1.為什么要做等保系統(tǒng)定級(jí)？

等保2.0在2019年12月1日開(kāi)始實(shí)施之后，政府機(jī)關(guān)、金融行業(yè)、電信行業(yè)、能源行業(yè)、企業(yè)單位、醫(yī)療行業(yè)、教育行業(yè)都被要求做信息系統(tǒng)定級(jí)?！毒W(wǎng)絡(luò)安全法》明確規(guī)定信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求，履行安全保護(hù)義務(wù)，如果拒不履行，將會(huì)受到相應(yīng)處罰。

2. 等級(jí)測(cè)評(píng)工作流程

定級(jí)——備案——安全建設(shè)整改——等級(jí)測(cè)評(píng)——檢查，大概的就是這些流程。簡(jiǎn)單的來(lái)說(shuō)，做等保就和看病一樣。

如果一個(gè)人生病了，就得看醫(yī)生，通過(guò)CT或者核磁共振等設(shè)備進(jìn)行詳細(xì)檢查，針對(duì)檢查出的每一個(gè)問(wèn)題給出具體的治療建議，經(jīng)過(guò)治療強(qiáng)健身體降低再患病的風(fēng)險(xiǎn)或者減小患病后對(duì)人體造成的損害。

如果一個(gè)信息系統(tǒng)有風(fēng)險(xiǎn)，就得做等保，通過(guò)各類設(shè)備工具比如漏掃設(shè)備等進(jìn)行全面詳細(xì)的檢查，針對(duì)檢查出的每一個(gè)風(fēng)險(xiǎn)漏洞給出具體的整改建議，經(jīng)過(guò)整改提高信息系統(tǒng)的信息安全防護(hù)能力,降低系統(tǒng)被各種攻擊的風(fēng)險(xiǎn)，保證重要的信息系統(tǒng)在有攻擊的情況下能夠很好地抵御攻擊或者被攻擊后能夠快速的恢復(fù)應(yīng)用,不造成重大損失或影響。

3.要是不進(jìn)行等級(jí)保護(hù)的影響有多大？
如果符合以下三個(gè)特征，并且安全保護(hù)等級(jí)是二級(jí)及以上，還必須通過(guò)等級(jí)保護(hù)測(cè)評(píng)。

等級(jí)保護(hù)定級(jí)對(duì)象的三大基本特征：

①具有確定的主要安全責(zé)任主體；

②承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用；

③包含相互關(guān)聯(lián)的多個(gè)資源。

也許有人會(huì)抱有僥幸心理，感覺(jué)不進(jìn)行等保也無(wú)所謂。非也非也，不進(jìn)行等保還會(huì)面臨處罰等嚴(yán)重后果。

舉個(gè)例子：

河南省安陽(yáng)市內(nèi)黃縣教師培訓(xùn)與教育究中心網(wǎng)站自上線運(yùn)行以來(lái)，始終未進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)的定級(jí)備案、等級(jí)測(cè)評(píng)等工作，導(dǎo)致網(wǎng)站存在高危漏洞，造成網(wǎng)站發(fā)生被黑客攻擊入事件。根據(jù)《網(wǎng)絡(luò)安全法》第二十一條和五十九條之規(guī)定，內(nèi)鄉(xiāng)縣公安局網(wǎng)安大隊(duì)依法對(duì)河南省安陽(yáng)市內(nèi)黃縣教師培訓(xùn)與教育研究中心被處一萬(wàn)元罰款，法人代表許某某被處五千元罰款。

因此，我們除了要認(rèn)識(shí)到等級(jí)保護(hù)的重要性，還要避免在日常開(kāi)展等級(jí)保護(hù)工作中一些誤區(qū)，只有正確認(rèn)識(shí)等保，才能防患于未然↓↓

.1等級(jí)保護(hù)是否是強(qiáng)制性的，可以不做嗎？
答:《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行相關(guān)的安全保護(hù)義務(wù)。同時(shí)第七十六條定義了網(wǎng)絡(luò)運(yùn)營(yíng)者是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。

等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)雖然為非強(qiáng)制性的推薦標(biāo)準(zhǔn)，但網(wǎng)絡(luò)（個(gè)人與家庭網(wǎng)絡(luò)除外）運(yùn)營(yíng)者必須按網(wǎng)絡(luò)安全法開(kāi)展等級(jí)保護(hù)工作。

