公安部于2020年7月研究制定了公網(wǎng)安〔2020〕1960號《貫徹落實網(wǎng)絡(luò)安全等保制度和關(guān)保制度的指導(dǎo)意見》(下稱“指導(dǎo)意見”),,明確網(wǎng)絡(luò)安全工作目標:
網(wǎng)絡(luò)安全等級保護制度深入貫徹實施,;
關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度建立并實施;
網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急處置能力顯著提升,;
網(wǎng)絡(luò)安全綜合防控體系基本建成,。
深入貫徹落實網(wǎng)絡(luò)安全等級保護(簡稱“等?!保┕ぷ?、積極推進關(guān)鍵信息基礎(chǔ)設(shè)施保護(簡稱“關(guān)保”)工作開展將是網(wǎng)絡(luò)運營者2021年網(wǎng)絡(luò)安全工作的重點。在落實等保和關(guān)保兩個制度時,,網(wǎng)絡(luò)運營者明確網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護間的關(guān)系是開展網(wǎng)絡(luò)安全工作的前提和基礎(chǔ),。行業(yè)內(nèi)講“關(guān)保基于等保護高于等?!?,究竟該如何理解這一口號呢?本文通過分析下列幾個關(guān)系對“等保和關(guān)?!钡年P(guān)系進行分析,、說明:
關(guān)鍵信息基礎(chǔ)設(shè)施與等級保護對象的關(guān)系?
關(guān)鍵信息基礎(chǔ)設(shè)施認定與等級保護定級的關(guān)系,?
關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估與等級測評的關(guān)系,?
關(guān)鍵信息基礎(chǔ)設(shè)施保護制度和網(wǎng)絡(luò)安全等級保護制度的關(guān)系?
基本概念
若要了解“等?!迸c“關(guān)?!眱烧哧P(guān)系,首先需明白二者的基本概念以及主要的工作內(nèi)容,,具體情況如下表:
關(guān)系分析
關(guān)鍵信息基礎(chǔ)設(shè)施與等級保護對象的關(guān)系
關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù),、能源、交通,、水利,、金融、公共服務(wù),、電子政務(wù),、國防科技工業(yè)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,,可能嚴重危害國家安全、國計民生,、公共利益的網(wǎng)絡(luò)設(shè)施,、信息系統(tǒng)。
等級保護對象是指網(wǎng)絡(luò)安全等級保護工作直接作用的對象,,主要包括信息系統(tǒng),、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源。
關(guān)系分析:等級保護對象是針對邊界明確,、可獨立定級和明確保護措施的信息系統(tǒng),、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源,而關(guān)鍵信息基礎(chǔ)設(shè)施是由支撐關(guān)鍵業(yè)務(wù)及其關(guān)聯(lián)業(yè)務(wù)穩(wěn)定運行,、相互關(guān)聯(lián),、相互影響的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)構(gòu)成,。在《網(wǎng)絡(luò)安全法》中要求將關(guān)鍵信息基礎(chǔ)設(shè)施納入等級保護中,因此關(guān)鍵信息基礎(chǔ)設(shè)施是等級保護對象的一部分,,是等級保護的重點保護對象,。
關(guān)鍵信息基礎(chǔ)設(shè)施認定與等級保護對象定級的關(guān)系
識別認定流程:
關(guān)鍵信息基礎(chǔ)設(shè)施識別認定流程大致可概括為:
定級流程:
網(wǎng)絡(luò)安全等級保護定級流程大致可概括為:
關(guān)系分析:關(guān)鍵信息基礎(chǔ)設(shè)施認定與等級保護對象定級分別作為開展等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施保護確定保護對象的重要手段,是開展等保,、關(guān)保工作的前提,。二者在資產(chǎn)識別、梳理層面存在一定的相似性,,但卻是兩項不同的工作內(nèi)容,,而等級保護對象的識別梳理、定級邊界確定,、定級對象關(guān)聯(lián)資產(chǎn)分析為關(guān)鍵信息基礎(chǔ)設(shè)施識別認定提供了堅實的基礎(chǔ),。
關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估與等級測評的關(guān)系
關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估通過合規(guī)檢查、技術(shù)檢測和分析評估完成,,具體評估流程為:評估工作準備(調(diào)研,、方案制定)、工作實施,、工作總結(jié)(風(fēng)險研判,、報告編制、結(jié)果反饋),;
等級保護測評包括測評準備,、方案編制、現(xiàn)場測評,、測評結(jié)論分析,、測評報告編制。
關(guān)系分析:
第三級以上的等級保護定級對象每年至少一次等級測評,,對于關(guān)鍵信息基礎(chǔ)設(shè)施,,運營者可自行或委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對CII地風(fēng)險隱患每年至少一次檢測評估。關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估與等級測評的目標對象和檢測力度存在著一定差異,,因此檢測評估與等級測評不能混為一談,,但關(guān)鍵信息基礎(chǔ)設(shè)施開展等級測評的情況是關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估工作的一部分內(nèi)容。
關(guān)鍵信息基礎(chǔ)設(shè)施保護制度和網(wǎng)絡(luò)安全等級保護制度的關(guān)系
落實關(guān)鍵信息基礎(chǔ)設(shè)施保護制度的目標是保障業(yè)務(wù)整體安全,,即業(yè)務(wù)連續(xù)性與安全可控性,;落實網(wǎng)絡(luò)安全等級保護制度的目標是有效發(fā)現(xiàn)、解決網(wǎng)絡(luò)和信息系統(tǒng)安全面臨的威脅和存在的主要問題,。
網(wǎng)絡(luò)安全等級保護制度是關(guān)鍵信息基礎(chǔ)設(shè)施保護的基礎(chǔ),,關(guān)鍵信息基礎(chǔ)設(shè)施是等級保護的重點,兩者相輔相成,、不可分割,。對于重點行業(yè),、重點領(lǐng)域的運營者而言,應(yīng)當(dāng)對網(wǎng)絡(luò)和信息系統(tǒng)進行合理的邊界劃分,,確定定級對象,開展等級保護(定級,、備案,、建設(shè)整改、等級測評,、監(jiān)督檢查)工作,,針對關(guān)鍵的業(yè)務(wù)系統(tǒng),確定支撐其穩(wěn)定運行的關(guān)鍵信息基礎(chǔ)設(shè)施,,并進行重點防護,,開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(識別認定、安全防護,、檢測評估,、監(jiān)測預(yù)警、事件處置)工作,。
基于等保:等級保護是基礎(chǔ),,即baseline,“關(guān)?!钡谋Wo對象是等級保護對象的一部分,;是在等保對象的基礎(chǔ)上進行細化梳理,“關(guān)?!钡陌踩雷o是在等保的安全建設(shè)整改的基礎(chǔ)上開展,;“關(guān)保”的檢測評估內(nèi)容包括等級保護的等級測評,、安全建設(shè)情況等,。
高于等保:“關(guān)保”的安全防護,、監(jiān)測預(yù)警,、事件處置環(huán)節(jié)從技術(shù)到管理、從過程到方法都有所細化,、提升,,在技術(shù)層面更加強化,管理層面更加明確,;安全要求力度要求高于等級保護,,增加動態(tài)風(fēng)控相關(guān)要求,更加注重網(wǎng)絡(luò)安全實戰(zhàn)化,、體系化,、常態(tài)化,。
無論是等級保護還是關(guān)鍵信息基礎(chǔ)設(shè)施保護,其終極目標都是保障國家網(wǎng)絡(luò)安全,,提升網(wǎng)絡(luò)安全綜合防控能力,。