信息安全等级保护系统定级越低越好？

信息安全等级保护系统定级越低越好？

背景：一些客户担心系统定级定高了后期给自己工作增加麻烦，一方面等级高了，技术要求高了，需要做的工作多了；另一方面三级系统需要每年都做测评，也觉得麻烦。所以想着系统定个二级就可以了，自己省事。

答：首先系统到底定几级是根据受侵害的客体以及对客体侵害的程度来确定的，是以事实为根据，而不是拍脑袋决定的。系统等级定低了，乍一看可能工作上是容易做了，但是反而是我们没有落实好网络安全保护义务的直接表现，系统等级低了相应的安全防护要求也低了，那么万一你的系统不小心被攻击破坏造成一定不良影响，在主管部门进行责任认定追查时，很有可能就会因为系统定级不合理，安全责任没有履行到位而被处罚。得不偿失，还是安安稳稳把自己该做的工作做好。

扩展：系统定级按照等保1.0的要求是自主定级，有主管部门的需要主管部门审核，最终报送公安机关进行审核。所以定级并不是想定几级就定几级的。预计今年会发布的等保2.0里定级流程新增了“专家评审”和“主管部门审核”两个环节，这样定级过程将会变得更加规范，定级也会更加准确。

过安全等级保护认证三级，请访问： https://www.gdidc.com.cn/dengbao/