1、云平台布设系统应在系统实际运维团队所在地市网安部门进行系统定级备案。

概况：现在已经是各种云平台大行其道的时代，很多企事业单位都选择了将自己的系统布设在云端，这就会出现一个很实际的问题：布设运营单位和云平台的实际物理地址很有可能地址并不相同，还避免不了的出现大型云平台物理节点众多，无法确定具体地址的情况。在这种情况下，云系统应该选择去哪个注册地址备案呢？如果再出现云系统的运维团队不在企事业所在的注册地办公又怎么办？去企事业单位的注册地址备案么？

正确做法：企事业单位建设的云系统应该去该系统的真正运行和维护团队所在地市的网络安全部门进行系统备案，这样更方便所属地公安机关对云系统进行有效的监管。

2、无论系统放在哪里，都需要对网络运营者进行系统定级和等级保护。

概况：目前市面上存在很多云，分成公有云和私有云，但无论系统是存在云端还是托管在IDC机房，系统创建者往往觉得系统已经不存在于自己的机房，系统的安全运维就与自己无关，所以可以不用做等保等工作了。

正确做法：“谁运营谁负责，谁使用谁负责，谁主管谁负责”是基本原则，系统无论存放在哪里，它的责任主体都应该属于该系统真正的网络运营方，必须承担相关网络安全责任，都需要按照相关要求积极对系统进行定级、等保等工作。

3、系统定二级还是三级，是以事实为依据，非人为决定。

概况：在现实情况中，很多企事业单位在给系统定级时，都希望能选择低级别，因为技术要求不高，相关工作量少，测评的间隔时间更长，后期麻烦少。所以希望定低级别，更省事。

正确做法：系统定级是根据受侵害的客体以及对客体侵害的程度来确定的，是依据事实基础而定。如果擅自将级别定低，可能导致系统的安全防护措施达不到抵制攻击破坏的要求，防护能力不足，造成不好的影响。这是网络运营方没有好好落实网络安全保护义务的一种表现，直接可能导致主管部门对其追责，甚至进行处罚。

4、系统不定级也存在监管，定级能帮助运营单位发现问题、开展工作。

概况：很多企事业单位不希望给自己的系统定级，因为不希望总是接受主管单位的检查，增加很多在他们看来没必要的麻烦，怕处处受限，感觉不好。

正确做法：只要系统不涉密就属于等级保护范畴有，主管单位会监管所有的系统，无论是否定级。而且如果出事了，没有定级的系统会更麻烦。主管单位会为定级系统的重要信息进行定期的扫描和保护，如果发现了问题也会及时告知，防止系统被黑客攻击。同时，主管单位也会定期召开会议，方便定级系统运营单位了解最新的政策、网安形势，帮助开展网安工作。所以及时进行系统定级，是非常必要的。

5、等级保护包含五项内容，等保测评只是其中一项

概况：有很多企事业单位都以为做等级保护就是系统定级+备案+测评。

正确做法：等级保护工作包含五项内容，分别是：定级、备案、测评、建设整改和监督审查，等保测评只是其中一项，所以要做的工作还有很多！

拓展知识：对于等级保护相关工作而言，等保测评只是一个开端，相关单位让系统运营单位做等保，是为了分析系统可能存在的风险并及时的修补漏洞，改正错误，找出和健康系统之间存在的差距。所以等级保护的关键在于建设整改和提高系统的安全防护能力，这样才能使系统尽可能地避免受到黑客攻击等恶意破坏。

6、等保测评是周期性、持续性工作，不同等级要求0.5-2年做一次。

概况：很多企事业单位觉得等级保护是一个形式性的工作，抱有应付态度，觉得“做完这次就拉倒”。

正确做法：等级保护工作是需要持续进行的，特别是等保测评。针对不同级别的系统会有不同的测评周期要求：4级0.5年一次，3级1年一次，2级2年一次（有行业区别，但都明确或建议2年做一次）

7、不做等级保护可能面临被处罚

概况：有不少企事业单位认为只要不涉及网络安全、网络攻击事件就可以不做等级保护，没出事而就行。

正确做法：《中华人民共和国网络安全法》第二十一条做过相关规定（具体内容就不赘述了），如果系统运营方不做等级保护属于违反“其他义务”的行为，是可能面临被处罚的情况。安全总是相对的，但该做的事情要及时去做。按照政策法规的要求严格执行，也是保护企事业安全的一种措施。

8、系统就算在内网也需要及时开展等级保护工作

概况：很多企事业单位的将系统存在单位的内网或者专网中，认为不对外＝安全，这样就可以不用开展等级保护工作了。

正确做法：只要不是涉密系统就需等级保护，和放在哪个网无关。而且内网相较于外网的保护措施可能更弱，反倒容易中毒和被攻击。所以就算是内网的系统，也要及时开展等级保护工作！

9、等保测评以系统为单位进行，无法针对“单位”整体开展

概况：现实情况下，很多企事业单位并没有明白等级保护的意义，他们误认为是针对“单位”开展的业务，觉得对自己的单位做一次等级保护测评就完事。

正确做法：等保测评以系统为单位进行的，单位有多少个信息系统就需要做多少次等保测评。

10、等保测评后整改的花销由系统的等级、措施等决定，并不一定“很高”

概况：总有企事业单位担忧昨晚等保测评后需要花“很多钱“进行安全建设整改。

正确做法：等保整改需要花多少钱和信息系统的等级、已有的安全防护措施状况以及网络运营者对测评分数的期望值有关，并不一定“很高”，还有可能不花钱。