从《中华人民共和国计算机信息系统安全保护条例》出台开始，信息安全就正式成为政府信息化建设中的关键词。

　　2007年出台的《信息安全等级保护管理办法》则通过信息安全分级保护制度给保护信息安全提供了一种非常有效的形式。分级保护制度在推进信息安全体系建设的同时催生了这样一种采购项目：信息安全等级保护服务。

　　通过互联网查询政府采购项目可以发现，采购人购买“信息安全等级保护服务”的项目越来越多，大量IT企业也推出了极具针对性的解决方案。这种深受各方关注的“信息安全等级保护服务”究竟是什么呢？简单地说，就是供应商提供一种确保采购人的信息系统能够通过有关部门信息安全等级检验的服务。

　　信息安全等级保护制度是根据政府部门所需的信息安全保护强度设置的。正常情况下，采购人建设的信息系统安全性只要满足实际应用要求，就应该能顺利通过针对安全等级的测评。换句话说，通过安全等级测评应该是信息安全建设的“副产品”。但实际情况却是本末倒置的，采购人更关注的是信息系统能否通过测评，而不是信息安全体系是否真正满足需要。据笔者了解，不少采购人在进行信息化建设时甚至会直接以能否顺利通过等级保护测评作为决定信息化建设方案的依据。

　　信息安全达标就能通过安全等级的测评，但能通过等级保护测评的信息系统对采购人而言却未必是最佳选择。

　　现在，通过等级保护成了信息化建设的焦点，真正的信息安全反而成了次要的因素，采购人保障信息系统安全的目的居然只是为了通过信息安全测评。在这种情况下，人们了通过信息安全等级测评而进行信息安全建设，信息系统通过安全等级测评完全成为了一种形式，一种绘制信息安全美好图景的虚伪形式。

　　建立信息安全等级保护制度是为了保障国家信息安全，但当通过等级测评凌驾于信息安全建设之上时，等级保护制度将流于形式，失去了它本应具有的意义。而这种形式主义的等级保护是对信息安全的漠视，更将对国家安全造成难以弥补的伤害。