做等保前，你必须知道的6件事

近年来，随着各项网络安全法规的陆续出台，合规要求也更加全面深入。统计显示，仅2024年第一季度，各监管机构就通报了几十起网络安全处罚事件，最高罚款达430万元。做好等保建设，保护网络信息安全成为企业持续发展的必要基础。下面我们梳理了一些关于等保工作常见问题和误区。

什么样的企业需要做等保？

有些中小企业觉得本身业务体量不大，不会有安全风险，所以没必要做等保，其实不然。根据《中华人民共和国网络安全法》规定，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。事实上，只要你的企业涉及到网络、信息系统等相关事宜，都应该及时按照评级严格进行等保建设，否则不仅容易遭到网络攻击，还可能面临法律和行政处罚风险。

内网、系统上云/托管可不可以不做等保？

从法律法规的角度来说，所有非涉密系统都属于等级保护范畴，内网也不例外，而且内网的系统往往更容易因为安全措施不到位而遭到攻击。另外，系统是否上云/托管，系统部署的云平台是否已经通过了等保，都不能改变该系统安全责任的主体，无法将责任转嫁，只能有限度地影响事件责任的划分。

是不是系统上线之后才能开始定级备案？

网络安全等级保护有三同步原则，即同步规划、同步建设、同步使用。根据监管要求，在系统的建设之初就应该进行定级备案，然后按照相应等级标准进行规划建设。如果等到建设完成再定级反而有可能因定级不准确，或建设之初没有按照相应等级要求落实安全措施，造成后续测评不通过的情况。

系统定级是不是越低越好？

当前等保系统定级，是按照等级保护对象受破坏时所侵害的客体和对客体造成侵害的程度来划分的，企业并不能随意定级。2019年发布的等保2.0里定级流程甚至专门新增了“专家评审”和“主管部门审核”两个环节，定级过程变得更加规范，定级也更加准确。

系统定级低虽然能够短时间内节约资金和时间成本，但会导致系统缺乏相应的防御能力，一旦出现问题，不仅自身业务受到损害，还容易因为系统定级不合理、安全责任没有履行到位而加重处罚，所以企业在做等保时一定不能心存侥幸。

等保就是堆设备，买了就能通过？

等保的基本要求是技术要求，很多不同设备都能实现同类安全功能，设备多不代表效率更高更安全。何况随着等保2.0的出台，不仅将“安全管理中心”纳入安全技术要求中，也对测评计分规则进行了改动，以往“重设备，轻管理”的思路不再可行。对于企业而言，只有真正从业务安全角度出发，及时发现安全问题，合理布置安全设备，提高安全管理效率，提升员工安全意识，不断建设完善企业安全体系，才能最大化抵御风险、避免损失。

等保项目都一样，做等保越便宜越好？

等保是一个系统化工程，需要对被测系统进行详细调研，综合技术、管理等多方面差距形成详细的整改方案。每个系统都有其独特性和适用性，对评估和实施人员有很高的安全素质要求，通过测评只是企业自身安全检查的手段，而不是等保的目的，我们需要更清楚的认识系统风险，并对其不断优化完善，安全才是最高性价比。