1��、什么是等保
“等保”是指網(wǎng)絡(luò)安全等級保護�。《中華人民共和國網(wǎng)絡(luò)安全法》(2017年6月1日起實施)第二十一條規(guī)定:國家實行網(wǎng)絡(luò)安全等級保護制度。
2�、等保的發(fā)展
等保1.0:2007年6月,公安部發(fā)布《信息安全等級保護管理辦法》(公通字[2007]43號)���,標(biāo)志著等級保護1.0的正式啟動�。等級保護1.0的主要標(biāo)準(zhǔn)是:?《信息系統(tǒng)安全等級保護基本要求 GB/T22239-2008》?《信息系統(tǒng)等級保護安全設(shè)計要求 GB/T25070-2010》?《信息系統(tǒng)安全等級保護測評要求 GB/T28448-2012》
等保2.0:2019年5月13日����,國家市場監(jiān)督管理總局���、國家標(biāo)準(zhǔn)化管理委員會發(fā)布了3個網(wǎng)絡(luò)安全領(lǐng)域的國家標(biāo)準(zhǔn)(2019年12月1日起實施):
《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》(GB/T 22239-2019)
《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》(GB/T 25070-2019)
《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》(GB/T 28448-2019)標(biāo)志著我國進入等級保護2.0時代。
3���、等保的級別
根據(jù)信息系統(tǒng)受到破壞后��,對公民��、法人和其他組織的合法權(quán)益��,以及對公共利益���、社會秩序和國家安全的損害程度,等級保護分為五級:
第一級:自主保護級
第二級:指導(dǎo)保護級
第三級:監(jiān)督保護級
第四級:強制保護級
第五級:?�?乇Wo級
分保
1�、什么是分保
“分保”是指涉密信息系統(tǒng)分級保護��。《中華人民共和國保守國家秘密法》(2010年4月29日修訂�,2010年10月1日起實施)第二十三條規(guī)定:存儲、處理國家秘密的計算機信息系統(tǒng)(以下簡稱涉密信息系統(tǒng))按照涉密程度實行分級保護���。
2�����、分保的發(fā)展
涉密信息系統(tǒng)的分級保護依據(jù)《保守國家秘密法》《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》(國保發(fā)[2005]16號)等法律法規(guī)開展�。
3、分保的級別
涉密信息系統(tǒng)的等級分為秘密級��、機密級�、絕密級三個級別����。
《保守國家秘密法》第九條規(guī)定:下列涉及國家安全和利益的事項,泄露后可能損害國家在政治�����、經(jīng)濟�����、國防���、外交等領(lǐng)域的安全和利益的��,應(yīng)當(dāng)確定為國家秘密:
(一) 國家事務(wù)重大決策中的秘密事項;
(二) 國防建設(shè)和武裝力量活動中的秘密事項;
(三) 外交和外事活動中的秘密事項以及對外承擔(dān)保密義務(wù)的秘密事項;
(四) 國民經(jīng)濟和社會發(fā)展中的秘密事項;
(五) 科學(xué)技術(shù)中的秘密事項;
(六) 維護國家安全活動和追查刑事犯罪中的秘密事項;
(七) 經(jīng)國家保密行政管理部門確定的其他秘密事項����。 政黨的秘密事項中符合前款規(guī)定的,屬于國家秘密���。
《保守國家秘密法》第十三條規(guī)定:中央國家機關(guān)�、省級機關(guān)及其授權(quán)的機關(guān)�����、單位可以確定絕密級����、機密級和秘密級國家秘密;設(shè)區(qū)的市��、自治州一級的機關(guān)及其授權(quán)的機關(guān)����、單位可以確定機密級和秘密級國家秘密。
關(guān)保
1��、什么是關(guān)保
“關(guān)?����!笔侵戈P(guān)鍵信息基礎(chǔ)設(shè)施保護。《網(wǎng)絡(luò)安全法》第三十一條:國家對提供公共通信��、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)����,能源、交通�、水利、金融等重要行業(yè)和供電��、供水����、供氣�����、醫(yī)療衛(wèi)生��、社會保障等公共服務(wù)領(lǐng)域的重要信息系統(tǒng)�����,軍事網(wǎng)絡(luò),設(shè)區(qū)的市級以上國家機關(guān)等政務(wù)網(wǎng)絡(luò)�����,用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)和系統(tǒng)(以下稱關(guān)鍵信息基礎(chǔ)設(shè)施)���,實行重點保護�。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護辦法由國務(wù)院制定��。
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(2021年7月30日國務(wù)院令第745號公布���,2021年9月1日起施行)第二條規(guī)定:本條例所稱關(guān)鍵信息基礎(chǔ)設(shè)施�����,是指公共通信和信息服務(wù)�����、能源����、交通�、水利���、金融��、公共服務(wù)��、電子政務(wù)��、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的����,以及其他一旦遭到破壞����、喪失功能或者數(shù)據(jù)泄露�,可能嚴(yán)重危害國家安全、國計民生��、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。
2��、關(guān)保的發(fā)展
2017年7月10日�,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》��;2019至2021年,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》連續(xù)三年納入國家立法計劃����;2021年4月27日����,經(jīng)國務(wù)院第133次常務(wù)會議通過�����;2021年7月30日�����,國務(wù)院總理李克強簽署中華人民共和國國務(wù)院令第745號公布����,自2021年9月1日起施行。
