《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 網(wǎng)絡(luò)安全等級(jí)保護(hù):等級(jí)保護(hù)測(cè)評(píng)、分級(jí)保護(hù)測(cè)評(píng)、密碼保護(hù)測(cè)評(píng)三者之間的關(guān)系

網(wǎng)絡(luò)安全等級(jí)保護(hù):等級(jí)保護(hù)測(cè)評(píng)、分級(jí)保護(hù)測(cè)評(píng)、密碼保護(hù)測(cè)評(píng)三者之間的關(guān)系

2021-11-26
來(lái)源:河南等級(jí)保護(hù)測(cè)評(píng)

  其實(shí),我們很多從事信息安全行業(yè)的人,交流時(shí)常常會(huì)提及“等?!薄胺直!薄懊茉u(píng)”這些概念,那么他們之間的聯(lián)系與區(qū)別往往不是說(shuō)的太清楚,大部分都在說(shuō)他們之間的不同,而聯(lián)系這塊在很多公眾號(hào)中是未提及的。甚至對(duì)“等?!薄胺直!薄皽y(cè)評(píng)”這些詞匯認(rèn)知也是模棱兩可的??吹轿疫@個(gè)標(biāo)題的朋友,自然會(huì)發(fā)現(xiàn)無(wú)論是“等級(jí)保護(hù)”“分級(jí)保護(hù)”“密碼保護(hù)”后面我都加了“測(cè)評(píng)”倆字。因?yàn)槲覀€(gè)人認(rèn)為這是較為嚴(yán)謹(jǐn)?shù)拿枋觯?dāng)然我接下來(lái)也會(huì)“引經(jīng)據(jù)典”說(shuō)明之。

  首先,我根據(jù)《信息安全等級(jí)保護(hù)管理辦法》即常說(shuō)的43號(hào)文簡(jiǎn)單整理了一張圖來(lái)說(shuō)明之,供大家參考!

  我相信,明眼人也看出來(lái)了。所謂“等級(jí)保護(hù)測(cè)評(píng)”“分級(jí)保護(hù)測(cè)評(píng)”“密碼保護(hù)測(cè)評(píng)”是等級(jí)保護(hù)制度下三個(gè)方面,統(tǒng)歸在等級(jí)保護(hù)制度之下。換言之,我們口中常說(shuō)的“等?!笔恰暗燃?jí)保護(hù)測(cè)評(píng)”的簡(jiǎn)稱(chēng)最恰切,而不是“等級(jí)保護(hù)”的簡(jiǎn)稱(chēng),等級(jí)保護(hù)涵蓋公安、保密、密碼三個(gè)管理部門(mén)監(jiān)管的三個(gè)方向,《網(wǎng)絡(luò)安全法》第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。就是常說(shuō)的“等保”“分?!薄懊茉u(píng)”共同組成《網(wǎng)絡(luò)安全法》中要求的“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”,所以網(wǎng)絡(luò)運(yùn)營(yíng)者要履行非涉密信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)、密碼保護(hù)測(cè)評(píng)以及涉密系統(tǒng)的分級(jí)保護(hù)測(cè)評(píng),這樣才是真正履行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。所以,做等級(jí)保護(hù)測(cè)評(píng)的千萬(wàn)不能曲解法律法規(guī),不然在協(xié)助客戶工作中,有可能把客戶帶偏。

  我們借助《信息安全等級(jí)保護(hù)管理辦法》43號(hào)文談一下“分級(jí)保護(hù)測(cè)評(píng)”,在《信息安全等級(jí)保護(hù)管理辦法》的第四章明確了涉密信息系統(tǒng)的分級(jí)保護(hù)管理等內(nèi)容,其中第二十四條這樣描述“涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國(guó)家信息安全等級(jí)保護(hù)的基本要求,按照國(guó)家保密工作部門(mén)有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。非涉密信息系統(tǒng)不得處理國(guó)家秘密信息等。”

  在第二十五條,涉密信息系統(tǒng)按照所處理信息的最高密級(jí),由低到高分為秘密、機(jī)密、絕密三個(gè)等級(jí)。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上,依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法和國(guó)家保密標(biāo)準(zhǔn)BMB17-2006《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》確定系統(tǒng)等級(jí)。對(duì)于包含多個(gè)安全域的涉密信息系統(tǒng),各安全域可以分別確定保護(hù)等級(jí)。保密工作部門(mén)和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進(jìn)行系統(tǒng)定級(jí)。

