公安部于2020年7月研究制定了公網(wǎng)安〔2020〕1960號《貫徹落實(shí)網(wǎng)絡(luò)安全等保制度和關(guān)保制度的指導(dǎo)意見》(下稱“指導(dǎo)意見”),,明確網(wǎng)絡(luò)安全工作目標(biāo):
網(wǎng)絡(luò)安全等級保護(hù)制度深入貫徹實(shí)施,;
關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度建立并實(shí)施,;
網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急處置能力顯著提升,;
網(wǎng)絡(luò)安全綜合防控體系基本建成。
深入貫徹落實(shí)網(wǎng)絡(luò)安全等級保護(hù)(簡稱“等?!保┕ぷ?、積極推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)(簡稱“關(guān)保”)工作開展將是網(wǎng)絡(luò)運(yùn)營者2021年網(wǎng)絡(luò)安全工作的重點(diǎn),。在落實(shí)等保和關(guān)保兩個制度時,,網(wǎng)絡(luò)運(yùn)營者明確網(wǎng)絡(luò)安全等級保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)間的關(guān)系是開展網(wǎng)絡(luò)安全工作的前提和基礎(chǔ)。行業(yè)內(nèi)講“關(guān)?;诘缺Wo(hù)高于等保”,,究竟該如何理解這一口號呢,?本文通過分析下列幾個關(guān)系對“等保和關(guān)保”的關(guān)系進(jìn)行分析,、說明:
關(guān)鍵信息基礎(chǔ)設(shè)施與等級保護(hù)對象的關(guān)系,?
關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定與等級保護(hù)定級的關(guān)系?
關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估與等級測評的關(guān)系,?
關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度和網(wǎng)絡(luò)安全等級保護(hù)制度的關(guān)系,?
基本概念
若要了解“等保”與“關(guān)?!眱烧哧P(guān)系,,首先需明白二者的基本概念以及主要的工作內(nèi)容,具體情況如下表:
關(guān)系分析
關(guān)鍵信息基礎(chǔ)設(shè)施與等級保護(hù)對象的關(guān)系
關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù),、能源,、交通、水利、金融,、公共服務(wù),、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域,,以及其他一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全,、國計(jì)民生,、公共利益的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng),。
等級保護(hù)對象是指網(wǎng)絡(luò)安全等級保護(hù)工作直接作用的對象,,主要包括信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源,。
關(guān)系分析:等級保護(hù)對象是針對邊界明確,、可獨(dú)立定級和明確保護(hù)措施的信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源,,而關(guān)鍵信息基礎(chǔ)設(shè)施是由支撐關(guān)鍵業(yè)務(wù)及其關(guān)聯(lián)業(yè)務(wù)穩(wěn)定運(yùn)行,、相互關(guān)聯(lián)、相互影響的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)構(gòu)成,。在《網(wǎng)絡(luò)安全法》中要求將關(guān)鍵信息基礎(chǔ)設(shè)施納入等級保護(hù)中,,因此關(guān)鍵信息基礎(chǔ)設(shè)施是等級保護(hù)對象的一部分,是等級保護(hù)的重點(diǎn)保護(hù)對象,。
關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定與等級保護(hù)對象定級的關(guān)系
識別認(rèn)定流程:
關(guān)鍵信息基礎(chǔ)設(shè)施識別認(rèn)定流程大致可概括為:
定級流程:
網(wǎng)絡(luò)安全等級保護(hù)定級流程大致可概括為:
關(guān)系分析:關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定與等級保護(hù)對象定級分別作為開展等級保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)確定保護(hù)對象的重要手段,,是開展等保、關(guān)保工作的前提,。二者在資產(chǎn)識別,、梳理層面存在一定的相似性,但卻是兩項(xiàng)不同的工作內(nèi)容,,而等級保護(hù)對象的識別梳理,、定級邊界確定、定級對象關(guān)聯(lián)資產(chǎn)分析為關(guān)鍵信息基礎(chǔ)設(shè)施識別認(rèn)定提供了堅(jiān)實(shí)的基礎(chǔ),。
關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估與等級測評的關(guān)系
關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估通過合規(guī)檢查,、技術(shù)檢測和分析評估完成,具體評估流程為:評估工作準(zhǔn)備(調(diào)研,、方案制定),、工作實(shí)施、工作總結(jié)(風(fēng)險研判,、報告編制,、結(jié)果反饋),;
等級保護(hù)測評包括測評準(zhǔn)備、方案編制,、現(xiàn)場測評,、測評結(jié)論分析、測評報告編制,。
關(guān)系分析:
第三級以上的等級保護(hù)定級對象每年至少一次等級測評,,對于關(guān)鍵信息基礎(chǔ)設(shè)施,運(yùn)營者可自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對CII地風(fēng)險隱患每年至少一次檢測評估,。關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估與等級測評的目標(biāo)對象和檢測力度存在著一定差異,,因此檢測評估與等級測評不能混為一談,但關(guān)鍵信息基礎(chǔ)設(shè)施開展等級測評的情況是關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估工作的一部分內(nèi)容,。
關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度和網(wǎng)絡(luò)安全等級保護(hù)制度的關(guān)系
落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度的目標(biāo)是保障業(yè)務(wù)整體安全,,即業(yè)務(wù)連續(xù)性與安全可控性;落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度的目標(biāo)是有效發(fā)現(xiàn),、解決網(wǎng)絡(luò)和信息系統(tǒng)安全面臨的威脅和存在的主要問題,。
網(wǎng)絡(luò)安全等級保護(hù)制度是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ),關(guān)鍵信息基礎(chǔ)設(shè)施是等級保護(hù)的重點(diǎn),,兩者相輔相成,、不可分割。對于重點(diǎn)行業(yè),、重點(diǎn)領(lǐng)域的運(yùn)營者而言,,應(yīng)當(dāng)對網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行合理的邊界劃分,確定定級對象,,開展等級保護(hù)(定級,、備案、建設(shè)整改,、等級測評,、監(jiān)督檢查)工作,針對關(guān)鍵的業(yè)務(wù)系統(tǒng),,確定支撐其穩(wěn)定運(yùn)行的關(guān)鍵信息基礎(chǔ)設(shè)施,并進(jìn)行重點(diǎn)防護(hù),,開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)(識別認(rèn)定,、安全防護(hù)、檢測評估,、監(jiān)測預(yù)警,、事件處置)工作。
基于等保:等級保護(hù)是基礎(chǔ),,即baseline,,“關(guān)保”的保護(hù)對象是等級保護(hù)對象的一部分;是在等保對象的基礎(chǔ)上進(jìn)行細(xì)化梳理,,“關(guān)?!钡陌踩雷o(hù)是在等保的安全建設(shè)整改的基礎(chǔ)上開展;“關(guān)?!钡臋z測評估內(nèi)容包括等級保護(hù)的等級測評,、安全建設(shè)情況等。
高于等保:“關(guān)?!钡陌踩雷o(hù),、監(jiān)測預(yù)警、事件處置環(huán)節(jié)從技術(shù)到管理,、從過程到方法都有所細(xì)化,、提升,在技術(shù)層面更加強(qiáng)化,,管理層面更加明確,;安全要求力度要求高于等級保護(hù),增加動態(tài)風(fēng)控相關(guān)要求,,更加注重網(wǎng)絡(luò)安全實(shí)戰(zhàn)化,、體系化、常態(tài)化,。
無論是等級保護(hù)還是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),,其終極目標(biāo)都是保障國家網(wǎng)絡(luò)安全,提升網(wǎng)絡(luò)安全綜合防控能力,。