进入等级保护2.0时代,根据信息技术发展应用和网络安全态势,不断丰富了制度内涵、拓展保护范围、完善监管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。密码作为保障网络和信息安全的核心技术和基础支撑,关系到国家安全、国计民生和社会公共利益。随着互联网的进一步发展,商密技术应用的普及,加强相关安全标准认真体系的建设和管理是重中之重。这其中就涉及到等保测评、密码测评、关基保护、密码技术标准、定级备案等有关政策条例的问题,还有等保与密码、测评和密评之间的关系,如何进行各项测评,找哪些机构,执行后果等各类相关问题,接下来我们就用3个篇幅,集合48个问题,一次系统解决大家可能最关心的点,准备好小板凳了吗?重点都给你划分好咯!
(上)
1.什么是等级保护?
答:等级保护制度是我国网络安全的基本制度。等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
2.什么是等级保护2.0?
答:“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》正式实施为象征性标志。
3.“等保”与“分保”有什么区别?
答:指等级保护与分级保护,主要不同在监管部门、适用对象、分类等级等方面。监管部门不一样,等级保护由公安部门监管,分级保护由国家保密局监管。适用对象不一样,等级保护适用非涉密系统,分级保护适用于涉及国家密秘系统。等级分类不同,等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密级。
4.“等保”与“关保”有什么区别?
答:指等级保护与关键信息基础设施保护,“关保”是在网络安全等级保护制度的基础上,实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。目前“关保”的基本要求、测评指南、高风险判例等均已基本完成,相关试点工作已启动。
5.什么是等级保护测评?
答:指经认定的专业第三方测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。
6.什么是商密?
答:商用密码用于保护不属于国家秘密的信息。也就是说,商用密码可以用于保护除国家秘密之外的所有信息,既可以保护企业商业秘密、公民个人隐私,也可以保护政务领域中不属于国家秘密的工作信息。关于商用密码的名称,1996年,中央决定在我国大力发展商用密码,加强对商用密码的管理。1999年,国务院颁布施行《商用密码管理条例》(国务院令第273号),商用密码的名称开始为社会所熟知和广泛使用。此后,中央文件和党内法规以及国家密码管理局制定发布的规范性文件均采用了“商用密码”这一名称。
7.什么是商用密码安全性评估?
答:商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
8.不做密评或测试结果不合格有什么影响?
答:《密码法》第三十七条第一款关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。《国家政务信息化项目建设管理办法》第二十八条第三款对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。《商用密码应用安全性评估管理办法(试行)》第二章第十条关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
9.“商用密码评估”和“等保”究竟有着什么样的关系呢?
答:在网络安全等级保护规划、建设、运行阶段开展密码应用安全性评估;《商用密码应用安全性评估管理办法(试行)》明确等保三级及以上系统,应当通过密码测评后方可投入运行;等保三级以上网络每年进行一次密评,且测评结果需报主管部门、密码管理部门及公安部门备案;《网络安全等级保护条例》中保留了密码专章在统一标准体系的基础上台并开展;《网络安全等级保护基本要求》明确各级系统在哪些环节使用密码;《网络安全等级保护测评要求》将密码测评结果列为等保测评通过的必要条件。
10.“等保”与“商密”的主要标准有什么区别?
答:等保2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象,并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。商密是依据我国相关法律的规定,我国商用密码的标准,由国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定,包括国家标准、行业标准两种。《中华人民共和国密码法》第二十二条 国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
以上整理供参考。
|