本期关键词:网络安全等级保护、等级保护、分级保护、密码测评
在之前,我曾整理过一篇题为《等级保护、等级保护测评、分级保护测评、密码保护测评之间的区别与联系》的文章。后来经过思考,发现“测评”二字的措辞存在一定偏差,本文旨在重新探讨并澄清这一概念。
在信息安全行业,“等保”、“分保”、“密评”等术语被频繁使用,但大家往往更关注它们的不同点,而对其内在联系讨论不多,甚至对这些概念本身的认知也较为模糊。细心的读者会发现,我上一次的文章在“等级保护”、“分级保护”、“密码管理”后面都加了“测评”二字。现在来看,这个表述不够精确。
因此,本次我们回归《网络安全等级保护条例》(征求意见稿)中的规范提法,并依据该文件精神,我个人认为在概念后加上“工作”二字更为贴切和严谨。下文将结合相关法规,对此进行详细说明。
首先,让我们根据《信息安全等级保护管理办法》(即“43号文”)梳理一下,可以通过下图直观理解:
从上图可以清晰看出,“等级保护工作”、“分级保护工作”、“密码管理工作”是网络安全等级保护制度下的三个具体工作方向。此前使用“测评”一词的偏差在于,这三个工作的核心在于建设整改,是一个覆盖信息系统全生命周期的防护要求,而“测评”仅仅是其中一项重要的环节或动作。
换句话说,我们日常口语中的“做等保”往往特指“等级保护测评”,但这并不全面。网络运营者真正需要落实的,应当是完整的“等级保护工作”,它涵盖了非涉密网络的五个规定动作:定级、备案、建设整改、等级测评、监督检查。
若从监管层面谈“等级保护制度”,则涵盖了公安、保密、密码三个管理部门的监管领域。而根据与时俱进的《网络安全等级保护条例》(征求意见稿),这一制度体系又提升了一个层次,形成了由中央网信委领导、网信办统筹协调,公安部门(主管等级保护工作)和保密部门(主管分级保护工作)各司其职,国家密码管理部门负责密码管理工作,国务院其他有关部门和县级以上地方人民政府共同参与的基础性网络安全制度。
下图是根据《网络安全等级保护条例》征求意见稿整理的更全面的权责视图:
《网络安全法》第二十一条明确规定:“国家实行网络安全等级保护制度。” 上文已区分了“制度”与“工作”的不同。因此,网络运营者的责任是履行非涉密信息系统的等级保护工作、密码管理工作,以及涉密系统的分级保护工作。而“测评”仅仅是开展这些工作的一个重要子集。
要真正履行网络安全等级保护制度,就必须落实“三同步”原则,在信息系统的规划设计、建设整改、运行使用各个环节,依据国家法律法规和标准开展工作。
此外,《网络安全等级保护条例》(征求意见稿)第七十二条指出:“军队的网络安全等级保护工作,按照军队的有关法规执行。” 这说明军队同样遵循“等级保护制度”,只是其具体实施有独立的方法论,这与非涉密、涉密系统采用不同路径实现一样,都统一在这一宏观制度之下。
所以,等级测评绝不等于等级保护工作,更不等同于等级保护制度。为了便于理解,我们打个比方:等级保护工作的开展好比学校教育。
- 网络运营者如同学生(最终成果的呈现者和责任承担者)。
- 安全咨询、集成或服务商如同任课老师(工作的指导者或协助者)。
- 测评机构如同监考或阅卷老师。
学生的成绩由谁决定?首先,任课老师需要有高质量的课件和授课能力,将知识有效传递给学生;其次,学生需要认真学习并对教学质量进行监督。如果老师疏于教学,学生经常逃课,最终成绩可想而知。这个责任显然不能由阅卷老师承担,你不能要求评卷老师去给学生补课。然而,当前网络安全领域,一些“教育部门”(监管/建设方)和“学生”(运营者),却常常希望“评卷老师”(测评机构)给出高分。
我们都经历过学生时代,这种现象确实存在,但这对于真正掌握知识是无益的。类比到网络安全,这对于构建真正的安全防护同样无益。国家设计这套制度是从安全本质出发,而非为了“造假得高分”。
在深入探讨“分级保护工作”前,有必要了解其法律渊源。《中华人民共和国保守国家秘密法》在1988年首次通过时,并未出现“分级保护”概念,因为当时计算机技术刚刚起步。直到2010年修订版,才在第二十三条增加了相关要求,但法律原文并未将其描述为一项“制度”。
第二十三条 存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。
2024年的最新修订版依然沿用此描述,未将“分级保护”确立为法定的“制度”。国家法定的网络安全基础制度是“等级保护制度”。
