【重點】：等保測評幾年做一次，根據規定，第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊安全需求進行等級測評。

1.等保測評是一項周期性、連續性的工作，不同等級要求0.5-2年做一次。

概述：許多企事業單位認為等級保護是一項正式的工作，抱著應對的態度，覺得做完這個就拉倒。

正確做法:需要持續進行等級保護，尤其是等保測評。不同級別的系統會有不同的評價周期要求：4級00.5年一次，3年一次，2年一次，2年一次(有行業差異，但都明確或建議2年一次)

擴展知識：等級保護評估是對系統保護水平的測試，不應處理。如果企業事業單位的制度按照等保險要求認真做好，同時也能有效地做好網絡安全工作。

2.如果你不做等級保護，你可能會面臨懲罰

概述：很多企事業單位認為，只要不涉及網絡安全、網絡攻擊事件，就可以不做等級保護，沒有事故。

正確做法：《中華人民共和國網絡安全法》第二十一條已作出相關規定（具體內容不再重復）。如果系統運營商未能進行等級保護，則屬于違反其他義務的行為，可能會受到處罰。以前也有類似的報告，所以及時進行等級保護。不要等到受到懲罰。

拓展知識:安全總是相對的，但要及時做好。嚴格執行政策法規的要求，也是保護企事業單位安全的一項措施。

3.即使系統在內網，也需要及時進行等級保護

概述:很多企事業單位將系統存在于單位內網或專網中，認為不對外=安全，這樣就不能進行等級保護工作。

正確的方法：只要不是機密系統，就需要等級保護，這與網絡無關。此外，內部網絡的保護措施可能比外部網絡弱，但容易中毒和攻擊。因此，即使是內部網絡系統也應及時進行等級保護！

擴展知識：內部網絡并不意味著安全，現在很少有純粹的物理內部網絡，其中大部分或多或少與互聯網相連。一旦內部網絡中毒，它會迅速傳播，很難清除，因為沒有許多技術措施，幾乎處于裸奔狀態。一旦中毒，它很容易交叉。

4、等保測評以系統為單位，不能針對單位整體進行

概述：在現實中，許多企業事業單位不了解等級保護的意義。他們錯誤地認為這是為單位開展的業務，并覺得對自己的單位進行等級保護評估已經完成。

正確做法：等保測評如果以系統為單位，需要做多少次信息系統等保測評。

拓展知識：信息系統通常由服務器、主機、數據庫、設備等多種物體組成，等保測評除實物測量外，還需要測量相關的安全管理制度。

5、等保測評整改后的費用由系統的等級、措施等決定，不一定很高

概況:總有企事業單位擔心等保測評安全建設整改需要花費大量資金。

正確的做法：等待整改需要花多少錢，與信息系統的水平、現有的安全保護措施和網絡運營商對評估分數的期望有關，不一定很高，可能不會花錢！

等保測評項目中遇到的六大誤區

誤區一：系統已上云或托管，就不用做等保

系統責任主體是屬于網絡運營者自己，需要承擔相應的網絡安全責任

誤區二：系統定級越低越好

系統定級需要合理，安全責任沒有履行到位會被處罰

誤區三：等保工作做測評就可以

測評只是等級保護工作中的一項

誤區四：等保測評做過一次就可以了

等保工作需要根據具體的行業規定需求安排合理的評測時間

誤區五：系統在內網，不需要做等保

所有非涉密系統都屬于等級保護范疇

誤區六：單位整體做一個等保測評

等保測評是按照信息系統來的，而不是單位