等保、关基、密评三者之间的关系，等保（信息安全等级保护）的实施

原文链接：http://www.lnsm.gov.cn/lnsm/zcfg/zcjd/2024032708282690302/index.shtml

https://blog.csdn.net/u013129300/article/details/138644514

 

等保（信息安全等级保护）的实施涉及多个角色和机构，主要包括：

1. 系统运营单位：这些是用户单位，负责对自身的系统进行定级备案、安全整改，并配合测评机构开展工作。

2. 公安机关网监部：作为发证机构，主要承担监督检查工作，同时负责监管测评机构。各单位的定级备案需要到公安机关网监部完成。

3. 测评机构：这些机构主要负责系统测评工作，只有备案的机构才能开展测评工作。例如，武汉等保测评有限公司、中国信息安全测评中心华中测评中心（湖南省信息安全测评中心）等都是具有资质的测评机构。

4. 咨询整改机构：这些机构根据测评机构提供的整改方案，提供安全设备、整改集成实施。

5. 等保咨询服务提供商：提供等级保护相关的咨询服务，包括规划、建设、整改、测评等问题的解答和协助完成相关工作。

6. 一站式等保服务提供商：提供从咨询到复评的全方位等保服务流程，包括定级备案、建设整改、验收测评等。

因此，等保的实施是由系统运营单位、公安机关网监部、测评机构、咨询整改机构以及等保咨询服务提供商共同参与完成的。

    在《网络安全法》和《密码法》中都明确规定了对关键信息基础设施开展安全评估检测的要求，同时也指出了商用密码应用安全评估、关键信息基础设施安全检测评估与网络安全等级测评三者之间应该衔接，但该如何衔接，三者之间存在什么样的关系和区别呢？

 

一、基本概念

       网络安全等级测评：（简称“等级测评”）是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动，是信息系统安全等级保护工作的重要环节。

关键信息基础设施安全检测评估：（简称“关基安全检测评估”）对关键信息基础设施安全性和可能存在的风险进行检测评估的活动。

商用密码应用安全评估：（简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。

二、联系与区别

1、评估对象

     等级测评、关基安全检测评估、密评三者间详细的评估对象如下：

评估对象

等级测评

●通信网络设施

●信息系统：传统信息系统、物联网、采用移动互联技术的系统、云计算平台/系统、工业控制系统

●数据资源

关基安全检测评估

关键信息基础设施：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域、可能严重危

害国家安全、国计民生、公共利益的信息设施

密评

关键信息基础设施、网络安全等级保护第三级以上的系统、国家政务信息系统：

●基础信息网络

●重要信息系统

●重要工业控制系统

●面向社会服务的政务信息系统

三者评估对象间的关系如下：

4、评估流程

       等级保护工作包括五个规定动作：定级、备案、建设整改、等级测评、监督检查；

      关键信息基础设施网络安全保护包括识别认定、安全防护、检测评估、监测预警、事件处置五个环节；

       商用密码应用安全评估的流程大致包括确定评估对象、开展测评工作、输出密码测评报告、密评结果上报四个阶段。

       密评和等级测评包括测评准备、方案编制、现场测评、测评结论分析、测评报告编制。

5、评估结论

        网络安全等级保护评估结论为优、良、中、差，密评的测评结论有符合、部分符合、不符合；等级测评和密评都引入了风险分析，风险结论有高、中、低；关键信息基础设施保护基于风险评估的方法，重在分析安全风险可能引起的安全事件及总体安全状况。当网络和信息系统存在高风险时，等级测评和密评的结论均为不符合（差）。

       等级保护是关键信息基础设施保护和商用密码应用安全评估的基础，是支撑国家网络安全的基本制度。关键信息基础设施是等级保护的重点防护对象。商用密码应用安全是保障网络和信息系统安全的一项防护措施，也是保障关键基础设施安全的重要手段。

      等级保护制度、关键信息基础设施保护、商用密码应用安全评估都是网络安全运营者应履行的责任和义务，并非哪一个重要，哪一个不重要，只是安全防护力度、角度存在一定差异。