1. 首頁 > 健康養生 > >

等級|網絡安全:等保和密評及關基之間的關系

關系關基密碼基礎設施保護法測評等級關鍵評估檢測進行密評


等保和密評及關基之間的關系
“沒有網絡安全就沒有國家安全 , 沒有信息化就沒有現代化 , 網絡安全和信息化是一體之兩翼、驅動之雙輪” 。 隨著5G、大數據、云計算、人工智能、工業互聯網、物聯網等新一代信息技術的發展 , 網絡空間與物理空間被徹底打通 , 網絡空間成為繼“陸??仗臁敝蟮牡谖宕髴鹇钥臻g , 愈演愈烈的網絡攻擊已經成為國家安全的新挑戰 。 為保障網絡空間安全 , 我國網絡安全法治建設持續推進 , 《網絡安全法》、《密碼法》、《數據安全法》、《個人信息保護法》等多部法律頒布 , 《網絡安全等級保護條例》、《關鍵信息基礎設施安全保護條例》等多部政策條例施行 , 網絡空間不再是“法外之地” 。
《網絡安全等級保護條例》呼應《網絡安全法》中國家實行網絡安全等級保護制度 , 落實網絡安全責任制 , 依據相關規定開展等級保護工作 , 通過等級測評來檢驗網絡系統的安全防護能力 , 識別系統可能存在的安全風險的規定 。
同時《網絡安全法》中規定關鍵信息基礎設施運營者通過安全檢測評估的方式識別可能存在的風險;在《密碼法》中規定使用商用密碼進行保護的關鍵基礎設施 , 其運營者應履行開展商用密碼應用安全評估的工作 , 同時指出商用密碼應用安全評估、關鍵信息基礎設施安全檢測評估與網絡安全等級測評進行銜接 , 避免重復評估、測評 。
等級|網絡安全:等保和密評及關基之間的關系
文章圖片

商用密碼應用安全評估、關鍵信息基礎設施安全檢測評估與網絡安全等級測評三者間該如何銜接 , 三者間又存在什么樣的聯系與區別呢?
基本概念
網絡安全等級測評:(簡稱“等級測評”)是測評機構依據國家信息安全等級保護制度規定 , 按照有關管理規范和技術標準 , 對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動 , 是信息系統安全等級保護工作的重要環節 。
關鍵信息基礎設施安全檢測評估:(簡稱“關基安全檢測評估”)對關鍵信息基礎設施安全性和可能存在的風險進行檢測評估的活動 。 檢測評估內容包括但不限于網絡安全制度(國家和行業相關法律法規政策文件及運營者制定的制度)落實情況、組織機構建設情況、人員和經費投入情況、教育培訓情況、網絡安全等級保護工作落實情況、密碼應用安全性評估情況、技術防護情況、云服務安全評估情況、風險評估情況、應急演練情況、攻防演練情況等 , 尤其關注關鍵信息基礎設施跨系統、跨區域間的信息流動 , 及其關鍵業務流動過程中所經資產的安全防護情況 。
商用密碼應用安全評估:(簡稱“密評”)是指對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合規性、正確性、有效性進行評估 。
聯系與區別
1) 評估對象
等級測評、關基安全檢測評估、密評三者間詳細的評估對象如下:
等級|網絡安全:等保和密評及關基之間的關系
文章圖片

等級|網絡安全:等保和密評及關基之間的關系
文章圖片

三者評估對象間的關系
等級保護對象基本覆蓋了全部的網絡和信息系統 , 第三級以上的網絡安全等級保護對象同時為關基和密評的評估對象;關鍵基礎設施一定是等級測評和密評的評估的對象;密評對象含關鍵基礎設施、第三級等級保護對象和部分重要的信息系統 。
2) 評估周期
等級測評、關基安全檢測評估、密評在實際開展過程中應銜接進行 , 第三級以上的等級保護對象、關鍵基礎設施、商用密碼應用安全的評估周期均為每年至少一次 。 針對被識別為關鍵基礎設施的系統 , 為避免重復測評 , 可先確定等級保護對象 , 確定安全級別、進行關鍵基礎設施識別/安全防護、開展密碼應用方案/等級保護建設方案評估、開展等級測評及密評工作以及進行關鍵基礎設施安全檢測評估 。