網絡安全等級保護常見注意事項

1、等級測評并非安全認證 很多人容易把等保測評等同于安全認證。等保測評并非相當于ISO 20000系列的信息技術服務管理認證，也并非于ISO27000系列的信息安全管理體系認證。等級保護制度是國家信息安全管理的制度，是國家意志的體現。落實等級保護制度為了國家法律法規的合規需求。 等級保護測評沒有相應的證書，如何才能證明信息系統已經符合等級保護安全要求了呢？目前這主要是由公安部授權委托的全國一百多家測評機構，對信息系統進行安全測評，測評通過后出具《等級保護測評報告》，拿到了符合等保安全要求的測評報告就證明該信息系統符合了等級保護的安全要求。 

2、等保制度只是基本要求

等保制度只是基線的要求，通過測評、整改，落實等級保護制度，確實可以規避大部分的安全風險。但就目前的測評結果來看，幾乎沒有任何一個被測系統能全部滿足等保要求。一般情況下，目前等級保護測評過程中，只要沒發現高危安全風險，都可以通過測評。但是，安全是一個動態而非靜止的過程，而不是通過一次測評，就可以一勞永逸的。 企業通過落實等保安全要求，并嚴格執行各項安全管理的規章制度，基本能做到系統的安全穩定運行。但依然不能百分百保證系統的安全性。 

3、內網系統也需要做等級測評 

首先，所有非涉密系統都屬于等級保護范疇，和系統在外網還是內網沒有關系；《網絡安全法》規定，等級保護的對象是在中華人民共和國境內建設、運營、維護和使用的網絡與信息系統。因此，不管是內網還是外網系統，都需要符合等級保護安全的要求。

其次，在內網的系統往往其網絡安全技術措施做的并不好，甚至不少系統已經中毒不淺。2017年肆虐全球的永恒之藍勒索病毒攻擊，導致了大量內網系統癱瘓，這提醒我們內網系統的安全防護同樣不能馬虎。所以不論系統在內網還是外網都得及時開展等保工作。  

4、系統上云或者托管在其他地方就也需做等級測評 

目前，比較多的小型企業客戶偏向于把系統部署在云平臺與IDC機房。這些云平臺、IDC機房一般都通過了等級測評。不過，根據“誰運營誰負責，誰使用誰負責，誰主管誰負責”的原則，系統責任主體仍然還是屬于網絡運營者自己，所以，還是得承擔相應的網絡安全責任，該進行系統定級的還是得定級，該做等保的還是得做等保。 部署在云平臺的系統還需要購買云平臺的安全服務或者第三方安全服務，部署在IDC機房的系統還需要購買相應的安全設備以滿足等保安全要求。 

5、不可根據自己的主觀意愿來定級 

目前的等級保護對象（信息系統）的安全級別分為五個等級：1級為最低級別，5級為最高級別（5級為預留級別，市面上已定級的系統最高為4級）。如果定了1級，不需要做等級測評，自主進行保護即可。定2級以上就需要進行等級測評。系統級別的確定需要根據系統的重要性進行決定。如果定高了，有可能造成投資的浪費；定低了則有可能造成重要信息系統得不到應有的保護，應該謹慎定級。

等保1.0的要求是自主定級，有主管部門的需要主管部門審核，最終報送公安機關進行審核。等保2.0之后定級流程新增了“專家評審”和“主管部門審核”兩個環節，這樣定級過程將會變得更加規范，定級也會更加準確。 

6、系統備案場所 

《信息安全等級保護管理辦法》規定，等級保護的主體單位為信息系統的運營、使用單位。備案主體一般不會是開發商、系統集成商，而是最終的用戶方。