大白话谈谈为什么要做等保测评

 其实很多用户单位不明白到底应该不应该做网络安全等级保护测评，今天我们就简单的来说说吧。

首先下面的几个原因先看下：

第一，   网络安全等级保护测评是为了发现用户单位系统内、外部存在的安全网险和脆弱性，通过整改后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。一般用户单位内部系统较多，用途不一样，受众群体和使用用户也不一样，那我们就需要通过等级保护测评去梳理分析我们现有的信息系统，将不同系统分不同重要等级进行分等级保护，这就是等保测评的定级工作。

第二，   等级保护是我国关于信息安全的基础政策，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国信息安全保障工作实行等级保护制度提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月发布的关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号，以下简称“43号文件”）规定了实施信息安全等级保护工作的操作办法。

2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，网络安全法第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

简单总结下就是国家法律法规、相关政策制度要求我们去展开等级保护级测评工作，不做就不合规，就违法。

第三，   很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育、物流等行业，还有一些主管单位发过相关文件或通知要求去做。另外信息安全主管单位要求我们去开展等级保护工作，主要有:公安、网信办、经信委、通管局等行业主管单位。

   所以不做等保的话，没法向相关主管单位和行业领导们交待。

第四，    合理地规避风险。每年都会出现一些大的信息安全事件，我们日常经常听到或看到的有，某某网站网页被篡改了，用户敏感信息被泄露了，更多的一些小范围安全事件我们清楚，但是在发生。那么发生比较大的安全事件，首先主管的单位们要去现场调查，首先就会看我们到底有没有开展等级保护工作，那么如果你没有，最直接的一个结论就是你的信息安全工作没有开展好，没有开展到位，国家最基本的信息安全等级保护工作都没做，你说你买了很多防火墙，很多安全设备，那都是说不清道不明的，不如你实实在在拿出备案证明，拿出测评报告说服力强。出了问题难免就会被通报批评，被勒令下线整改，那么开展了等级保护测评工作和没有开展等级保护测评工作被通报的内容就显然不同了，即“有证驾驶和无证驾驶”的区别。最简单的例子：一个主观上重视安全工作但是因为技术还不够好而被攻击造成的破坏和一个主观上都不重视安全工作被攻击造成破坏的情况，孰轻孰重，一目了然。但是怎么叫主观上重视呢？等保测评工作有没有开展就是衡量的一个重要标准，因为等级保护测评是国家基本信息安全制度要求。

原因分析了，那等保测评的意义也就有了：

一、     降低信息安全风险，提高信息系统的安全防护能力（实质）;

二、     满足国家相关法律法规和制度的要求（合规）;

三、     满足相关主管单位和行业要求（合规）;

四、     合理地规避或降低风险（备案证明）。

习主席多次强调：要加大对维护国家安全所需的物质、技术、装备、人才、法律、机制等保障方面能力建设，更好适应国家安全工作需要。意见在国家安全工作上要加大投入，那网络安全是国家安全的一部分，也是应当加大投入的。等级保护测评又是国家信息安全的基本制度，下次我们再申请等级保护工作经费，领导不批，就直接把这篇文章发给他好了：自己看，别说我没告诉你，出了事，可不是我的责任哦。

最后等级保护测评已经成了一个必须硬性标准了，而且网络安全法也在不断完善，如果用户单位有实力能早做等保测试的尽量早早就开始做。