为什么有些公司要做信息安全等级保护

　　信息安全等级保护是在等级保护1.0时期对于等级保护的全称，在等保2.0相关标准发布后，被称为网络安全等级保护。那么，什么公司需要做信息安全等级保护呢?这个疑问大家一定非常好奇。

　　2017年6月1日，《中华人民共和国网络安全法》正式实施。其中第二十一条明确规定，国家实行网络安全等级保护制度，进一步明确网络安全等级保护制度的法律地位。

　　为顺应当前的网络安全要求，等级保护从原来的“信息安全等级保护”变更为“网络安全等级保护”，标志着实施了10余年之久的信息安全等级保护制度从1.0跨入了2.0的新阶段。

　　在等保1.0时代测评对象还只是一些重大的信息系统，例如一些电力、银行、政府、教育、医疗的一些重要的业务系统。随着等保2.0发布，2019年12月1日实施后，就需要把测试对象拓展到网络和信息系统，包括了互联网、移动互联网、物联网、云计算和大数据。

　　按照一般规定来看只要涉及网络和信息系统都需要参与等保定级，但是等级保护一级是无需开展等级保护测评，只需要参与自主定级备案就好。

　　对于一些普通公司，官网没有什么重要信息，也需要做好相关管理，不要很久都不去更新和打开。这样的网站很容易被人盯上，一旦遭攻击网页被篡改，而公司没有及时处理，被公安部门发现，并且由于这个网页出现一些网络安全事件，到时候罚款是少不了。目前已经有几家公司因为出现网站安全问题，没有及时处理，而且没有开展等级保护工作，并且没有按照要求留存6个月以上的网络日志。

　　处罚依据的法规：《中华人民共和国网络安全法》第五十九条第一款规定，网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

　　由于现在国家很重视网络安全，特别是针对公司、事业单位和政府机关的网络安全工作落实情况很重视。因此最近一些以前不需要开展等级保护公司也许会陆续接到相关部门的开展等保工作的通知，当然接到通知也无需太担心。可以先去当地的公安部了解清楚实际情况，然后如实开展等级保护定级申请，定级备案确定后，如果是二级以上的需要开展等保测评。这时候可以找当地的测评机构或者找得到当地公安认可的网络安全服务商开展等保测评。测评通过后提交测评报告给公安监管部门就好。

　　由于等保2.0正式实施时间快到了，我们就来看看等保2.0的分级依据吧，各位自己可以先依据自己了解的情况，预估一下自己的定级情况，定级请参考下图：