误区一：

一些客户经常问：我们做完等保测评之后，多久可以拿到证书？很多人把等保测评等同于安全认证。

《中华人民共和国网络安全法》中第二十一条明确规定：

由此可见，等保测评并非相当于ISO 20000系列的信息技术服务管理认证，也并非于ISO27000系列的信息安全管理体系认证。

《网络安全法》第二十一条规定

等级保护制度是国家信息安全管理的制度，是国家意志的体现。落实等级保护制度为了国家法律法规的合规需求。

等级保护测评没有相应的证书，如何才能证明信息系统已经符合等级保护安全要求了呢？

目前这主要是由公安部授权委托的全国一百多家测评机构，对信息系统进行安全测评，测评通过后出具《等级保护测评报告》，拿到了符合等保安全要求的测评报告就证明该信息系统符合等级保护的安全要求。

误区二：

系统上云或者托管，在其他地方就不需做等保测评了。

目前，比较多的小型企业客户偏向于把系统部署在云平台与IDC机房。这些云平台、IDC机房一般都通过了等保测评。不过，根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，系统责任主体仍然还是属于网络运营者自己。

所以，还是得承担相应的网络安全责任，进行系统定级或开展等保测评工作。

部署在云平台的系统还需要购买云平台的安全服务或者第三方安全服务，部署在IDC机房的系统还需要购买相应的安全设备以满足等保安全要求。

误区三：

可根据自己的主观意愿来定级。

一些客户担心：系统定级定高了，后期给自己工作增加麻烦，一方面等级高了，技术要求高了，需要做的工作多了；另一方面，三级系统需要每年都做测评，也觉得麻烦。所以想着系统定个二级就可以了，自己省事。

▸ 目前的等级保护对象（信息系统）的安全级别分为五个等级：

▸ 一级为最低级别，五级为最高级别（五级为预留级别，市面上已定级的系统最高为4级）。

▸ 如果定了一级，不需要做等保测评，自主进行保护即可。定二级以上就需要进行等保测评。

系统级别的确定需要根据系统的重要性进行决定。如果定高了，有可能造成投资的浪费；定低了则有可能造成重要信息系统得不到应有的保护，应该谨慎定级。

等保1.0的要求是自主定级，有主管部门的需要主管部门审核，最终报送公安机关进行审核。

等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节，这样定级过程将会变得更加规范，定级也会更加准确。