等保測評常見存在誤區有哪些

• 誤區一：我的系統已經上云或者系統托管到其他地方，系統就不歸我管了，就不用做等保了

  根據“誰運營誰負責，誰使用誰負責，誰主管誰負責”的原則，該系統責任主體還是屬于網絡運營者自己，所以還是得承擔相應的網絡安全責任，該進行系統定級的還是得定級，該做等保的還是得做等保。系統上云或托管后，并不是安全責任主體轉移，只是系統所在機房地址的變更，當然在公有云模式下，Iaas、Paas、Saas不同模式相應的安全責任會有些區別，但是并不是沒有責任。

• 誤區二、系統定級越低越好

  首先系統到底定幾級是根據受侵害的客體以及對客體侵害的程度來確定的，是以事實為根據，而不是拍腦袋決定的。系統等級定低了，乍一看可能工作上是容易做了，但是反而是我們沒有落實好網絡安全保護義務的直接表現，系統等級低了相應的安全防護要求也低了，那么萬一你的系統不小心被攻擊破壞造成一定不良影響，在主管部門進行責任認定追查時，很有可能就會因為系統定級不合理，安全責任沒有履行到位而被處罰。得不償失，還是安安穩穩把自己該做的工作做好。

• 誤會三：系統定完級就有人來管了

  所有非涉密系統都屬于等級保護范疇，沒有定級不代表不需要被監管，相反如果沒有被納入監管，反而會比較危險，哪天出了事就比較難收拾殘局。定級后或者被監管，主管單位會在重點時刻對我們的重要信息系統進行一定掃描及保護，會及時告知發現的一些問題，避免發生網絡安全攻擊事件；同時一些重要的政策要求或者行業會議，也會通知你們過來參會，方便大家及時了解最新的網絡安全形勢，有利于大家開展好網絡安全工作。

• 誤會四：等級保護工作就是做個測評就可以

  等級保護工作不僅是一個測評而是包含：定級、備案、測評、建設整改和監督審查五項內容，測評只是其中一項。

• 誤會五：等保測評做過一次就可以了，以后隨便做不做

  等保工作是一個持續的工作，等保測評也是一個周期性的工作，三級系統要求每年做一次，四級系統每半年做一次，二級系統部分行業明確要求每兩年做一次，沒有明確要求的行業建議大家兩年做一次測評。

• 誤會六：不做等保沒關系，只要不出事就行

  《中華人民共和國網絡安全法》第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（五）法律、行政法規規定的其他義務。不做等保就屬于第五個行為，國內目前已經有公開報道的因沒有落實等級保護制度而被處罰的真實案例。所以等保及時去做，不要等。

• 誤會七：系統在內網，就不需要做等保了

  首先所有非涉密系統都屬于等級保護范疇，和系統在外網還是內網沒有關系；其次在內網的系統往往其網絡安全技術措施做的并不好，甚至不少系統已經中毒不淺。所以不論系統在內網還是外網都得及時開展等保工作。

• 誤會八：等保測評做完就得花很多錢去整改

  整改花多少錢取決于你的信息系統等級、系統現有的安全防護措施狀況以及網絡運營者對測評分數的期望值，不一定要花很多錢甚至不花錢。

回答所涉及的環境：聯想天逸510S、Windows 10。