前几天有一家医疗企业咨询到我，问等保不做行不行，如果做需要做几级的？
等保是必须要做的，等级保护已经上升到国家的这略国策，立法了的！至于刚提到的那家企业，因为涉及的行业是医疗，国家有明文规定 涉及医疗的企业等级保护都要求做3级的。
等级保护可以理解为是对信息系统分等级进行安全保护和监管，对信息安全产品的使用实行分等级管理，对信息安全时间实行分等级响应、处置。等级保护分五个等级，流程是先定级——备案——整改——测评——检查。说的直白一点就是网络安全的保护盾。

《网络安全等级保护基本要求》将等级保护工作的技术要求和管理要求细分为了更加具体的八大类:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。

事实上，在等级保护的规范下，各单位的网络环境或网络空间需要符合备案级别对应的安全标准，而不仅仅是安全产品的堆砌。网络安全建设应该从整体网络安全的角度进行合理规划、合理建设、适度精简、加强管理，将有限资源和建设能力投放在如何抵御新时代不断变化的网络安全威胁上。

实施流程

定级备案:

依据《网络安全等级保护定级指南》辅助用户进行定级，协助向公安机关备案。

差距分析:

分析已定级的信息系统所采取的安全保护措施与等级保护标准要求之间的差距，提出整改建议。

整改加固:

依据差距分析结果，对信息系统进行安全建设和整改。

辅助测评:

选择合适的测评机构，现场协助用户对定级系统进行等级测评。

等级保护方案架构

等级保护安全解决方案，依托防御平台，可为用户提供符合安全审计、数据完整性和保密性等相关要求的安全产品，同时可提供“云平台等保备案证明”、“云测评报告关键页”，实现以最小的安全投入满足等保的基础合规要求，更有利于用户通过等级保护测评。并配备专业完善的安全服务体系，以满足整体风险评估、渗透测评、安全基线配置核查、漏洞和风险管理、安全事件处置等相关要求。

网络安全等级保护制度已成为保障和促进信息化建设健康发展的一项基本制度，不做等级保护工作就是不合规行为，切不可麻痹大意。更重要的是，等保工作能够发现信息系统与国家安全标准之间存在的差距，查明目前系统存在的安全隐患和不足，通过安全整改之后，提高信息系统的安全防护能力，降低系统被攻击、窃密的风险。

开展等级保护工作不能局限于定级备案工作，加紧开展测评及后续的安全整改，发现问题，解决问题才是根本所在。