不进行等级保护影响有多大？

作者：叶子
原文出自：云子可信官方论坛

《信息安全等级保护定级指南》规定，只要符合以下三个特征，必须进行等级保护备案。

如果符合以下三个特征，并且安全保护等级是二级及以上，还必须通过等级保护测评。

等级保护定级对象的三大基本特征：

①具有确定的主要安全责任主体；

②承载相对独立的业务应用；

③包含相互关联的多个资源。

也许有人会抱有侥幸心理，感觉不进行等保也无所谓。非也非也，不进行等保还会面临处罚等严重后果。

图片

举个例子：

四川宜宾市翠屏区教师培训与教育究中心网站自上线运行以来，始终未进行网络安全等级保护的定级备案、等级测评等工作，导致网站存在高危漏洞，造成网站发生被黑客攻击入事件。根据《网络安全法》第二十一条和五十九条之规定，内乡县公安局网安大队依法对四川宜宾市翠屏区教师培训与教育研究中心被处一万元罚款，法人代表唐某某被处五千元罚款。

因此，我们除了要认识到等级保护的重要性，还要避免在日常开展等级保护工作中一些误区，只有正确认识等保，才能防患于未然↓↓

Q&A

• NO.1等级保护是否是强制性的，可以不做吗？

答:《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。

等级保护相关标准虽然为非强制性的推荐标准，但网络（个人与家庭网络除外）运营者必须按网络安全法开展等级保护工作。

• NO.2“等保”与“分保”有什么区别？

答:指等级保护与分级保护，主要不同在监管部门、适用对象、分类等级等方面。

监管部门不一样，等级保护由公安部门监管，分级保护由国家保密局监管。

适用对象不一样，等级保护适用非涉密系统，分级保护适用于涉及国家密秘系统。

等级分类不同，等级保护分5个级别：一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)；分级保护分3个级别：秘密级、机密级、绝密级。

• NO.3我的系统已经上云或者系统托管到其他地方，系统就不归我管了，就不用做等保了？

答:根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，该系统责任主体还是属于网络运营者自己，所以还是得承担相应的网络安全责任，该进行系统定级的还是得定级，该做等保的还是得做等保。

• NO.4等级保护工作就是做个测评就可以？

答:等级保护工作不仅是一个测评而是包含：定级、备案、测评、建设整改和监督审查五项内容，测评只是其中一项。

• NO.5系统在内网，就不需要做等保了？

答:首先所有非涉密系统都属于等级保护范畴，和系统在外网还是内网没有关系；其次在内网的系统往往其网络安全技术措施做的并不好，甚至不少系统已经中毒不浅。所以不论系统在内网还是外网都得及时开展等保工作。

• NO.6等保测评做过一次就可以了，以后随便做不做？

答:等保工作是一个持续的工作，等保测评也是一个周期性的工作，三级系统要求每年做一次，四级系统每半年做一次，二级系统部分行业明确要求每两年做一次，没有明确要求的行业建议大家两年做一次测评。

• NO.7不做等保没关系，只要不出事就行？

答:《中华人民共和国网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（五）法律、行政法规规定的其他义务。不做等保就属于第五个行为，国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例。所以等保及时去做，不要等。

• NO.8是否系统定级越低越好？

答:不是。可根据实际业务系统的情况参照定级标准进行定级，采用“定级过低不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候，如因系统定级过低，需承担系统定级不合理、安全责任没有履行到位的风险。