三级等保是国内非银机构的等级保护最高认证，通过三级等保认证，表明企业的信息安全管理能力达到国内最高标准。于是，有的企业出于让信息系统安全得到更好的保障、让客户对企业信息安全更有信心等原因，就想直接做三级等保，发出了“能直接申请等保三级吗”的疑问。答案：不能。为什么不能呢？原因在下文做了详细说明，请往下查看。
 
网络安全等级保护是我国的一项基本制度，二级及以上的信息系统，都必须做等保。但是，这个等保并不是随便做的，是要严格遵循《网络安全法》和等级保护相关标准来做的。而根据等保标准，信息系统等级保护办理流程是定级、备案、整改、测评、监督检查，五个步骤缺一不可。如果一个网络运营单位、使用单位的信息系统需要做等保三级，那么其首先要确定自己的信息系统是不是定级为第三级的信息系统，定级为哪一个级别的信息系统，就做哪一个级别的安全等保，并不是想做几级等保，就做几级等保。
 
那么，一般哪些信息系统需要做三级等保呢？
 
首先，根据等保标准，第三级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。
 
此外，根据等保实践，带有客户敏感信息或传播性强、承载业务核心的系统，如：带有用户身份、用户管理、交易类、报考、录取、病例等关键个人信息的系统，以及公共传媒、关键信息基础设施等信息系统，也建议定级为三级，做三级等保。
 
当然，以上只是基于等保实践的看法，在具体的等保工作中，网络运营单位、使用单位可根据以下流程，来确定信息系统是否属于第三级的信息系统：
 
定级流程：确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。
 
第一步是确定定级对象。需要做等级保护的信息系统，有三个基本特征：1.具有确定的主要安全责任主体；2.承载相对独立的业务应用；3.包含相互关联的多个资源。
 
第二步是初步确定等级。网络运营单位、使用单位根据等保定级指南初步确定信息系统的安全保护等级，初步确定为第三级的信息系统之后，就可以进入下一步。
 
第三步是专家评审。指网络运营、使用单位组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见。
 
第四步是主管部门审核。指网络运营、使用单位应初步定级结果上报行业主管部门或上级主管部门进行审核。
 
第五步是公安机关的备案审核。指网络运营、使用单位应按照相关管理规定，将初步定级结果提交公安机关进行备案审查。如果审查不通过，其运营、使用单位应组织重新定级。审查通过才能最终确定定级对象的所属等级。
 
公安机关备案审查通过，代表信息系统的定级准确，可以做三级等保。
 
确定信息系统为第三级信息系统后，并成功备案后，信息系统还需要通过三级等保测评，然后才能取得三级等保认证。总的来说，信息系统申请三级等保认证，需要：成功定级备案、成功通过等级测评。这些工作都落实以后，信息系统才算是取得了三级等保认证。
 
青莲网络：一站式等级保护解决方案服务提供商，在详细整理等保相关标准规范的基础上，青莲网络提供一站式等级保护解决方案服务，覆盖定级、备案、整改、测评全阶段。最快情况下，能让客户在一个月内通过测评，成功拿证。