等保测评常见误区

一、做完等保测评什么时候可以拿到证书？

有大一部分人都会把等保测评认作是安全认证。但等保测评其实并非如同ISO 20000系列或ISO27000系列的信息技术服务管理认证一般，认证完给到用户对应的证书。那么，等级测评做完没有证书，如何证明信息系统已经符合等级保护安全要求了呢？

正常情况下，都是有测评机构对信息系统进行安全测评完后，会出具《等级保护测评报告》。所以说，企业只要拿到符合等保安全要求的测评报告，就可以证明该自己的信息系统符合等级保护的安全要求了。

二、系统上云后，就不需要开展等保工作了？

如今，越来越多的企业都会选择将自身系统和数据部署在云平台上管理，而这些云平台自身是已经通过等保测评的，所以很多企业就认为自己就不用再开展等保工作了。

其实并不是这样的，等保要求中是要求：“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，既然系统责任主体还是属于企业。那么，还是需要承担相应的网络安全责任，开展等保测评工作的。

三、企业可以根据自身意愿来定级？

很多企业都是担心，定级过高后，测评要求也会变高，到时候想要通过等保就不容易了。所以，很多都想着不如自己定个级别低些的，比较省事。

在等保1.0时代，的确事要求自主定级，有主管部门的需要主管部门审核，最终报送公安机关进行审核就可以了。

不过到了等保2.0时代之后，定级流程新增了“专家评审”和“主管部门审核”两个环节，这也意味着定级过程将会变得更加规范、严格，定级也会更加准确。