不要觉得网络安全等级保护制度和你所在的企业不会存在关联，倘若等到受到公安部门的罚款了，甚至网站遭到黑客攻击而停止运营了，那个时候再去感到懊悔，可就迟了。《网络安全法》早就将相关责任施加在了每一位网络运营者身上，要是再不付诸行动，下一个被公布通告的，说不定可就是你了。

等保不是选答题而是必答题

众多企业老板持有这样的想法，他认为自己就是经营餐馆的，或者是从事小买卖的，计算机仅仅是用以处理账目凭证的载体，哪里会存在那么多的网络安全方面的风险隐患呢。这样的观念在《网络安全法》正式施行之前或许还算能够侥幸通过，可是2017年6月1日之后所有的状况都发生了改变。相关法律明确规定，只要你在运作网络，不论规模是大还是小，也不管归属于哪一个行业领域，都必定要切实贯彻执行网络安全等级保护制度。这并非是可以进行选择的事项，这是法定的必须履行的责任义务。

就公安部门的执法实践而言，自2017年下半年起始，全国诸多地方的公安机关已然针对未履行等保义务的企业采取实际行动了。四川宜宾有一家教育培训机构，因未进行等保，其网站被黑客攻克，进而单位被处以一万元罚款，法人代表个人同样被罚款五千元。这些真切的案例就出现在身边，尽管处罚金额并非天价，然而所带来的声誉受损以及业务中断才是切实的痛点所在。

法律红线已经从国家延伸到每个企业

往昔，《计算机信息系统安全保护条例》着重针对国家重要领域，普通企业的确体悟到距离甚远。然而当下，《网络安全法》所涵盖范围更为宽泛，所有网络运营者皆被归入监管范畴。法律第五十九条明确规定，对于不履行等保义务的情况，首先予以警告并责令改正，若拒不改正或者导致后果的，企业最高处以十万元罚款，主管人员最高处以五万元罚款。

公安机关当下已将等保工作作为网络安全范围内的重点予以推进呢。2017年7月汕头的那般企业遭遇警告可是一种信号呀，紧接着宜宾的处罚实例着实便是实实在在的警示。这仅仅只是起始，跟着那相关配套规定以及国家标准越发完善，检查的力度只会是愈发增大。企业倘若依旧怀揣侥幸心理，认为查不到自身头上，早晚是要摔跟头的。

自己搞不定可以请外援但要担主责

网络安全等级保护制度可不是光写成几份制度文件就行了，它涵盖着法律层面的合规要求，还有技术层面的防护能力。大多数企业依靠自身技术团队要全面落地着实困难，这个时候就需要找专业律所以及有资质的评测辅助自己做事啦。专业的法律工作者，能帮你理顺管理制度和其中的操作规程，评测机构则给你检测技术方面是否存在漏洞，如此做效率会高出一大截。

不过得留意，虽说评测机构会给出等级方面的建议，然而最终定级的准确程度还得企业自身去把控。别觉得花钱聘请了专业机构就一切顺遂，一旦信息系统定错级别、该进行备案却未备案，出了问题责任仍落你身上。定级确定完毕后，第二级及以上的网络需在30天内前往当地公安网安部门备案，这个时间节点千万勿错过。

制度和技术必须两条腿走路

把内部规矩立起来才能落实等保，要去制定安全管理制度以及操作规程，还要明确谁是网络安全负责人。不少企业是规章制度挂在墙上是一套做法，实际做又是另一套做法，如此这般应付不了检查。制度得细化到具体岗位、具体操作流程，出了事得知道该找谁，日常操作得知道该怎么做。

首先，技术措施那可是相当强硬的标准。其次，必须确保防病毒以及防攻击的软件安装到位。再者，网络运行状态不仅要能够进行监测，而且要能够予以记录。另外，日志留存时间最少得达到六个月。还有，数据分类管理、重要数据备份和加密等工作，都务必执行到位。最后，千万别觉得仅仅装个杀毒软件就万事大吉了，须知黑客攻击手段层出不穷，日志留存时间不足同样属于违规行为。

等级越高自查频率越密

并非于促成一次等保测评之后便能够永享安逸毫无后续烦扰。针对三级系统言明需要至少每一年开展一回测评、一回自查活动，而四级系统的要求更为严苛，每半年就得加以实行一回这些规定动作。这实际上也就表明了等保属于一项具备持续性特质的工作内容，企业之中担当安全职责的负责人需要始终让这根安全之弦紧扣不落松懈，按照一定周期回头审视查看各方面状态，瞧瞧相关制度的执行状况究竟如何表现，同时还要关注技术层面起到防护作用的措施是否已经出现过时不再适用的情形。

有些企业，在做完测评，拿到备案证明之后，就自认为一切都已妥当，毫无问题。可是等到第二年复评之时，才惊觉系统漏洞相较于去年竟然更多了，而那早已制定好的管理制度却早已不知被抛开甩到何处去了。处于这样一种状态之下，一旦遭遇公安方面的抽查，亦或是发生安全事件，那么不仅之前所取得的成绩会被判定无效，全部作废，就连该罚的款项，一分一毫都不会有所减免，全都要如数缴纳。

云服务租用不能免责边界必须划清

当今，诸多企业运用SaaS软件，其系统寄存在他人的服务器之上，便认定等保与自身毫无关联了。然而，法律并不理会这一套，只要业务归属于你，数据归属于你，那么责任必然无法逃脱。纵使系统是租赁而来的，等保义务依旧落在你的身上，绝不能将责任推诿给云服务商。

正确的做法乃是参照国家标准，与服务商一同坐下来，将安全责任的边界清晰地划分出来。服务商负责哪些防护措施，你自己又负责哪些，要以白纸黑字的形式写进合同之中。比如说云平台的物理安全是由云厂商来保障的，然而你自己的账号权限管理以及数据备份依旧得自己去操心。倘若边界划分不清楚，一旦出了事两家就会互相推诿，最终吃亏的还是企业自身了。

瞧完这些之后，要不当下你就自己核查些许事儿：贵公司的网页或者业务系统有没有进行定级备案？日志留存是否达到六个月时长？假设来日警方登门将之核查，你所能够拿出多少符合规章流程的材料？欢喜在讨论板块把等保落地时您所历经由来说一番，点个赞以便能让更多同行瞅见，从而避开这类具有隐晦可能或风险的情景或状况。