答：至今等级保护2.0制度已经实施有一周年多，《网络安全等级保护测评高风险判定指引》于2020年12月1日正式实施，至此针对高风险项的判定将更加明确、规范。针对判定指引中列出的高风险项做了一些整理，列出以下这些在等保工作中的常见高风险项，这些高压红线项也正是我们开展等保工作中所需要避免的雷区。如果你们单位存在以下这些情况，那么你们的等保测评结论是“差”。针对技术部分要求整理出来一部分常见的高风险项，仅供大家参考。

云计算平台不在国内的不能选

二级及以上云计算平台其云计算基础设施需位于中国境内。如果你选择了一个境外的云平台，那么等保肯定过不了。

内部只有一个网段的不符合

二级及以上系统，应将重要网络区域和非重要网络区域划分在不同网段或子网。生产网络和办公网络，对外和对内的服务器区混在一起的都是高危风险。

不受控的无线网络随意接入内部网络

三级及以上系统，无线网络和重要内部网络互联不受控制，或控制不当，通过无线网络接入后可以访问内部重要资源，这是高风险项，所以在三级及以上系统中要对非法接入行为进行管控，建议大家上安全准入设备，不仅仅只针对无线网络管控。

无法对外部网络攻击行为进行检测、防止或限制

二级系统在网络边界至少部署入侵检测系统，三级及以上系统在网络边界应至少部署以下一种防护技术措施：入侵防御、waf、反垃圾邮件系统或APT等。

未配备日志审计的不符合

二级及以上系统无法在网络边界或关键网络节点对发生的网络安全事件进行日志审计，包括网络入侵事件、病毒攻击事件等。对关键网络设备、关键主机设备、关键安全设备等未开启审计功能同时也没有使用堡垒机等技术手段的也是不符合要求的。也就是以后只要做等保，日志审计将是一个标配，否则就是不符合。

重要数据存储保密性没有保护措施的不符合

三级及以上系统应采用密码技术保证重要数据（如鉴别数据、重要业务数据和重要个人信息）在存储过程中的保密性。如果这些重要数据是明文方式存储又没有部署数据库防火墙数据库防泄漏等产品的是高风险项。

没有数据备份措施的不符合

二级及以上系统应提供重要数据的本地数据备份和恢复措施，建议大家配备数据备份一体机，及时对自己的重要数据进行备份。另外重要数据、源代码等备份到互联网网盘、代码托管平台等不可控环境的也可以直接判为不符合，所以大家注意了，不要随便把自己的数据备份到不可控的外部环境。

违规采集、存储、访问和使用个人信息的不符合

二级及以上系统在未授权的情况下采集、存储用户个人隐私信息或采集、保存法律法规、主管部门严令禁止采集、存储的个人隐私信息。未授权使用或非法使用个人信息都是高风险。

等保制度是我国基本的网络安全制度，不论是从各类文件通知还是到《网络安全法》的规定，都是这样明确要求的。而从12月1日起，等保2.0已经正式正式实施。我们在开展等保工作也是在履行自己的网络安全义务，当然也在一定程度地规避风险。但我必须强调，不等于抛弃网络安全责任，而不是将安全责任交给等级保护测评机构或其他第三方。

安全责任首先肯定是甲方自己的，但是我们可以明确几种情况下的网络安全责任问题归属。

1、等保工作没有开展，出了问题，安全责任肯定是甲方自己去承担。

这个没有什么好说的，等保制度作为国家最基本的网络安全制度，如果哪家单位到目前为止还未开展等保工作的，那么只要出了网络安全问题，这个安全责任必须自己去承担，不论你的安全工作平时做的有多么好。

2、等保工作开展了，高危风险没有及时去整改，出了问题，安全责任主要责任是甲方的。

发现问题特别是高危风险，是要求立即进行整改的，甲方没有及时整改，那么这个主要责任肯定也是甲方的。为什么说是主要责任，网络安全工作是一件专业性很强的工作，不少甲方单位没有能力去整改，会去请自己的集成商、软件开发方或者运维方去整改。如果甲乙双方签订过类似合同，乙方有义务去整改而未及时整改完成的，那么出了问题理应承担一定责任。这里乙方为什么不是主要责任，不得不等认为高危风险是重大风险，甲方自己没有能力整改的应当及时督促第三方进行整改而不是放任不管。这里有一个例外情况，就是甲方和乙方签署过安全运维服务合同，合同中明确了双方的责任，特别是明确了高危风险由乙方去整改而未及时整改出了问题责任归属乙方的。

3、等保工作开展了，测评机构测评不合规，对已有高危风险未检测出而导致的安全问题，主要责任应当有测评机构承担，甲方负有次要责任。

测评机构做为第三方检测机构，理应具有基本的技术服务能力，对甲方的信息系统进行安全测试，应当发现已有的高危风险，所以未检测出高危风险，这个主要责任，测评机构必须承担。同时甲方平时也应当做好网络安全其他工作，保障系统的安全，也负有一定责任。

4、等保工作开展了，发现的高危风险及其他风险也及时整改了，出了问题，主要责任不属于甲方。

网络安全工作是一件专业性很强的工作，需要持续进行开展。安全也没有绝对的安全，但是作为甲方，自己该做的工作都需要及时做到，在自己力所能及的情况下开展好网络安全工作，再出了事自己这块的工作首先肯定是做到位的，即使还需要进行承担的话，也不会承担主要责任。比如单位内部人员蓄意把内部资料泄露出去，那么这个责任肯定是由泄露出的人去承担。

