一、为什么要做等保

等级保护制度是我国在网络安全领域的基本制度、基本国策，是国家网络安全意志的体现。等保已经是企业负责人的义务与责任+等级保护制度已经提升到法律层面，双重要求之下不做等保等于违法！对于企事业单位，等保不是可选性而是必选项！

1. 法律法规要求

《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。

第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或被窃取、篡改。

2. 行业要求

在金融、电力、广电、医疗、教育等行业，主管单位明确要求从业机构的信息系统（APP）要开展等级保护工作。

3. 企业系统安全的需求

信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。

简单来说，《网络安全法》一直对网站、信息系统、APP有等级保护要求，中小型企业通常是行业要求才意识到问题。

二、哈尔滨等保2.0和3.0的应用场景

一般认为等保2.0是指《信息安全技术网络安全等级保护基本要求》及其配套标准。等保3.0的全称是国家信息安全等级保护三级认证。目前只有等保1.0或者等保2.0的说法，还没有等保3.0。一般有人说等保3.0，就是错把等保三级测评当成了等保3.0。

等保项目主要集中在政府、医院、法院、银行、电力、军工、学校等单位，大型企业由于要为租户提供服务，安全问题突出，也是公安网安部门检查的重点。在金融、电力、广电、医疗、教育等行业，主管单位明确要求从业机构的信息系统要开展等级保护工作。

等保场景—七个行业 政府 /医院/法院/学校等

政府：政府部委局办门户网站镇(管理区)以上政府门户网站原则上定为二级;党政机关重要业务应用系统原则上定为二级，特别重要的定为三级以上;

医院：国家卫健委《卫生行业信息安全等级保护工作的指导意见》规定了三级医院重要业务系统（可由各省卫健委自己定义）必须通过等保三级测评，二级医院重要业务系统必须通过等保二级测评；

学校：《教育行业信息系统安全等级保护定级工作指南》，一般来说学校的普通信息公告网站定级为等保二级，一些涉及师生信息储存，涉及多个校区共同的网站，定级为等保三级。但是，由于不同学校对于信息存储和网络安全建设情况不一样，需要结合具体情况而定。

法院：按照《人民法院信息安全保障总体建设方案》和《通知》相关要求，地级市人民法院专网局域网及广域网网络安全等级保护三级，等保项目改造方案应按照等级保护三级建设。

银行：商业银行核心业务系统为四级，网上银行、跨省骨干网，重要支撑系统，在线服务系统为三级，其他为二级。银联，银行卡信息交换是四级，跨省骨干网为三级，其他为两级。

电力：电力系统的核心生产系统和控制系统基本属于等保二级系统，EMS系统和SCADA系统达到四级，部分经营管理系统达到三级，其余系统均在二级以上。

军工：军工企业其实就像我们每一个个体一样，它也需要采用一些措施进行保密，现实中军工保密资质是有分级的，二级军工保密资质辅助一些项目的运转过程，同时参与成立项目的权限，可以走到了核心的部位，所以它也逐渐像高质量军工保密资质迈进。三级军工保密资质不但能够保护研究环节，同时还可以进入到开发环节。