等保、关基、密评三者之间的关系
在《网络安全法》和《密码法》中都明确规定了对关键信息基础设施开展安全评估检测的要求,同时也指出了商用密码应用安全评估、关键信息基础设施安全检测评估与网络安全等级测评三者之间应该衔接,但该如何衔接,三者之间存在什么样的关系和区别呢?
网络安全法
密码法 |
|
第二十一条 国家实行网络安全等级保护制度。 网络运营者应当按照网络安全等级保护制度的要求…… 第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将监测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。 |
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。 商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。 |
一、基本概念
网络安全等级测评:(简称“等级测评”)是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动,是信息系统安全等级保护工作的重要环节。
关键信息基础设施安全检测评估:(简称“关基安全检测评估”)对关键信息基础设施安全性和可能存在的风险进行检测评估的活动。
商用密码应用安全评估:(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
二、联系与区别
1、评估对象
等级测评、关基安全检测评估、密评三者间详细的评估对象如下:
评估对象 |
|
等级测评 |
●通信网络设施 ●信息系统:传统信息系统、物联网、采用移动互联技术的系统、云计算平台/系统、工业控制系统 ●数据资源 |
关基安全检测评估 |
关键信息基础设施:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域、可能严重危 |
密评 |
关键信息基础设施、网络安全等级保护第三级以上的系统、国家政务信息系统: ●基础信息网络 ●重要信息系统 ●重要工业控制系统 ●面向社会服务的政务信息系统 |
三者评估对象间的关系如下:
等级保护对象基本覆盖了全部的网络和信息系统,第三级以上的网络安全等级保护对象同时为关基和密评的评估对象;关键基础设施一定是等级测评和密评的评估的对象;密评对象含关键基础设施、第三级等级保护对象和部分重要的信息系统。
2、评估周期
等级测评、关基安全检测评估、密评在实际开展过程中应衔接进行,第三级以上的等级测评、关键基础设施、商用密码应用安全的评估周期均为每年至少一次。
3、评估内容
等级测评、关基安全检测评估、密评的主要参考标准和评估内容如下:
基本要求 |
评估实施指南 |
主要评估内容 |
|
等级测评 |
GB/T 22239-2019信息安全技术 网络安全等级保护基本要求 |
GB/T 28449-2018信息安全技术 网络安全等级保护测评过程指南 | 安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理 |
关基安全检测评估 |
信息安全技术关键信息基础设施网络安全保护基本要求 |
信息安全技术 关键信息基础设施安全检查评估指南 | 合规检查:关键信息基础设施认定情况、安全标准执行情况、网络安全等级保护落实情况、个人信息和重要数据保护情况、安全管理机构设置和人员安全管理情况、安全管理保证体系落实情况、备份与恢复情况、应急响应与处置情况 安全技术检测:主动监测(信息收集、漏洞扫描、漏洞验证、业务安全测试、社会工程学测试、无线安全测试、内网安全测试、安全域测试、入侵痕迹测试、安全意识测试、安全整改情况验证)、被动监测(信息测探行为监测、漏洞利用攻击监测间谍软件监测、病毒蠕虫攻击监测、木马后门攻击监测、恶意邮件攻击、Web应用攻击和漏洞监测、恶意域名监测、异常流量监测、敏感信息泄露监测) 分析评估:关键属性分析(完整性、保密性、连续性)、风险分析 |
密评 |
GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求 |
信息系统密码应用测评过程指南 |
通用要求、 物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置 |
关基安全检测评估包括了等级测评、密评的所有测评内容,密评中的部分评估内容来自等级保护基本要求中关于密码相关的要求项。
4、评估流程
等级保护工作包括五个规定动作:定级、备案、建设整改、等级测评、监督检查;关键信息基础设施网络安全保护包括识别认定、安全防护、检测评估、监测预警、事件处置五个环节;商用密码应用安全评估的流程大致包括确定评估对象、开展测评工作、输出密码测评报告、密评结果上报四个阶段。
密评和等级测评包括测评准备、方案编制、现场测评、测评结论分析、测评报告编制。
5、评估结论
网络安全等级保护评估结论为优、良、中、差,密评的测评结论有符合、部分符合、不符合;等级测评和密评都引入了风险分析,风险结论有高、中、低;关键信息基础设施保护基于风险评估的方法,重在分析安全风险可能引起的安全事件及总体安全状况。当网络和信息系统存在高风险时,等级测评和密评的结论均为不符合(差)。
等级保护是关键信息基础设施保护和商用密码应用安全评估的基础,是支撑国家网络安全的基本制度。关键信息基础设施是等级保护的重点防护对象。商用密码应用安全是保障网络和信息系统安全的一项防护措施,也是保障关键基础设施安全的重要手段。
等级保护制度、关键信息基础设施保护、商用密码应用安全评估都是网络安全运营者应履行的责任和义务,并非哪一个重要,哪一个不重要,只是安全防护力度、角度存在一定差异。