  在第二十七條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計(jì)與實(shí)施。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),按照秘密、機(jī)密、絕密三級(jí)的不同要求,結(jié)合系統(tǒng)實(shí)際進(jìn)行方案設(shè)計(jì),實(shí)施分級(jí)保護(hù),其保護(hù)水平總體上不低于國(guó)家信息安全等級(jí)保護(hù)第三級(jí)、第四級(jí)、第五級(jí)的水平。

  由以上三條結(jié)合43號(hào)第三條中描述“國(guó)家保密工作部門(mén)負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)”,我們看到“分?!笔堑燃?jí)保護(hù)工作中“有關(guān)保密工作”,同屬于等級(jí)保護(hù)制度大體系范圍內(nèi)。另外,“分保”有自己一套法規(guī)和規(guī)范,但統(tǒng)屬在等級(jí)保護(hù)之內(nèi),而且從第二十七條也可以看到分級(jí)保護(hù)的信息系統(tǒng)“不低于國(guó)家信息安全等級(jí)保護(hù)第三級(jí)、第四級(jí)、第五級(jí)的水平”,這也是彼此之間的聯(lián)系。

  我們借助《信息安全等級(jí)保護(hù)管理辦法》43號(hào)文再淺層次的探討一下“密碼保護(hù)測(cè)評(píng)”,在《信息安全等級(jí)保護(hù)管理辦法》的第五章明確了信息安全等級(jí)保護(hù)的密碼管理等內(nèi)容,其中第三十四條這樣描述“國(guó)家密碼管理部門(mén)對(duì)信息安全等級(jí)保護(hù)的密碼實(shí)行分類(lèi)分級(jí)管理。根據(jù)被保護(hù)對(duì)象在國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)建設(shè)中的作用和重要程度,被保護(hù)對(duì)象的安全防護(hù)要求和涉密程度,被保護(hù)對(duì)象被破壞后的危害程度以及密碼使用部門(mén)的性質(zhì)等,確定密碼的等級(jí)保護(hù)準(zhǔn)則?!薄靶畔⑾到y(tǒng)運(yùn)營(yíng)、使用單位采用密碼進(jìn)行等級(jí)保護(hù)的,應(yīng)當(dāng)遵照《信息安全等級(jí)保護(hù)密碼管理辦法》、《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。”

  第三十九條描述為“各級(jí)密碼管理部門(mén)可以定期或者不定期對(duì)信息系統(tǒng)等級(jí)保護(hù)工作中密碼配備、使用和管理的情況進(jìn)行檢查和測(cè)評(píng),對(duì)重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每?jī)赡曛辽龠M(jìn)行一次檢查和測(cè)評(píng)。在監(jiān)督檢查過(guò)程中,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達(dá)到密碼相關(guān)標(biāo)準(zhǔn)要求的,應(yīng)當(dāng)按照國(guó)家密碼管理的相關(guān)規(guī)定進(jìn)行處置?!?/p>

  而在《密碼法》的第二十七條描述為“法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。商用密碼應(yīng)用安全性評(píng)估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)制度相銜接,避免重復(fù)評(píng)估、測(cè)評(píng)?!薄瓣P(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國(guó)家安全的,應(yīng)當(dāng)按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定,通過(guò)國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)家密碼管理部門(mén)等有關(guān)部門(mén)組織的國(guó)家安全審查?!?/p>

  這樣,等級(jí)保護(hù)測(cè)評(píng)與密碼測(cè)評(píng)則通過(guò)43號(hào)文與《密碼法》共同指向《網(wǎng)絡(luò)安全法》有關(guān)落實(shí)等級(jí)保護(hù)制度的要求。

  接下來(lái)我們?cè)倩仡櫼幌禄靖拍睿?/p>

  網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng):(簡(jiǎn)稱(chēng)“等級(jí)測(cè)評(píng)”)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng),是信息系統(tǒng)安全等級(jí)保護(hù)工作的重要環(huán)節(jié)。

  商用密碼應(yīng)用安全評(píng)估:(簡(jiǎn)稱(chēng)“密碼測(cè)評(píng)”或“密評(píng)”)是指對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評(píng)估。

  本文主要依據(jù)43號(hào)文、《網(wǎng)絡(luò)安全法》《密碼法》等文件,“等級(jí)保護(hù)”“等級(jí)保護(hù)測(cè)評(píng)”“分級(jí)保護(hù)測(cè)評(píng)”“密碼保護(hù)測(cè)評(píng)”等進(jìn)行了一個(gè)概念上的簡(jiǎn)單聯(lián)系與區(qū)分,有關(guān)技術(shù)細(xì)節(jié)在本文中未體現(xiàn)。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。