等级|网络安全：等保和密评及关基之间的关系测评|保护法|检测|关基|评估

等保和密评及关基之间的关系
“没有网络安全就没有国家安全，没有信息化就没有现代化，网络安全和信息化是一体之两翼、驱动之双轮” 。随着5G、大数据、云计算、人工智能、工业互联网、物联网等新一代信息技术的发展，网络空间与物理空间被彻底打通，网络空间成为继“陆海空天”之后的第五大战略空间，愈演愈烈的网络攻击已经成为国家安全的新挑战。为保障网络空间安全，我国网络安全法治建设持续推进，《网络安全法》、《密码法》、《数据安全法》、《个人信息保护法》等多部法律颁布，《网络安全等级保护条例》、《关键信息基础设施安全保护条例》等多部政策条例施行，网络空间不再是“法外之地” 。
《网络安全等级保护条例》呼应《网络安全法》中国家实行网络安全等级保护制度，落实网络安全责任制，依据相关规定开展等级保护工作，通过等级测评来检验网络系统的安全防护能力，识别系统可能存在的安全风险的规定。
同时《网络安全法》中规定关键信息基础设施运营者通过安全检测评估的方式识别可能存在的风险；在《密码法》中规定使用商用密码进行保护的关键基础设施，其运营者应履行开展商用密码应用安全评估的工作，同时指出商用密码应用安全评估、关键信息基础设施安全检测评估与网络安全等级测评进行衔接，避免重复评估、测评。

文章图片

商用密码应用安全评估、关键信息基础设施安全检测评估与网络安全等级测评三者间该如何衔接，三者间又存在什么样的联系与区别呢？
基本概念
网络安全等级测评：（简称“等级测评”）是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动，是信息系统安全等级保护工作的重要环节。
关键信息基础设施安全检测评估：（简称“关基安全检测评估”）对关键信息基础设施安全性和可能存在的风险进行检测评估的活动。检测评估内容包括但不限于网络安全制度（国家和行业相关法律法规政策文件及运营者制定的制度）落实情况、组织机构建设情况、人员和经费投入情况、教育培训情况、网络安全等级保护工作落实情况、密码应用安全性评估情况、技术防护情况、云服务安全评估情况、风险评估情况、应急演练情况、攻防演练情况等，尤其关注关键信息基础设施跨系统、跨区域间的信息流动，及其关键业务流动过程中所经资产的安全防护情况。
商用密码应用安全评估：（简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
联系与区别
1) 评估对象
等级测评、关基安全检测评估、密评三者间详细的评估对象如下：

文章图片

文章图片

三者评估对象间的关系
等级保护对象基本覆盖了全部的网络和信息系统，第三级以上的网络安全等级保护对象同时为关基和密评的评估对象；关键基础设施一定是等级测评和密评的评估的对象；密评对象含关键基础设施、第三级等级保护对象和部分重要的信息系统。
2) 评估周期
等级测评、关基安全检测评估、密评在实际开展过程中应衔接进行，第三级以上的等级保护对象、关键基础设施、商用密码应用安全的评估周期均为每年至少一次。针对被识别为关键基础设施的系统，为避免重复测评，可先确定等级保护对象，确定安全级别、进行关键基础设施识别/安全防护、开展密码应用方案/等级保护建设方案评估、开展等级测评及密评工作以及进行关键基础设施安全检测评估。