等保、关保、密评的关联和区别
2024-12-29 60 0
等保、关保、密评这三者有啥关联和区别?
等保:网络安全等级保护。指国家通过制定统一的安全等级保护管理规范和技术标准,组织各行业对非涉密网络信息和信息载体按照重要程度划分等级,并基于不同等级,针对性地开展安全保护工作。
关保:关键信息基础设施保护。针对面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统、工业控制系统等关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
密评:商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。简单地说,就是对使用了商业密码的系统进行评估,从而确保其密码应用的合规、正确、有效。
简单来说,做好这三项保护测评工作,都是用于保障和提升网络信息系统的安全性。它们的保护对象之间的关系大体上是这样的:
等级保护
等保的对象需要先做定级。
关基保护
2021 年 8 月,国务院公布《关键信息基础设施安全保护条例》(以下简称《关保条例》),作为《网络安全法》重要配套法规,《关保条例》明确关键信息基础设施安全保护的具体要求和措施,进一步推动了各领域全面开展关键信息基础设施安全保障工作。
2022 年 11 月,为更加完善关键基础设施保护体系,全国信息安全标准委员会发布了《信息安全技术 关键信息基础设施安全保护要求》(以下简称《关基保护要求》),并于 2023 年 5 月 1 日正式实施。
《关基保护要求》保护的对象是关键信息基础设施,是指公共通信和信息服务、能源、交通、水利金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
关基的工作流程与等保不同。关保的对象需要先做识别。
《关基测评要求》第6条“单元测评”,对“分析识别、安全防护、检测评估、监测预警、主动防御、事件处置”六大评测内容进行了细致的说明,包括测评指标、测评实施和结果分析三部分。
密评
那么密评有哪些具体工作内容?
密评工作包括两部分重要内容:
1)信息系统规划阶段的密码应用方案评估:对于新建 / 改造信息系统,密码应用建设方案 / 改造方案,一般由责任单位组织商用密码从业单位编写,包括:《密码应用解决方案》、《实施方案》和《应急处置方案》。责任单位编写密码应用建设方案 / 改造方案后,应委托测评机构对方案进行评估;
2)信息系统建设完成后的信息系统商用密码应用安全性评估:依据 GB/T 39786 的技术要求和管理要求开展评估工作,系统评估主要从物理和环境、网络和通信、设备和计算、应用和数据、密钥管理、安全管理等方面开展。
国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、网络安全保护第三级以上网络、国家政务信息系统等网络与信息系统开展商用密码应用安全性评估工作,即密评工作。
密评整体工作总共分为五个步骤,分别是申请、审批、建设、评估以及报备。首先由由信息系统责任单位(甲方)提出开展密评工作的申请,此时甲方如开展过密评工作则直接对该系统密码应用的安全性进行评估,如未开展密评工作,则需要确定该系统是否为新建系统,以此决定密码从业单位编制密码应用建设方案还是密码应用改造方案。
形成具体的建设/改造方案后,由相关专家组对方案进行评审。待方案通过评审,信息系统建设单位(密码集成商/密码厂商)就会开展系统密码应用的建设工作。完成建设后由第三方密评机构对建设后的密码应用安全性进行评估(三级及以上的系统需要每年开展密评工作),评估工作通过后则由密评机构编制《密码应用方案评估报告》、《密码应用安全性评估报告》,评估不通过,则针对该系统不符合标准的地方进行整改,直至通过安全性评估。
总结
等级保护是关键信息基础设施保护和商用密码应用安全评估的基础,是支撑国家网络安全的基本制度。若无法将等级保护制度落实到位,则很难实现关保到位,密评工作也无法顺利进行。
关键信息基础设施是等级保护的重点防护对象。
商用密码应用安全是保障网络和信息系统安全的一项防护措施,也是保障关键基础设施安全的重要手段。
最后明确说明一下:等级保护和关键信息基础设施保护的主要职能部门是公安网监部门,密评的主要职能部门是密码管理局。
您可能感兴趣:
阿里云 云服务器 99元1年 2核2G 3M固定带宽 续费与新购同价
领取 通义灵码 免费使用资格 兼容 Visual Studio Code、Visual Studio、JetBrains IDEs 等主流编程工具, 为你提供高效、流畅、舒心的智能编码体验!