系统定级是否越低越好

安全保护等级由业务信息安全和系统服务安全两个方面确定，并不是想定几级就定几级，也不是定级越低越好。

首先系统到底定几级是根据受侵害的客体以及对客体侵害的程度来确定的，是以事实为根据，而不是拍脑袋决定的。系统等级定低了，乍一看可能工作上是容易做了，但是反而是我们没有落实好网络安全保护义务的直接表现，系统等级低了相应的安全防护要求也低了，那么万一你的系统不小心被攻击破坏造成一定不良影响，在主管部门进行责任认定追查时，很有可能就会因为系统定级不合理，安全责任没有履行到位而被处罚。得不偿失，还是安安稳稳把自己该做的工作做好。

2020年11月1日正式实施的《GBT 22240-2020信息安全技术网络安全等级保护定级指南》新的国家标准中指出：

第二级及以上等级保护对象定级流程新增专家评审环节，不再自主定级，需要聘请专家认定等级保护对象的级别。

从通用定级对象基本特征看，基本互联网上的系统差不多都要定级备案。《指南》给出了有关安全责任主体的解释：包括但不限于企业、机关和事业单位等法人，以及不具备法人资格的社会团体等其他组织。

以前很多人一直有个疑问，我们的系统很小，没多少数据，就不需要定级了。现在官方给出了解释，企事业单位、机关基本都是具有法人的，那么这些单位的系统必须都要定级备案。其他团体(包括公益组织)和中小私营企业原则上也都要对系统进行定级备案，同时，系统定级也不是随意想定几级就定几级。

不是。可根据实际业务系统的情况参照定级标准进行定级，采用“定级过低不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候，如因系统定级过低，需承担系统定级不合理、安全责任没有履行到位的风险。