1. 首頁 > 健康養生 > >

等級|網絡安全:等保和密評及關基之間的關系( 二 )

關系關基密碼基礎設施保護法測評等級關鍵評估檢測進行密評


3) 評估內容
等級測評、關基安全檢測評估、密評的主要參考標準和評估內容如下:
等級|網絡安全:等保和密評及關基之間的關系
文章圖片

關基安全檢測評估包括了等級測評、密評的所有測評內容 , 密評中的部分評估內容來自等級保護基本要求中關于密碼相關的要求項 。
4) 評估流程
等級保護工作包括五個規定動作:定級、備案、建設整改、等級測評、監督檢查;關鍵信息基礎設施網絡安全保護包括識別認定、安全防護、檢測評估、監測預警、事件處置五個環節;商用密碼應用安全評估的工作流程大致包括確定評估對象、開展測評工作、輸出密碼測評報告、密評結果上報四個階段 。
關基安全檢測評估通過合規檢查、技術檢測和分析評估完成 , 具體評估流程為:評估工作準備(調研、方案制定)、工作實施、工作總結(風險研判、報告編制、結果反饋);密評和等級測評包括測評準備、方案編制、現場測評、測評結論分析、測評報告編制 。
三者的評估流程基本類似 , 整個工作開展綜合流程可歸納為:
等級|網絡安全:等保和密評及關基之間的關系
文章圖片

5) 評估結論
網絡安全等級保護評估結論為優、良、中、差 , 密評的測評結論有符合、部分符合、不符合;等級測評和密評都引入了風險分析 , 依據資產、威脅、脆弱性進行賦值 , 并計算風險值進行判定 , 風險結論有高、中、低;關鍵信息基礎設施保護基于風險評估的方法 , 重在分析安全風險可能引起的安全事件及總體安全狀況 。 當網絡和信息系統存在高風險時 , 等級測評和密評的結論均為不符合(差) 。
等級保護是關鍵信息基礎設施保護的基礎 , 關鍵信息基礎設施是等級保護的重點防護對象 。 關鍵信息基礎設施必須落實網絡安全等級保護制度 , 開展定級備案、等級測評、安全建設整改、安全檢查等強制性及規定性工作;商用密碼應用安全是保障網絡和信息系統安全的一項防護措施 , 也是保障關鍵基礎設施安全的重要手段 , 關鍵基礎設施必須按照密評相關標準、規定 , 開展密評工作;此外 , 對于使用了商用密碼的網絡和信息系統也必須按照密評相關標準、規定 , 開展密評工作 。 由于網絡安全等級保護基本要求第三級以上網絡和信息系統和國家政務信息系統必須基于密碼技術保障其安全性 , 故針對此類系統必須開展密評工作 。
等級保護是支撐國家網絡安全的基本制度、開展關鍵信息基礎設施保護和商用密碼應用安全評估的基礎 , 若無法將等級保護制度落實到位 , 則很難實現關鍵信息基礎設施保護到位 , 商用密碼應用安全評估工作也無法順利進行 。
【等級|網絡安全:等保和密評及關基之間的關系】等級保護制度、關鍵信息基礎設施保護、商用密碼應用安全評估都是網絡安全運營者應履行的責任和義務 , 并非哪一個重要 , 哪一個不重要 , 只是安全防護力度、角度存在一定差異 。