等保和密評之間的關系
前言
點擊下方 "深圳市網絡與信息安全行業協會"公眾號關注, 設為星標。后臺回復【技術】,申請加入網絡安全行業技術交流群。
“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化,網絡安全和信息化是一體之兩翼、驅動之雙輪”。隨著5G、大數據、云計算、人工智能、工業互聯網、物聯網等新一代信息技術的發展,網絡空間與物理空間被徹底打通,網絡空間成為繼“陸海空天”之后的第五大戰略空間,愈演愈烈的網絡攻擊已經成為國家安全的新挑戰。 為保障網絡空間安全,我國網絡安全法治建設持續推進,《網絡安全法》、《密碼法》等多部法律已頒布實施,《個人信息保護法》《數據安全法》加速制定中,網絡空間不再是“法外之地”。
在《網絡安全法》中明確規定國家實行網絡安全等級保護制度,落實網絡安全責任制,依據相關規定開展等級保護工作,通過等級測評來檢驗網絡系統的安全防護能力,識別系統可能存在的安全風險;同時《網絡安全法》中規定關鍵信息基礎設施運營者通過安全檢測評估的方式識別可能存在的風險;在《密碼法》中規定使用商用密碼進行保護的關鍵基礎設施,其運營者應履行開展商用密碼應用安全評估的工作,同時指出商用密碼應用安全評估、關鍵信息基礎設施安全檢測評估與網絡安全等級測評進行銜接,避免重復評估、測評。
商用密碼應用安全評估、關鍵信息基礎設施安全檢測評估與網絡安全等級測評三者間該如何銜接,三者間又存在什么樣的聯系與區別呢?本文對其進行簡要分析。
01
基本概念
網絡安全等級測評:(簡稱“等級測評”)是測評機構依據國家信息安全等級保護制度規定,按照有關管理規范和技術標準,對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動,是信息系統安全等級保護工作的重要環節。
關鍵信息基礎設施安全檢測評估:(簡稱“關基安全檢測評估”)對關鍵信息基礎設施安全性和可能存在的風險進行檢測評估的活動。檢測評估內容包括但不限于網絡安全制度(國家和行業相關法律法規政策文件及運營者制定的制度)落實情況、組織機構建設情況、人員和經費投入情況、教育培訓情況、網絡安全等級保護工作落實情況、密碼應用安全性評估情況、技術防護情況、云服務安全評估情況、風險評估情況、應急演練情況、攻防演練情況等,尤其關注關鍵信息基礎設施跨系統、跨區域間的信息流動,及其關鍵業務流動過程中所經資產的安全防護情況。
商用密碼應用安全評估:(簡稱“密評”)是指對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合規性、正確性、有效性進行評估。
02
聯系與區別
1) 評估對象
等級測評、關基安全檢測評估、密評三者間詳細的評估對象如下:
三者評估對象間的關系如下如:
等級保護對象基本覆蓋了全部的網絡和信息系統,第三級以上的網絡安全等級保護對象同時為關基和密評的評估對象;關鍵基礎設施一定是等級測評和密評的評估的對象;密評對象含關鍵基礎設施、第三級等級保護對象和部分重要的信息系統。
2) 評估周期
等級測評、關基安全檢測評估、密評在實際開展過程中應銜接進行,第三級以上的等級保護對象、關鍵基礎設施、商用密碼應用安全的評估周期均為每年至少一次。針對被識別為關鍵基礎設施的系統,為避免重復測評,可先確定等級保護對象,確定安全級別、進行關鍵基礎設施識別/安全防護、開展密碼應用方案/等級保護建設方案評估、開展等級測評及密評工作以及進行關鍵基礎設施安全檢測評估。
3) 評估內容
等級測評、關基安全檢測評估、密評的主要參考標準和評估內容如下:
關基安全檢測評估包括了等級測評、密評的所有測評內容,密評中的部分評估內容來自等級保護基本要求中關于密碼相關的要求項。
4) 評估流程
等級保護工作包括五個規定動作:定級、備案、建設整改、等級測評、監督檢查;關鍵信息基礎設施網絡安全保護包括識別認定、安全防護、檢測評估、監測預警、事件處置五個環節;商用密碼應用安全評估的工作流程大致包括確定評估對象、開展測評工作、輸出密碼測評報告、密評結果上報四個階段。
關基安全檢測評估通過合規檢查、技術檢測和分析評估完成,具體評估流程為:評估工作準備(調研、方案制定)、工作實施、工作總結(風險研判、報告編制、結果反饋);密評和等級測評包括測評準備、方案編制、現場測評、測評結論分析、測評報告編制。
三者的評估流程基本類似,整個工作開展綜合流程可歸納為:
5) 評估結論
網絡安全等級保護評估結論為優、良、中、差,密評的測評結論有符合、不符合;等級測評和密評都引入了風險分析,依據資產、威脅、脆弱性進行賦值,并計算風險值進行判定,風險結論有高、中、低;關鍵信息基礎設施保護基于風險評估的方法,重在分析安全風險可能引起的安全事件及總體安全狀況。當網絡和信息系統存在高風險時,等級測評和密評的結論均為不符合(差)。
等級保護是關鍵信息基礎設施保護的基礎,關鍵信息基礎設施是等級保護的重點防護對象。關鍵信息基礎設施必須落實網絡安全等級保護制度,開展定級備案、等級測評、安全建設整改、安全檢查等強制性及規定性工作;商用密碼應用安全是保障網絡和信息系統安全的一項防護措施,也是保障關鍵基礎設施安全的重要手段,關鍵基礎設施必須按照密評相關標準、規定,開展密評工作;此外,對于使用了商用密碼的網絡和信息系統也必須按照密評相關標準、規定,開展密評工作。由于網絡安全等級保護基本要求第三級以上網絡和信息系統和國家政務信息系統必須基于密碼技術保障其安全性,故針對此類系統必須開展密評工作。
等級保護是支撐國家網絡安全的基本制度、開展關鍵信息基礎設施保護和商用密碼應用安全評估的基礎,若無法將等級保護制度落實到位,則很難實現關鍵信息基礎設施保護到位,商用密碼應用安全評估工作也無法順利進行。
等級保護制度、關鍵信息基礎設施保護、商用密碼應用安全評估都是網絡安全運營者應履行的責任和義務,并非哪一個重要,哪一個不重要,只是安全防護力度、角度存在一定差異。
NIS研究院整理編輯