等保工作不是万能的，但是没有开展等保工作肯定是万万不能的。尤其网络安全法明确规定，如果没有开展等保测评，除了安全事故严重是要承担相应法律责任的。

信息安全问题从来不是小事，尤其是现在等保2.0即将实施，年末岁初的关键时期，网络安全事故频发，相关职能部门的检查也更为频繁。所以广大网络运营者需要及时开展等保工作。

从法规角度，《中华人民共和国网络安全法》第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。简单来说，是国家法律法规、相关政策制度要求我们去开展等级保护工作，不做就不合规，就违法。

从网络安全角度，企业可以合理地规避风险。企业通过等级保护，是对企业信息系统安全认证，帮助企业建立可靠、合规的网络安全环境。在发生重大安全事件时，主管单位会首先查看企业是否主观上重视信息安全，即企业是否开展等级保护工作。

以下这些行业必须开展等级保护工作：

■ 金融，尤其是互联网金融 （不做等保不允许经营，监管最严）

■ 医疗 （各大医院系统必须做等保，互联网医疗要想上线取得线上诊疗资质，必须过等保）

■ 教育 （211，985大学必须做等保，互联网+教育如学生管理系统、学校网站等重要系统必须做等保）

■ 能源 (上级主管部门要求）

■ 通信 (上级主管部门要求）

■ 交通 (上级主管部门要求）

■ 政府机关，企事业单位，央企（等保和负责人的绩效考核挂钩）

■ 征信行业（行业要求必须做等保）

■ 软件开发（行业或者甲方要求必须做等保）

■ 物联网（行业或者甲方要求必须做等保）

■ 工业数据安全（行业或者甲方要求必须做等保）

■ 大数据（行业或者甲方要求必须做等保）

■ 云计算 （阿里云，华为云，云电话，云视频，云服务等等）

■ 快递行业（不做等保不给换许可证）

■ 酒店行业（属于最近严查行业）

信息系统安全等级，由系统运用、使用单位依据GB/T22240-2020《信息系统安全等级保护定级指南》自主确定信息系统的安全保护等级，有主管部门的，应当经主管部门审批。对于拟确定为二级及以上信息系统，还应经专家评审会评审。新建信息系统在设计、规划阶段确定安全保护等级。

总共分为五个等级:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。 

二、备案

运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信 息系统在等级确定30日内备案。公安机关对信息系统备案情况进行审核，对符合要求的在10个工作日内颁发等级保护备案证明。对于定级不准 的，应当重新定级、重新备案。对于重新等级的，公安机关一般会建议备案单位组织专家进行重新定级评审。

三、建设整改

运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。。

四、等级测评

运营、使用单位或者主管部门应当选择合规测评机构，定期对信息系统安全等级状况开展等级测评。三级及以上信息系统至少每年进行一次等级测评，四级及以上信息系统至少每半年进行一次等级测评。

五、监督检查

公安机关依据信息安全等级保护管理规范，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。

受理备案的公安机关会对三级、四级信息系统进行检查，检查频次同测评频次。新系统开发建设之后，要及时开展等保测评或相关安全测试，避免系统带病上线，消除安全隐患。

等级保护工作完成后可获得公安部门出具的《信息系统安全等级保护备案证明》和测评机构出具《网络安全等级保护 XX系统 等级测评报告》。等级保护2.0测评最终结论分为优、良、中、差四种。

根据《网络安全等级保护条例》（征求意见稿）第二十三条规定：第三级以上网络的运营者应当每年开展一次网络安全等级测评。二级信息系统建议每两年开展一次测评。

需要。业务上云有多种情况，如在公有云、私有云、专有云和混合云不同属性的云上，并采用IaaS、PaaS、SaaS、IDC托管等服务，虽然安全责任边界发生了变化，但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则，应承担网络安全责任进行等级保护工作。

不一定。具体需要根据企业系统实际情况采购安全产品，盲目采购安全产品会造成不必要的浪费。慧等保在整改建设过程中可以根据企业对测评结果需求和现有安全防护措施的实际效果是否能保证业务抵抗风险，按需求开展安全建设工作。

指等级保护与分级保护，主要不同在监管部门、适用对象、分类等级等方面。

监管部门不一样，等级保护由公安部门监管，分级保护由国家保密局监管。

适用对象不一样，等级保护适用非涉密系统，分级保护适用于涉及国家密秘系统。

等级分类不同，等级保护分五个级别：第一级(自主保护)、第二级(指导保护)、第三级(监督保护)、第四级(强制保护)、第五级(专控保护)；分级保护分3个级别：秘密级、机密级、绝密级。

在《网络安全法》第二十一条规定：国家实行网络安全等级保护制度。属于法律、行政法规规定的其他义务。不做等保就等于违法。

国内已有多起因为不做等保遭受处罚的事件。部分行业对等保有明确规定和处罚。

2018年11月26日，工业和信息化部网络安全管理局对7家电信互联网企业落实《网络安全法》《通信网络安全防护办法》《电信和互联网用户个人信息保护规定》等法律法规情况进行了实地检查，针对检查发现的问题，责令企业进行整改，并进行了公示。

教育部2020年5月6日发布的通知：7月1日起，将对未完成备案的教育App提供者予以通报，限时1个月进行整改。7月31日前未完成整改的，将撤销教育App备案。

选择一个合适等级保护服务商。

慧等保是领先的新一代智能安全运营商，可以提供全流程的等级保护服务。

慧等保等级保护解决方案，为政企、金融、医疗、教育、互联网等在内的近千家企业提供全流程的等级保护服务。