安全管理的制度，是国家意志的体现。落实等级保护制度为了国家法律法规的合规需求。

等级保护测评没有相应的证书，如何才能证明信息系统已经符合等级保护安全要求了呢？

目前这主要是由公安部授权委托的全国一百多家测评机构，对信息系统进行安全测评，测评通过后出具《等级保护测评报告》，拿到了符合等保安全要求的测评报告就证明该信息系统符合等级保护的安全要求。

误区二

做完等保测评就没有安全问题了。

很多人认为，完成等保测评就万事大吉。其实，等保制度只是基线的要求，通过测评、整改，落实等级保护制度，确实可以规避大部分的安全风险。但就目前的测评结果来看，几乎没有任何一个被测系统能全部满足等保要求。

一般情况下，目前等保测评过程中，只要没发现高危安全风险，都可以通过测评。

但是，安全是一个动态而非静止的过程，而不是通过一次测评，就可以一劳永逸的。

企业通过落实等保安全要求，并严格执行各项安全管理的规章制度，基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。

因此，更重要是提升企业安全防护能力，及时把工作做到位。

误区三

内网系统不需要做等级测评

不少用户的系统都在单位内网或者专网中运行，因此不要认为系统不对外就相对安全，而因此不做等保要求。

首先，所有非涉密系统都属于等级保护范畴，和系统是否在内网没有关系；《中华人民共和国网络安全法》规定，等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此，不管是内网还是外网系统，都需要符合等级保护安全要求。

其次，在内网系统往往其网络安全技术措施做的并不够完善，甚至不少系统已经“中毒不浅”。

不论是内网系统还是外网系统，都应及时开展等保工作。

误区四

系统上云或者托管

在其他地方就不需做等保测评

目前，比较多的小型企业客户偏向于把系统部署在云平台与IDC机房。这些云平台、IDC机房一般都通过了等保测评。不过，根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，系统责任主体仍然还是属于网络运营者自己。

所以，还是得承担相应的网络安全责任，进行系统定级或开展等保测评工作。

部署在云平台的系统还需要购买云平台的安全服务或者第三方安全服务，部署在IDC机房的系统还需要购买相应的安全设备以满足等保安全要求。

误区五

可根据自己的主观意愿来定级

一些客户担心：系统定级定高了，后期给自己工作增加麻烦，一方面等级高了，技术要求高了，需要做的工作多了；另一方面，三级系统需要每年都做测评，也觉得麻烦。所以想着系统定个二级就可以了，自己省事。

▸ 目前的等级保护对象（信息系统）的安全级别分为五个等级：

▸ 一级为最低级别，五级为最高级别（五级为预留级别，市面上已定级的系统最高为4级）。

▸ 如果定了一级，不需要做等保测评，自主进行保护即可。定二级以上就需要进行等保测评。

系统级别的确定需要根据系统的重要性进行决定。如果定高了，有可能造成投资的浪费；定低了则有可能造成重要信息系统得不到应有的保护，应该谨慎定级。

等保1.0的要求是自主定级，有主管部门的需要主管部门审核，最终报送公安机关进行审核。

等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节，这样定级过程将会变得更加规范，定级也会更加准确。

误区六

不知道系统应该在哪里备案。

《信息安全等级保护管理办法》规定，等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商，而是最终的用户方。

目前有些单位的注册地跟运营地不一致，正常情况下需要去运营地区的网安部门办理备案手续。比如客户注册地在北京海淀区，运营部门在北京朝阳区，需要到北京朝阳区办理定级备案手续，当然，前提是北京朝阳区必须有正规办公地址。

有些单位的系统部署在云平台，云平台的实际物理地址往往和云系统网络运营者不在同一地址。而且，有些单位的运维团队和注册经营地址也不一致。这种情况下，云系统应当在系统实际运维团队所在地市网安部门进行系统备案，因为这样会方便属地公安对系统进行监管。

所以，大部分情况下，还是需要到系统的运维人员实际所在地进行定级备案。当然也有一些特殊行业的要求，比如一些涉及到金融安全的行业，比如互联网金融系统、支付系统需要属地化管理，这些系统需要在注册地办理定级备案手续，以满足本地的监管要求。

误区七

等保测评整改需较多经费。

一些客户有疑虑：等保测评不需要花费很多，但是测评后需要进行安全建设整改，需要较多经费。

实际上，整改所需费用取决于网络运营者的信息系统等级、系统现有的安全防护措施状况以及网络运营者对测评分数的期望值。

整改的内容大体分为：安全制度完善、安全加固等安全服务以及安全设备的添置。在安全制度及安全加固上网络运营者可以自主做很多整改工作或者委托系统集成方进行加固，有这两块内容的加持，结合自身安全技术措施，基本上可以达到基本符合的结论。