等保备案和等保测评有什么差别？APP不做等保测评可以吗？

【解答】：等保测评主要做什么？主要内容包括单项测评和整体测评。其中等级保护测评单项测评一共有7大内容，分别是物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理和安全运维管理。

费用：三级等保的费用大概是7万起，二级的等保费用大概是5万起。

举个例子，机房防风防雨防火防盗防破坏，从这一点看，物理上没多大技术含量，就是实地检查，或者访谈。

1. 云平台布局系统应在系统实际运维团队所在的市网络安全部门进行系统分级备案

概述：现在是各种云平台流行的时代，许多企业事业单位选择在云布置自己的系统，这将导致一个非常实际的问题：运营单位和云平台的实际物理地址可能不同，大型云平台上有许多物理节点是不可避免的，具体地址无法确定。在这种情况下，云系统应该选择哪个注册地址备案？如果云系统的运维团队不在企事业单位的注册地点工作怎么办？到企事业单位的注册地址备案？

正确做法：企业事业单位建设的云系统应到系统真实运行维护团队所在城市的网络安全部门备案，更方便当地公安机关有效监督云系统。

拓展知识:如果需要将分级对象布置在云中，则需要将云服务方的云计算平台和租户作为分级对象进行分级。

2.无论系统放在哪里，都需要对网络运营商进行系统分级和等级保护

概述:目前市场上有很多云，分为公有云和私有云，但无论系统是云还是托管IDC机房，系统的创建者往往觉得系统不再存在于自己的机房中，系统的安全运行和维护与自己无关，所以不能做等待保险等工作。

正确的方法是：谁负责操作，谁负责使用，谁负责是基本原则。无论系统存储在何处，其责任主体应属于系统的真实网络运营商，并必须承担相关的网络安全责任。根据相关要求，积极对系统进行分级和等级保护。

拓展知识：虽然不同模式的系统存在安全责任差异，但系统的安全责任没有转移，网络运营商仍需承担相应的责任（系统模式包括Saas、Iaas、Paas等）

3.系统根据事实确定二级或三级，和非人为决定的

概述：实际上，很多企事业单位在对系统进行分级时，由于技术要求低、相关工作量少、评估间隔时间长、后期麻烦少，希望选择低水平的企事业单位。所以我希望设定一个低水平，这样更容易。

正确的方法：系统分级是根据侵权对象和侵权程度来确定的，这取决于事实的基础。如果未经授权降低级别，系统的安全系统的安全保护措施可能达不到抵抗攻击和破坏的要求，保护能力不足，造成不良影响。这是网络运营商未能很好地履行网络安全保护义务的表现，这可能直接导致主管部门追究责任，甚至惩罚他们——得不偿失！因此，以事实为基础，正确分级是**的政策。

拓展知识:系统定级过程会越来越规范，等保2.0已经发布，专家和主管部门的审核环节已经加入到分级过程中，未来系统分级会越来越准确。

4. 系统的不定级也有监管，可以帮助运营商发现问题，开展工作

概述：许多企业事业单位不想给自己的系统分级，因为他们不想总是接受主管单位的检查，增加很多不必要的麻烦，害怕到处限制，感觉不好。

正确的方法：只要系统不属于等级保护类别，主管单位将监督所有系统，无论是否等级。如果发生了什么事，没有一个分级系统会更麻烦。主管单位将定期扫描和保护分级系统的重要信息，如果发现问题，将及时通知，防止系统受到黑客攻击。同时，主管单位还将定期召开会议，方便分级系统运营单位了解*新的政策和网络安全情况，帮助开展网络安全工作。因此，及时进行系统分级是非常必要的。

扩展知识：并非所有分级系统都会接受安全检查，因为需要检查的单位太多，主管单位的时间有限。他们将根据每个系统的综合因素统一安排检查，因此系统运营商不必太担心。此外，通过检查可以发现系统中的隐患和问题，这是一件好事。

5、等级保护包括五项，等保测评只是其中之一

概况:很多企事业单位认为等级保护就是系统分级的评估。

正确做法：分级保护工作包含五个内容，即：分级、备案、评估、建设整改和监督审查，等保测评只是其中之一，所以还有很多工作要做！

拓展知识：与等级保护相关的工作，等保测评只是一个开始。为了分析系统可能存在的风险，及时修复漏洞，纠正错误，找出与卫生系统的差距，相关单位要求系统运营单位进行同等保护。因此，等级保护的关键在于构建整改，提高系统的安全保护能力，使系统尽可能避免黑客攻击等恶意破坏。