测评报告：等级保护测评四大常见误区

误区一：

一些客户经常问：我们做完等保测评之后，多久可以拿到证书？很多人把等保测评等同于安全认证。

《中华人民共和国网络安全法》中第二十一条明确规定：

由此可见，等保测评并非相当于ISO 20000系列的信息技术服务管理认证，也并非于ISO27000系列的信息安全管理体系认证。

《网络安全法》第二十一条规定

等级保护制度是国家信息安全管理的制度，是国家意志的体现。落实等级保护制度为了国家法律法规的合规需求。

等级保护测评没有相应的证书，如何才能证明信息系统已经符合等级保护安全要求了呢？

目前这主要是由公安部授权委托的全国一百多家测评机构，对信息系统进行安全测评，测评通过后出具《等级保护测评报告》，拿到了符合等保安全要求的测评报告就证明该信息系统符合等级保护的安全要求。

误区二：

系统上云或者托管，在其他地方就不需做等保测评了。

目前，比较多的小型企业客户偏向于把系统部署在云平台与IDC机房。这些云平台、IDC机房一般都通过了等保测评。不过，根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，系统责任主体仍然还是属于网络运营者自己。

所以，还是得承担相应的网络安全责任，进行系统定级或开展等保测评工作。

部署在云平台的系统还需要购买云平台的安全服务或者第三方安全服务，部署在IDC机房的系统还需要购买相应的安全设备以满足等保安全要求。

误区三：

可根据自己的主观意愿来定级。

一些客户担心：系统定级定高了，后期给自己工作增加麻烦，一方面等级高了，技术要求高了，需要做的工作多了；另一方面，三级系统需要每年都做测评，也觉得麻烦。所以想着系统定个二级就可以了，自己省事。

▸ 目前的等级保护对象（信息系统）的安全级别分为五个等级：
▸ 一级为最低级别，五级为最高级别（五级为预留级别，市面上已定级的系统最高为4级）。
▸ 如果定了一级，不需要做等保测评，自主进行保护即可。定二级以上就需要进行等保测评。

系统级别的确定需要根据系统的重要性进行决定。如果定高了，有可能造成投资的浪费；定低了则有可能造成重要信息系统得不到应有的保护，应该谨慎定级。

等保1.0的要求是自主定级，有主管部门的需要主管部门审核，最终报送公安机关进行审核。

等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节，这样定级过程将会变得更加规范，定级也会更加准确。

误区四：

不知道系统应该在哪里备案。

《信息安全等级保护管理办法》规定，等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商，而是最终的用户方。

目前有些单位的注册地跟运营地不一致，正常情况下需要去运营地区的网安部门办理备案手续。比如客户注册地在北京海淀区，运营部门在北京朝阳区，需要到北京朝阳区办理定级备案手续，当然，前提是北京朝阳区必须有正规办公地址。

有些单位的系统部署在云平台，云平台的实际物理地址往往和云系统网络运营者不在同一地址。而且，有些单位的运维团队和注册经营地址也不一致。这种情况下，云系统应当在系统实际运维团队所在地市网安部门进行系统备案，因为这样会方便属地公安对系统进行监管。

所以，大部分情况下，还是需要到系统的运维人员实际所在地进行定级备案。当然也有一些特殊行业的要求，比如一些涉及到金融安全的行业，比如互联网金融系统、支付系统需要属地化管理，这些系统需要在注册地办理定级备案手续，以满足本地的监管要求。

• 上一篇：信通院牵头、融360参编《数据安全管理体系全景观察》正式发布
• 下一篇：江西省数据条例（征求意见稿）