.2、“等?！迸c“分?！庇惺裁磪^(qū)別？
答:指等級(jí)保護(hù)與分級(jí)保護(hù)，主要不同在監(jiān)管部門、適用對(duì)象、分類等級(jí)等方面。

監(jiān)管部門不一樣，等級(jí)保護(hù)由公安部門監(jiān)管，分級(jí)保護(hù)由國(guó)家保密局監(jiān)管。

適用對(duì)象不一樣，等級(jí)保護(hù)適用非涉密系統(tǒng)，分級(jí)保護(hù)適用于涉及國(guó)家密秘系統(tǒng)。

等級(jí)分類不同，等級(jí)保護(hù)分5個(gè)級(jí)別：一級(jí)(自主保護(hù))、二級(jí)(指導(dǎo)保護(hù))、三級(jí)(監(jiān)督保護(hù))、四級(jí)(強(qiáng)制保護(hù))、五級(jí)(專控保護(hù))；分級(jí)保護(hù)分3個(gè)級(jí)別：秘密級(jí)、機(jī)密級(jí)、絕密級(jí)。

3、我的系統(tǒng)已經(jīng)上云或者系統(tǒng)托管到其他地方，系統(tǒng)就不歸我管了，就不用做等保了？
答:根據(jù)“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)，誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則，該系統(tǒng)責(zé)任主體還是屬于網(wǎng)絡(luò)運(yùn)營(yíng)者自己，所以還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任，該進(jìn)行系統(tǒng)定級(jí)的還是得定級(jí)，該做等保的還是得做等保。

.4、等級(jí)保護(hù)工作就是做個(gè)測(cè)評(píng)就可以？
答:等級(jí)保護(hù)工作不僅是一個(gè)測(cè)評(píng)而是包含：定級(jí)、備案、測(cè)評(píng)、建設(shè)整改和監(jiān)督審查五項(xiàng)內(nèi)容，測(cè)評(píng)只是其中一項(xiàng)。

5、系統(tǒng)在內(nèi)網(wǎng)，就不需要做等保了？
答:首先所有非涉密系統(tǒng)都屬于等級(jí)保護(hù)范疇，和系統(tǒng)在外網(wǎng)還是內(nèi)網(wǎng)沒(méi)有關(guān)系；其次在內(nèi)網(wǎng)的系統(tǒng)往往其網(wǎng)絡(luò)安全技術(shù)措施做的并不好，甚至不少系統(tǒng)已經(jīng)中毒不淺。所以不論系統(tǒng)在內(nèi)網(wǎng)還是外網(wǎng)都得及時(shí)開(kāi)展等保工作。

6、不做等保沒(méi)關(guān)系，只要不出事就行？
答:《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條 國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。不做等保就屬于第五個(gè)行為，國(guó)內(nèi)目前已經(jīng)有公開(kāi)報(bào)道的因沒(méi)有落實(shí)等級(jí)保護(hù)制度而被處罰的真實(shí)案例。所以等保及時(shí)去做，不要等。

7、等保測(cè)評(píng)做過(guò)一次就可以了，以后隨便做不做？
答:等保工作是一個(gè)持續(xù)的工作，等保測(cè)評(píng)也是一個(gè)周期性的工作，三級(jí)系統(tǒng)要求每年做一次，四級(jí)系統(tǒng)每半年做一次，二級(jí)系統(tǒng)部分行業(yè)明確要求每?jī)赡曜鲆淮危瑳](méi)有明確要求的行業(yè)建議大家兩年做一次測(cè)評(píng)。

8、是否系統(tǒng)定級(jí)越低越好？
答:不是。可根據(jù)實(shí)際業(yè)務(wù)系統(tǒng)的情況參照定級(jí)標(biāo)準(zhǔn)進(jìn)行定級(jí)，采用“定級(jí)過(guò)低不允許、定級(jí)過(guò)高不可取”的原則。當(dāng)出現(xiàn)網(wǎng)絡(luò)安全事件進(jìn)行追責(zé)的時(shí)候，如因系統(tǒng)定級(jí)過(guò)低，需承擔(dān)系統(tǒng)定級(jí)不合理、安全責(zé)任沒(méi)有履行到位的風(fēng)險(xiǎn)。

(注意：等級(jí)保護(hù)最后需要由等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)出具“等級(jí)保護(hù)測(cè)評(píng)報(bào)告”)