实施网络信息安全的关键根本原因是利用网络信息安全的评定，提升信息系统的信息安全保护能力，大幅度降低系统整改后遭受各种攻击的安全风险。总体而言，有许许多多内部系统的用户企业有不一样的目的，不一样的受众群体和用户。所以，我们就需要利用网络信息安全对现有的信息系统进行分类和澄清，并将子系统分类为网络信息安全的次关键等级，这是网络信息安全的分级工作。

等级保护认知误区一：已经托管了云系统，就不需要做等保

根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，该系统责任主体还是属于网络运营者自己，所以还是得承担相应的网络安全责任，该进行系统定级的还是得定级，该做等保的还是得做等保。

等级保护误区二：系统定级越低越好

最终定级是根据受侵害的客体以及对客体侵害的程度来确定的，以事实为根据，而不是主观随意定级。定级低了，表面上要求更容易满足，但相应的防护措施也相对不足，万一你的系统不小心被攻击破坏造成一定不良影响，在主管部门进行责任认定追查时，很有可能就会因为系统定级不合理，安全责任没有履行到位而被处罚。

等级保护认知误区三：系统定完级就有人来管了

所有非涉密系统都属于等级保护范畴，没有定级不代表不需要被监管，相反如果没有被纳入监管，反而会比较危险，哪天出了事就比较难收拾残局。定级后或者被监管，主管单位会在重点时刻对我们的重要信息系统进行一定扫描及保护，会及时告知发现的一些问题，避免发生网络安全攻击事件；同时一些重要的政策要求或者行业会议，也会通知你们过来参会，方便大家及时了解最新的网络安全形势，有利于大家开展好网络安全工作。

等级保护认知误区四：等级保护就是做个测评而已

等级保护工作不仅是一个测评而是包含：定级、备案、测评、建设整改和监督审查五项内容，测评只是其中一项。

等级保护认知误区五：等保测评做一次就可以了，以后随意

等保工作是一个持续的工作，等保测评也是一个周期性的工作，三级系统要求每年做一次，四级系统每半年做一次，二级系统部分行业明确要求每两年做一次，没有明确要求的行业建议大家两年做一次测评。

等级保护认知误区六：不做等保没关系，不出事就行

《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（五）法律、行政法规规定的其他义务。不做等保就属于第五个行为，国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例。所以等保及时去做，不要等。

等级保护认知误区七：系统在内网，就不需要再做等保了

首先所有非涉密系统都属于等级保护范畴，和系统在外网还是内网没有关系；其次在内网的系统往往其网络安全技术措施做的并不好，甚至不少系统已经中毒不浅。所以不论系统在内网还是外网都得及时开展等保工作。

等级保护认知误区八：等保测评做完就得花很多钱去整改了

整改花多少钱取决于你的信息系统等级、系统现有的安全防护措施状况以及网络运营者对测评分数的期望值，不一定要花很多钱甚至不花钱。

等级保护认知误区九：信息系统上云就安全了

很多单位认为网站和信息系统上云后就安全了，等保不用做了。信息系统是否上云，安全责任主体都不会变。各类云平台只提供平台和简单的安全措施，安全责任主体单位还是要按等保要求落实相应的安全工作，只是物理和环境安全等部分安全工作由云平台承担。

等级保护认知误区十：云系统是到注册经营地备案

云系统应当在系统实际运维团队所在地市网安部门进行系统备案，因为这样方便属地公安对系统进行监管。

以上是对“你真的对网络安全等级保护很了解吗？”的相关知识，开展信息安全等级保护工作，就是要解决我国信息安全面临的威胁和存在的主要问题。建立信息安全等级保护制度，开展信息安全等级保护工作，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务；有利于优化信息安全资源的配置，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；