回溯到2007年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合印发的《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),强调了信息系统的定级备案工作(此时等级测评尚未全面开展)。值得注意的是,该文件的定级和备案要求同时涵盖了涉密信息系统和非涉密信息系统。我们早期使用的《信息系统安全等级保护备案表》(现已更新为《网络安全等级保护备案表》)和《涉及国家秘密的信息系统分级保护备案表》都源于此文件。
再向前追溯,66号文对“信息安全等级保护”的定义是:对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护……
现在,我们借助43号文具体探讨“分级保护工作”。该办法第四章明确了涉密信息系统的分级保护管理,其中:
- 第二十四条指出:“涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息等。”
- 第二十五条规定,涉密信息系统按处理信息的最高密级分为秘密、机密、绝密三个等级。
- 第二十七条要求,涉密信息系统的保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
结合43号文第三条“国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导”,我们可以明确:“分保”是等级保护工作中“有关保密工作”的部分,同属于等级保护制度的大框架。它虽有自己的法规和规范,但从属关系明确,且其保护水平与等级保护级别存在对应联系。
接下来,我们同样借助43号文浅析“密码管理工作”。该办法第五章明确了相关内容:
- 第三十四条规定:“国家密码管理部门对信息安全等级保护的密码实行分类分级管理。” 并要求采用密码进行等级保护的单位,须遵守《信息安全等级保护密码管理办法》等规定。
- 第三十九条指出,密码管理部门可对密码配备、使用和管理进行检查测评。
而《密码法》第二十七条则将密码测评(商用密码应用安全性评估)与等级保护制度关联起来:“商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。”
至此,等级保护工作与密码管理工作,通过43号文与《密码法》,共同指向了《网络安全法》中落实等级保护制度的要求。
最后,需要明确几个概念之间的关系:等级保护工作与分级保护工作的客体(非涉密系统与涉密系统)是互斥的;密码管理工作则与两者均有交集,但其在涉密与非涉密系统中的实现路径和依据也是不同的,这点从本文的图示中可以看清。在理清这些概念后,我们下次可以基于此进一步探讨等级保护与关键信息基础设施安全保护之间的联系与区别。
核心概念回顾
-
网络安全等级保护:指对网络(含信息系统、数据)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。
注:“网络”是指由计算机或其他信息终端及相关设备组成的按照一定规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。
-
网络安全等级保护测评(简称“等级测评”):是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
-
商用密码应用安全性评估(简称“密评”或“密码测评”):是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
本文主要依据43号文、《网络安全法》、《密码法》、《保密法》、《网络安全等级保护条例》(征求意见稿)等文件,对“等级保护”、“等级保护工作”、“分级保护工作”、“密码管理工作”等概念进行了初步的联系与区分,技术细节未在本文展开。
注:在《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安〔2010〕303号)等后续文件中,常使用“信息安全等级保护测评”这一全称,其简称“等级保护测评”与“等级测评”含义一致,在撰写文档时保持上下文统一即可。
主要参考文件
- 《信息安全等级保护管理办法》(公通字〔2007〕43号)
- 《中华人民共和国网络安全法》
- 《中华人民共和国密码法》
- 《网络安全等级保护条例》(征求意见稿)
本文由云栈社区整理,旨在清晰梳理复杂的合规体系,帮助从业者准确把握核心概念。信息安全合规之路需要严谨与清晰的认识作为起点。
发表于 14 小时前
|
查看: 1|
回复: 0
