其實,,我們很多從事信息安全行業(yè)的人,交流時常常會提及“等?!薄胺直,!薄懊茉u”這些概念,那么他們之間的聯(lián)系與區(qū)別往往不是說的太清楚,,大部分都在說他們之間的不同,,而聯(lián)系這塊在很多公眾號中是未提及的。甚至對“等?!薄胺直,!薄皽y評”這些詞匯認(rèn)知也是模棱兩可的??吹轿疫@個標(biāo)題的朋友,,自然會發(fā)現(xiàn)無論是“等級保護(hù)”“分級保護(hù)”“密碼保護(hù)”后面我都加了“測評”倆字,。因為我個人認(rèn)為這是較為嚴(yán)謹(jǐn)?shù)拿枋觯?dāng)然我接下來也會“引經(jīng)據(jù)典”說明之,。
首先,,我根據(jù)《信息安全等級保護(hù)管理辦法》即常說的43號文簡單整理了一張圖來說明之,供大家參考,!
我相信,,明眼人也看出來了。所謂“等級保護(hù)測評”“分級保護(hù)測評”“密碼保護(hù)測評”是等級保護(hù)制度下三個方面,,統(tǒng)歸在等級保護(hù)制度之下,。換言之,我們口中常說的“等?!笔恰暗燃壉Wo(hù)測評”的簡稱最恰切,,而不是“等級保護(hù)”的簡稱,等級保護(hù)涵蓋公安,、保密,、密碼三個管理部門監(jiān)管的三個方向,《網(wǎng)絡(luò)安全法》第二十一條國家實行網(wǎng)絡(luò)安全等級保護(hù)制度,。就是常說的“等?!薄胺直!薄懊茉u”共同組成《網(wǎng)絡(luò)安全法》中要求的“網(wǎng)絡(luò)安全等級保護(hù)制度”,,所以網(wǎng)絡(luò)運營者要履行非涉密信息系統(tǒng)的等級保護(hù)測評,、密碼保護(hù)測評以及涉密系統(tǒng)的分級保護(hù)測評,這樣才是真正履行網(wǎng)絡(luò)安全等級保護(hù)制度,。所以,,做等級保護(hù)測評的千萬不能曲解法律法規(guī),不然在協(xié)助客戶工作中,,有可能把客戶帶偏,。
我們借助《信息安全等級保護(hù)管理辦法》43號文談一下“分級保護(hù)測評”,在《信息安全等級保護(hù)管理辦法》的第四章明確了涉密信息系統(tǒng)的分級保護(hù)管理等內(nèi)容,,其中第二十四條這樣描述“涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護(hù)的基本要求,,按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),結(jié)合系統(tǒng)實際情況進(jìn)行保護(hù),。非涉密信息系統(tǒng)不得處理國家秘密信息等,。”
在第二十五條,,涉密信息系統(tǒng)按照所處理信息的最高密級,由低到高分為秘密,、機(jī)密,、絕密三個等級,。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上,依據(jù)涉密信息系統(tǒng)分級保護(hù)管理辦法和國家保密標(biāo)準(zhǔn)BMB17-2006《涉及國家秘密的計算機(jī)信息系統(tǒng)分級保護(hù)技術(shù)要求》確定系統(tǒng)等級,。對于包含多個安全域的涉密信息系統(tǒng),,各安全域可以分別確定保護(hù)等級。保密工作部門和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確,、合理地進(jìn)行系統(tǒng)定級,。
在第二十七條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計與實施。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),,按照秘密,、機(jī)密、絕密三級的不同要求,,結(jié)合系統(tǒng)實際進(jìn)行方案設(shè)計,,實施分級保護(hù),其保護(hù)水平總體上不低于國家信息安全等級保護(hù)第三級,、第四級,、第五級的水平。
由以上三條結(jié)合43號第三條中描述“國家保密工作部門負(fù)責(zé)等級保護(hù)工作中有關(guān)保密工作的監(jiān)督,、檢查,、指導(dǎo)”,我們看到“分?!笔堑燃壉Wo(hù)工作中“有關(guān)保密工作”,,同屬于等級保護(hù)制度大體系范圍內(nèi)。另外,,“分?!庇凶约阂惶追ㄒ?guī)和規(guī)范,但統(tǒng)屬在等級保護(hù)之內(nèi),,而且從第二十七條也可以看到分級保護(hù)的信息系統(tǒng)“不低于國家信息安全等級保護(hù)第三級,、第四級、第五級的水平”,,這也是彼此之間的聯(lián)系,。
我們借助《信息安全等級保護(hù)管理辦法》43號文再淺層次的探討一下“密碼保護(hù)測評”,在《信息安全等級保護(hù)管理辦法》的第五章明確了信息安全等級保護(hù)的密碼管理等內(nèi)容,,其中第三十四條這樣描述“國家密碼管理部門對信息安全等級保護(hù)的密碼實行分類分級管理,。根據(jù)被保護(hù)對象在國家安全、社會穩(wěn)定,、經(jīng)濟(jì)建設(shè)中的作用和重要程度,,被保護(hù)對象的安全防護(hù)要求和涉密程度,被保護(hù)對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等,確定密碼的等級保護(hù)準(zhǔn)則,?!薄靶畔⑾到y(tǒng)運營、使用單位采用密碼進(jìn)行等級保護(hù)的,,應(yīng)當(dāng)遵照《信息安全等級保護(hù)密碼管理辦法》,、《信息安全等級保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)?!?/p>
第三十九條描述為“各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護(hù)工作中密碼配備,、使用和管理的情況進(jìn)行檢查和測評,對重要涉密信息系統(tǒng)的密碼配備,、使用和管理情況每兩年至少進(jìn)行一次檢查和測評,。在監(jiān)督檢查過程中,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達(dá)到密碼相關(guān)標(biāo)準(zhǔn)要求的,,應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定進(jìn)行處置,。”
而在《密碼法》的第二十七條描述為“法律,、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,,其運營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估,。商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估,、網(wǎng)絡(luò)安全等級測評制度相銜接,避免重復(fù)評估,、測評,。”“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù),,可能影響國家安全的,,應(yīng)當(dāng)按照《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定,通過國家網(wǎng)信部門會同國家密碼管理部門等有關(guān)部門組織的國家安全審查,?!?/p>
這樣,等級保護(hù)測評與密碼測評則通過43號文與《密碼法》共同指向《網(wǎng)絡(luò)安全法》有關(guān)落實等級保護(hù)制度的要求,。
接下來我們再回顧一下基本概念:
網(wǎng)絡(luò)安全等級保護(hù)測評:(簡稱“等級測評”)是測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定,,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對非涉及國家秘密信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動,,是信息系統(tǒng)安全等級保護(hù)工作的重要環(huán)節(jié),。
商用密碼應(yīng)用安全評估:(簡稱“密碼測評”或“密評”)是指對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性,、正確性,、有效性進(jìn)行評估。
本文主要依據(jù)43號文、《網(wǎng)絡(luò)安全法》《密碼法》等文件,,“等級保護(hù)”“等級保護(hù)測評”“分級保護(hù)測評”“密碼保護(hù)測評”等進(jìn)行了一個概念上的簡單聯(lián)系與區(qū)分,,有關(guān)技術(shù)細(xì)節(jié)在本文中未體現(xiàn)。
