在数字化转型加速推进的背景下，越来越多的政府机构、企事业单位选择将核心业务系统迁移至云平台，以提升资源弹性、降低运维成本、增强业务连续性。然而，一个不容忽视的现实是：大量云平台在未经网络安全等级保护测评（简称“等保测评”）的情况下即匆忙上线运行。这种“先上车、后补票”的做法，不仅暴露出网络安全管理的严重缺位，更已实质性违反《中华人民共和国网络安全法》所确立的强制性法律义务，构成明确的合规风险与法律责任。

《网络安全法》第二十一条明确规定：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务……（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施。”该条款并非倡导性规范，而是具有强制约束力的法律要求。而第三十一条进一步强调：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”云平台作为承载大量业务系统与敏感数据的新型基础设施，尤其当其服务于政务、医疗、教育、金融等关键领域时，天然具备关键信息基础设施属性，必须严格纳入等保管理体系。

等保测评并非简单的技术检查，而是覆盖“定级、备案、建设整改、等级测评、监督检查”全生命周期的法定程序。其中，“等级测评”环节由具备资质的第三方测评机构依据国家标准GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》开展，对云平台的物理环境、网络架构、主机系统、应用服务、数据安全及管理制度等多维度进行量化评估，出具具有法律效力的测评报告。未通过测评即上线，意味着平台在访问控制策略、日志审计能力、边界防护强度、漏洞修复机制、应急响应流程等关键安全能力上缺乏权威验证，其安全性处于“黑箱状态”。实践中，已有多个案例表明：未等保上线的云平台在遭遇勒索软件攻击或APT渗透时，因缺乏基础防护能力与有效溯源手段，导致业务中断数日、用户数据批量泄露，甚至引发重大舆情危机与监管问责。

值得注意的是，《网络安全法》第六十条、第六十一条对违法行为设置了清晰的法律责任：对未履行等保义务的网络运营者，由有关主管部门责令改正，给予警告；拒不改正或导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。2023年某省卫健委下属云健康平台因未完成等保三级测评即承载全民健康档案系统上线，被网信部门约谈并限期整改；2024年初，某地市级政务云服务商因同一问题被处以8万元罚款，并暂停新增业务接入资格三个月——这些并非个案警示，而是监管常态化的明确信号。

更深层次的问题在于，部分单位误将“云服务商已通过等保”等同于“自身业务系统无需再测”，这是对责任边界的严重误读。根据《网络安全等级保护条例（征求意见稿）》及公安部《关于推动网络安全等级保护制度深入贯彻实施的意见》，云平台采用“共同担责、分域保护”原则：云服务商对其IaaS/PaaS层基础设施安全负责，租户（即业务系统运营方）则必须对其SaaS层应用系统及所承载的数据安全承担主体责任，并独立完成定级备案与系统级等保测评。换言之，云平台的合规性不能替代业务系统的合规性，二者不可混同、不可替代。

因此，任何组织在规划云平台建设之初，就必须将等保工作前置化、制度化：在立项阶段同步启动定级工作，在设计阶段嵌入等保技术要求，在开发测试阶段落实安全配置基线，在上线前完成全流程测评并获取合格报告。唯有如此，才能真正筑牢网络安全法治防线，实现发展与安全的动态平衡。否则，所谓“上云增效”，终将沦为“带病运行”；所谓“数字赋能”，亦难逃“违法失能”之困局。网络安全不是成本项，而是底线；等保测评不是选择题，而是必答题——这既是法律文本的刚性表达，更是数字时代不可逾越的治理红线。