3����、關(guān)保的內(nèi)容
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第五條規(guī)定:國家對關(guān)鍵信息基礎(chǔ)設(shè)施實行重點保護,采取措施,監(jiān)測、防御、處置來源于中華人民共和國境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險和威脅,保護關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊�����、侵入����、干擾和破壞���,依法懲治危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的違法犯罪活動���。
“關(guān)?�!庇蓢揖W(wǎng)信部門統(tǒng)籌協(xié)調(diào)���;國務(wù)院公安部門負(fù)責(zé)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作��;國務(wù)院電信主管部門和其他有關(guān)部門依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和監(jiān)督管理工作;省級人民政府有關(guān)部門依據(jù)各自職責(zé)對關(guān)鍵信息基礎(chǔ)設(shè)施實施安全保護和監(jiān)督管理。
密評
1、什么是密評
“密評”是指商用密碼應(yīng)用安全性評估�。《中華人民共和國密碼法》(2020年1月1日起實施)所述的密碼,是指采用特定變換的方法對信息等進行加密保護、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)����。商用密碼用于保護不屬于國家秘密的信息。 《中華人民共和國密碼法》第二十七條規(guī)定:法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施,其運營者應(yīng)當(dāng)使用商用密碼進行保護���,自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估���。商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估���、網(wǎng)絡(luò)安全等級測評制度相銜接��,避免重復(fù)評估、測評。
2��、密評的發(fā)展
《商用密碼應(yīng)用安全性評估管理辦法(試行)》(2017年4月22日起施行)《信息系統(tǒng)密碼應(yīng)用基本要求》(GM/T 0054-2018 )
3、密評的對象
商用密碼應(yīng)用安全性評估的對象包括:
基礎(chǔ)信息網(wǎng)絡(luò):電信網(wǎng)���、廣播電視網(wǎng)、互聯(lián)網(wǎng)�����;
涉及國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng):能源���、教育��、公安�����、測繪地理�����、社保����、交通、衛(wèi)生計生���、金融等信息系統(tǒng)�����;
重要工業(yè)控制系統(tǒng):核設(shè)施�、航空航天���、先進制造��、石油石化���、油氣管網(wǎng)�、電力系統(tǒng)���、交通運輸��、水利樞紐��、城市設(shè)施等工業(yè)控制系統(tǒng)�����;
面向社會服務(wù)的政務(wù)信息系統(tǒng):黨政機關(guān)和使用財政性資金的事業(yè)單位和團體組織使用的面向社會服務(wù)的信息系統(tǒng)。
關(guān)鍵信息基礎(chǔ)設(shè)施�����、網(wǎng)絡(luò)安全等級保護第三級及以上的信息系統(tǒng)�,密碼應(yīng)用安全性評估每年至少一次。
4、密評的內(nèi)容
對采用商用密碼技術(shù)�����、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)����,對其密碼應(yīng)用的合規(guī)性、正確性���、有效性進行評估����。
密碼應(yīng)用合規(guī)性:
使用的密碼算法����、密碼技術(shù)符合法律法規(guī)和國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求���;
使用的密碼產(chǎn)品��、密碼模塊通過國家密碼管理部門核準(zhǔn)�;
使用的密碼服務(wù)符合國家密碼管理要求��;
密碼應(yīng)用正確性:
密碼算法、密碼協(xié)議��、密鑰管理�����、密碼產(chǎn)品和服務(wù)使用正確���;
系統(tǒng)中采用標(biāo)準(zhǔn)的密碼算法�、協(xié)議��、密鑰管理����,按照國家和行業(yè)標(biāo)準(zhǔn)進行正確的設(shè)計和實現(xiàn);
自定義密碼協(xié)議���、密鑰管理機制的設(shè)計和實現(xiàn)正確����,符合標(biāo)準(zhǔn)要求�;
密碼保障系統(tǒng)建設(shè)改造過程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用正確���;
密碼應(yīng)用有效性:
系統(tǒng)中采用的密碼協(xié)議�����、密鑰管理系統(tǒng)�、密碼應(yīng)用子系統(tǒng)和密碼安全防護機制設(shè)計合理,在系統(tǒng)運行過程中能夠發(fā)揮密碼作用���,保障信息的機密性�、完整性���、真實性����、不可否認(rèn)性���。
商用密碼應(yīng)用安全性評估主要從:總體要求����、物理和環(huán)境��、網(wǎng)絡(luò)和通信�����、設(shè)備和計算、應(yīng)用和數(shù)據(jù)�����、密鑰管理以及安全管理七個方面進行評估�。
蘇公網(wǎng)安備 32010502010503號
