“沒有網絡安全就沒有國家安全”。近幾年,我國網絡安全法律法規陸續發布實施,為承載我國國計民生的重要網絡信息系統的安全提供了法律保障,正在實施的“3保1評”為我國重要網絡信息系統的安全構筑了四道防線。

什么是“3保1評”?

等保、分保、關保、密評是安全領域所指的“3保1評”。

等保:網絡安全等級保護。指國家通過制定統一的安全等級保護管理規范和技術標準,組織公民、法人和其他組織對信息系統分等級實行安全保護。

分保:涉密信息系統分級保護。指涉密信息系統的建設使用單位根據分級保護管理辦法和有關標準,對涉密信息系統分等級實施保護。

關保:關鍵信息基礎設施保護。針對面向公眾提供網絡信息服務或支撐能源、通信、金融、交通、公共事業等重要行業運行的信息系統、工業控制系統等關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。

密評:商用密碼應用安全評估。指對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合規性、正確性、有效性進行泙估。

等保工作簡介

1.等保的發展

等保1.0:2007年6月,公安部發布《信息安全等級保護管理辦法》(公通字[2007]43號),標志著等級保護1.0的正式啟動。

等保2.0:2019年5月13日,國家市場監督管理總局、國家標準化管理委員會發布了3個網絡安全領域的國家標準(2019年12月1日起實施):

?《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)

?《信息安全技術 網絡安全等級保護安全設計技術要求》(GB/T 25070-2019)

?《信息安全技術 網絡安全等級保護測評要求》(GB/T 28448-2019)

標志著我國進入等級保護2.0時代。

二者區別:

2.相關法律法規

  • 《中華人民共和國計算機信息系統安全保護條例》(國務院147號今,1994年)
  • 《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發【2003】27號)
  • 《關于信息安全等級保護工作的實施意見》(公通宇【2004】66號)
  • 《信息安全等級保護管理辦法》(公通字【2007】43號)
  • 〈關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安【2007】861號)
  • 《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》(發改高技【2008】2071號)
  • 《中華人民共和國網絡安全法》,自2017年6月1日起施行
  • 2019年5月13日正式發布等級保護2.0版本《信息安全技術網絡安全等級保護基本要求》

3.等保的級別

根據信息系統受到破壞后,對公民、法人和其他組織的合法權益,以及對公共利益、社會秩序和國家安全的損害程度,等級保護分為五級:

第一級:自主保護級

第二級:指導保護級

第三級:監督保護級

第四級:強制保護級

第五級:專控保護級

4.等保工作流程

定級?備案?安全建設整改?等級測評?監督檢查

分保工作簡介

1.分保的發展

涉密信息系統的分級保護依據《保守國家秘密法》《涉及國家秘密的信息系統分級保護管理辦法》(國保發[2005]16號)等法律法規開展。

2.相關法律法規

  • 《關于加強信息安全保障工作中保密管理的若干意見》(中保委發【2004】7號)
  • 《涉及國家秘密的信息系統分級保護管理辦法》(國保發【2005】16號)
  • 《國家保密法》(2010年)
  • 《網絡安全等級保護條例(征求意見稿)》

3.分保的級別

秘密級、機密級信息系統:應每兩年至少進行一次安全保密測評或保密檢查;

絕密級信息系統:應每年至少進行一次安全保密測評或保密檢查。

4.分保工作流程

系統定級?方案設計?工程實施?系統測評?系統審批?日常管理?測評與檢查?系統廢止

關保工作簡介

1.關保的發展

2017年7月10日,國家互聯網信息辦公室發布《關鍵信息基礎設施安全保護條例(征求意見稿)》;

2019至2021年,《關鍵信息基礎設施安全保護條例》連續三年納入國家立法計劃;

2021年4月27日,經國務院第133次常務會議通過;

2021年7月30日,國務院總理李克強簽署中華人民共和國國務院令第745號公布,自2021年9月1日起施行。

2.相關法律法規

  • 《中華人民共和國網絡安全法》
  • 《中華人民共和國密碼法》
  • 《關鍵信息基礎設施安全保護條例(征求意見稿)》

3.關鍵信息基礎設施安全防護能力等級

關鍵信息基礎設施安全防護能力依據5個能力域完成程度的高低進行分級評估,包括3個能力等級,從能力等級1到能力等級3,逐級增高,能力等級之間為遞進關系,高一級的能力要求包括所有低等級能力要求。

4.關保工作流程

識別認定?安全防護?檢測評估?監測預警?應急處置

密評工作簡介

1.密評的發展

《商用密碼應用安全性評估管理辦法(試行)》(2017年4月22日起施行)

《信息系統密碼應用基本要求》(GM/T 0054-2018 )

2.相關法律法規

  • 《中華人民共和國密碼法》
  • 《國家政務信息化項目建設管理辦法》

3.密評內容

對采用商用密碼技術、產品和服務集成建設的網絡和信息系統,對其密碼應用的合規性、正確性、有效性進行評估。

4.密評工作流程

確定評估對象?開展測評工作?輸出密碼測評報告?密評結果上報

3保1評的聯系與區別

聯系

等級保護涵蓋公安、保密、密碼三個管理部門監管的三個方向,《網絡安全法》第二十一條國家實行網絡安全等級保護制度。等保、分保、密評共同組成《網絡安全法》中要求的“網絡安全等級保護制度”,才能真正履行網絡安全等級保護制度。

分保是國家的重要組成部分,是等保在涉密領域的具體體現。等保是關保的基礎,關鍵信息基礎設施是等級保護的重點防護對象。商用密碼應用安全是保障網絡和信息系統安全的一項防護措施,也是保障關鍵基礎設施安全的重要手段,關鍵基礎設施必須按照密評相關標準、規定,開展密評工作。

等保是支撐國家網絡安全的基本制度和開展關保和密評的基礎,若無法將等級保護制度落實到位,則很難實現關保到位,密評工作也無法順利進行。

區別

等保、分保、關保、密評都是網絡安全運營者應履行的責任和義務。沒有哪一個重要、哪一個不重要的區別,他們之間只是在安全防護力度、角度存在一定差異。

網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接