等保和密评之间的关系

图片图片

图片

      商用密码应用安全评估、关键信息基础设施安全检测评估与网络安全等级测评三者间该如何衔接,三者间又存在什么样的联系与区别呢?本文对其进行简要分析。

01


基本概念
网络安全等级测评(简称“等级测评”)是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动,是信息系统安全等级保护工作的重要环节。
关键信息基础设施安全检测评估(简称“关基安全检测评估”)对关键信息基础设施安全性和可能存在的风险进行检测评估的活动。检测评估内容包括但不限于网络安全制度(国家和行业相关法律法规政策文件及运营者制定的制度)落实情况、组织机构建设情况、人员和经费投入情况、教育培训情况、网络安全等级保护工作落实情况、密码应用安全性评估情况、技术防护情况、云服务安全评估情况、风险评估情况、应急演练情况、攻防演练情况等,尤其关注关键信息基础设施跨系统、跨区域间的信息流动,及其关键业务流动过程中所经资产的安全防护情况。
商用密码应用安全评估(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。

02


联系与区别

01
评估对象

等级测评、关基安全检测评估、密评三者间详细的评估对象如下:

图片
三者评估对象间的关系如下如:
图片

等级保护对象基本覆盖了全部的网络和信息系统,第三级以上的网络安全等级保护对象同时为关基和密评的评估对象;关键基础设施一定是等级测评和密评的评估的对象;密评对象含关键基础设施、第三级等级保护对象和部分重要的信息系统。

02
评估周期
图片

     等级测评、关基安全检测评估、密评在实际开展过程中应衔接进行,第三级以上的等级保护对象、关键基础设施、商用密码应用安全的评估周期均为每年至少一次。针对被识别为关键基础设施的系统,为避免重复测评,可先确定等级保护对象,确定安全级别、进行关键基础设施识别/安全防护、开展密码应用方案/等级保护建设方案评估、开展等级测评及密评工作以及进行关键基础设施安全检测评估。

03
评估内容

等级测评、关基安全检测评估、密评的主要参考标准和评估内容如下:

图片图片

      关基安全检测评估包括了等级测评、密评的所有测评内容,密评中的部分评估内容来自等级保护基本要求中关于密码相关的要求项。

04
评估流程
图片

    等级保护工作包括五个规定动作:定级、备案、建设整改、等级测评、监督检查;关键信息基础设施网络安全保护包括识别认定、安全防护、检测评估、监测预警、事件处置五个环节;商用密码应用安全评估的工作流程大致包括确定评估对象、开展测评工作、输出密码测评报告、密评结果上报四个阶段。

      关基安全检测评估通过合规检查、技术检测和分析评估完成,具体评估流程为:评估工作准备(调研、方案制定)、工作实施、工作总结(风险研判、报告编制、结果反馈);密评和等级测评包括测评准备、方案编制、现场测评、测评结论分析、测评报告编制。

 三者的评估流程基本类似,整个工作开展综合流程可归纳为:

图片
05
评估结论

图片