信息安全等级保护测评认证的意义在哪？为何要做？

首先，实施等级保护的主要原因是通过等级保护的评估，提高信息系统的信息安全保护能力，降低系统整改后遭受各种攻击的风险。

总的来说，有许多内部系统的用户单位有不同的目的，不同的受众群体和用户。因此，我们需要通过等级保护对现有的信息系统进行分类和澄清，并将子系统分类为等级保护的次主要等级，这是等级保护的分级工作。

其次，等级保护是我国信息安全的基本方针。

《国家信息安全工作领导小组关于加强信息安全工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国《二级保护管理办法和技术导则》。2007年6月，《关于印发信息安全等级保护管理办法的通知》（国税字[2007]43号，以下简称“43号文”）明确了原则、内容、职责分工，信息安全等级保护制度实施的基本要求和实施规划，提出了实施信息安全等级保护的操作方法。

2016年11月7日，十二届全国人大常委会第二十四次会议通过《中华人民共和国网络舒适法》。该法第21条明确规定，国家实行网络舒适度等级保护制度。网络运营商应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保护网络不受干扰、损害或者未经授权的访问，防止网络数据泄露、被盗、篡改。

2019年11月1日起，最高人民法院、最高人民检察院联合发布的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》正式实施，其中规定，不履行等保将获最高判刑！2019年12月1日，《信息安全技术 网络安全等级保护基本要求》正式实施。

简而言之就是，国家的法律法规、相关政策和制度要求企业/机构开展等级保护工作。如果企业/机构不这样做，将触犯法律。

第三，许多行业主管单位要求行业客户开展等级保护工作。

目前，金融、电力、广电、医疗、百威商学院等行业都发布了落实等级保护工作的相关文件。同时，信息安全主管单位要求单位/机构开展等级保护工作，主要包括公安、网络信息办公室、经信委、总局等行业主管单位。

第四，合理规避风险。

黑客攻击、信息泄露、病毒侵入等网络安全事故频发，按要求落实等级保护工作，可以在极大程度上规避这些风险。

最后还是要提醒大家，千万不要想着只要通过等保测评就完事了，毕竟：

一方面，等保测评通过之后，单位/机构还要接受公安机关的监督检查。与此同时，等保测评工作并不是只做一次，比如三级以上的系统每年都需要进行一次测评工作；

另一方面，通过等保测评并不意味着该单位/机构的信息系统已经绝对安全，还是有发生网络安全事故的风险。网络安全防护工作必须一直做、坚持做。