進入等級保護2.0時代,根據信息技術發展應用和網絡安全態勢,不斷豐富了制度內涵、拓展保護範圍、完善監管措施,逐步健全網絡安全等級保護制度政策、標準和支撐體系。密碼作爲保障網絡和信息安全的核心技術和基礎支撐,關係到國家安全、國計民生和社會公共利益。隨着互聯網的進一步發展,商密技術應用的普及,加強相關安全標準認真體系的建設和管理是重中之重。這其中就涉及到等保測評、密碼測評、關基保護、密碼技術標準、定級備案等有關政策條例的問題,還有等保與密碼、測評和密評之間的關係,如何進行各項測評,找哪些機構,執行後果等各類相關問題,接下來我們就用3個篇幅,集合48個問題,一次系統解決大家可能最關心的點,準備好小板凳了嗎?重點都給你劃分好咯!
(上)
1.什麼是等級保護?
答:等級保護制度是我國網絡安全的基本制度。等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
2.什麼是等級保護2.0?
答:“等級保護2.0”或“等保2.0”是一個約定俗成的說法,指按新的等級保護標準規範開展工作的統稱。通常認爲是《中華人民共和國網絡安全法》頒佈實行後提出,以2019年12月1日,《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》正式實施爲象徵性標誌。
3.“等保”與“分保”有什麼區別?
答:指等級保護與分級保護,主要不同在監管部門、適用對象、分類等級等方面。監管部門不一樣,等級保護由公安部門監管,分級保護由國家保密局監管。適用對象不一樣,等級保護適用非涉密系統,分級保護適用於涉及國家密祕系統。等級分類不同,等級保護分5個級別:一級(自主保護)、二級(指導保護)、三級(監督保護)、四級(強制保護)、五級(專控保護);分級保護分3個級別:祕密級、機密級、絕密級。
4.“等保”與“關保”有什麼區別?
答:指等級保護與關鍵信息基礎設施保護,“關保”是在網絡安全等級保護制度的基礎上,實行重點保護。《中華人民共和國網絡安全法》第三章第二節規定了關鍵信息基礎設施的運行安全,包括關鍵信息基礎設施的範圍、保護的主要內容等。目前“關保”的基本要求、測評指南、高風險判例等均已基本完成,相關試點工作已啓動。
5.什麼是等級保護測評?
答:指經認定的專業第三方測評機構依據國家信息安全等級保護制度規定,按照有關管理規範和技術標準,對非涉及國家祕密網絡安全等級保護狀況進行檢測評估的活動。
6.什麼是商密?
答:商用密碼用於保護不屬於國家祕密的信息。也就是說,商用密碼可以用於保護除國家祕密之外的所有信息,既可以保護企業商業祕密、公民個人隱私,也可以保護政務領域中不屬於國家祕密的工作信息。關於商用密碼的名稱,1996年,中央決定在我國大力發展商用密碼,加強對商用密碼的管理。1999年,國務院頒佈施行《商用密碼管理條例》(國務院令第273號),商用密碼的名稱開始爲社會所熟知和廣泛使用。此後,中央文件和黨內法規以及國家密碼管理局制定發佈的規範性文件均採用了“商用密碼”這一名稱。
7.什麼是商用密碼安全性評估?
答:商用密碼應用安全性評估(簡稱“密評”),是指在採用商用密碼技術、產品和服務集成建設的網絡和信息系統中,對其密碼應用的合規性、正確性和有效性進行評估。
8.不做密評或測試結果不合格有什麼影響?
答:《密碼法》第三十七條第一款關鍵信息基礎設施的運營者違反本法第二十七條第一款規定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導致危害網絡安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。《國家政務信息化項目建設管理辦法》第二十八條第三款對於不符合密碼應用和網絡安全要求,或者存在重大安全隱患的政務信息系統,不安排運行維護經費,項目建設單位不得新建、改建、擴建政務信息系統。《商用密碼應用安全性評估管理辦法(試行)》第二章第十條關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統,每年至少評估一次。
9.“商用密碼評估”和“等保”究竟有着什麼樣的關係呢?
答:在網絡安全等級保護規劃、建設、運行階段開展密碼應用安全性評估;《商用密碼應用安全性評估管理辦法(試行)》明確等保三級及以上系統,應當通過密碼測評後方可投入運行;等保三級以上網絡每年進行一次密評,且測評結果需報主管部門、密碼管理部門及公安部門備案;《網絡安全等級保護條例》中保留了密碼專章在統一標準體系的基礎上臺並開展;《網絡安全等級保護基本要求》明確各級系統在哪些環節使用密碼;《網絡安全等級保護測評要求》將密碼測評結果列爲等保測評通過的必要條件。
10.“等保”與“商密”的主要標準有什麼區別?
答:等保2.0將網絡基礎設施、重要信息系統、大型互聯網站、大數據中心、雲計算平臺、物聯網系統、工業控制系統、公衆服務平臺等全部納入等級保護對象,並將風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜治考覈、安全員培訓等工作措施全部納入等級保護制度。商密是依據我國相關法律的規定,我國商用密碼的標準,由國務院標準化行政主管部門和國家密碼管理部門依據各自職責,組織制定,包括國家標準、行業標準兩種。《中華人民共和國密碼法》第二十二條 國家建立和完善商用密碼標準體系。國務院標準化行政主管部門和國家密碼管理部門依據各自職責,組織制定商用密碼國家標準、行業標準。國家支持社會團體、企業利用自主創新技術制定高於國家標準、行業標準相關技術要求的商用密碼團體標準、企業標準。第二十三條 國家推動參與商用密碼國際標準化活動,參與制定商用密碼國際標準,推進商用密碼中國標準與國外標準之間的轉化運用。國家鼓勵企業、社會團體和教育、科研機構等參與商用密碼國際標準化活動。
以上整理供參考。