从法规角度，《中华人民共和国网络安全法》第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。简单来说，是国家法律法规、相关政策制度要求我们去开展等级保护工作，不做就不合规，就违法。

从网络安全角度，企业可以合理地规避风险。企业通过等级保护，是对企业信息系统安全认证，帮助企业建立可靠、合规的网络安全环境。在发生重大安全事件时，主管单位会首先查看企业是否主观上重视信息安全，即企业是否开展等级保护工作。

以下这些行业必须开展等级保护工作：

■ 金融，尤其是互联网金融 （不做等保不允许经营，监管最严）

■ 医疗 （各大医院系统必须做等保，互联网医疗要想上线取得线上诊疗资质，必须过等保）

■ 教育 （211，985大学必须做等保，互联网+教育如学生管理系统、学校网站等重要系统必须做等保）

■ 能源 (上级主管部门要求）

■ 通信 (上级主管部门要求）

■ 交通 (上级主管部门要求）

■ 政府机关，企事业单位，央企（等保和负责人的绩效考核挂钩）

■ 征信行业（行业要求必须做等保）

■ 软件开发（行业或者甲方要求必须做等保）

■ 物联网（行业或者甲方要求必须做等保）

■ 工业数据安全（行业或者甲方要求必须做等保）

■ 大数据（行业或者甲方要求必须做等保）

■ 云计算 （阿里云，华为云，云电话，云视频，云服务等等）

■ 快递行业（不做等保不给换许可证）

■ 酒店行业（属于最近严查行业）