了解最新公司动态及行业资讯
我们很多从事信息安全行业的人,交流时常常会提及“等保”“分保”“密评”这些概念,那么他们之间的联系与区别往往不是说的太清楚,大部分都在说他们之间的不同,而联系这块在很多公众号中是未提及的。甚至对“等保”“分保”“测评”这些词汇认知也是模棱两可的。看到我这个标题的朋友,自然会发现无论是“等级保护”“分级保护”“密码管理”,原来我在上次文章中于其后面都加了“测评”俩字,后来发现这个理解是有失偏颇的,所以本次回归其正常说法,其来源是《网络安全等级保护条例》(征求意见稿),根据征求意见稿,我个人感觉加上“工作”二字更为恰切。因为我个人认为这是较为严谨的描述,当然我接下来也会“引经据典”说明之。首先,我根据《信息安全等级保护管理办法》即常说的43号文简单整理了一张图来说明之,供大家参考!
我相信,明眼人也看出来了。所谓“等级保护工作”“分级保护工作”“密码管理工作”是等级保护制度下三个工作方向,统归在等级保护制度之下,而原来用“测评”二字去强调,不妥的地方在于等级保护制度下面三个工作其落脚点在于建设整改,而且这是一个全生命周期的防护要求,测评仅为等级保护工作中的其中一个重要的环节或动作。
换言之,我们日常工作面对的口中的“等保”是“等级保护测评”多一些,但是这个说法是不恰切的,而网络运营者落实等级保护(等保)应该是落实的“等级保护工作”最恰切,这样就涵盖了非涉密网络的五个规定动作,即涵盖定级、备案、建设整改、等级测评、监督检查(网络运营者被监督检查)。而若谈及等级保护制度,从监管层面考虑,则涵盖公安、保密、密码三个管理部门监管的三个方向。
同时《网络安全等级保护条例》(征求意见稿)中,还根据时代与时俱进的提升一个层次,加入由中央网信委领导、网信办统筹协调的要求,至此其实等级保护制度形成中央网信委领导、网信办统筹协调,公安部门(等级保护工作)和保密部门(分级保护工作)主管,国家密码管理部门负责密码管理工作,国务院其他有关部门和县级以上地方人民政府共同参与的一个大网络安全基础性的制度体系。我们根据《网络安全等级保护条例》征求意见稿重新整理了一张更为全面的图,如下图。
《网络安全法》第二十一条国家实行网络安全等级保护制度。上面也根据《网络安全等级保护条例》(征求意见稿)描述了一下等级保护制度与等级保护工作的不同,所以网络运营者要履行非涉密信息系统的等级保护工作、密码管理工作以及涉密系统的分级保护工作,而对应两大方向,三个工作中的“测评”,则只是开展该方向工作中的一个重要子集。落实等级保护工作和分级保护工作,则需要落实“三同步”从规划设计、建设整改、运行使用各个环节,依据国家法律法规和国家标准以及行业标准开展工作,这样才是真正履行网络安全等级保护制度。
另外,根据《网络安全等级保护条例》(征求意见稿)第七十二条描述“【军队】军队的网络安全等级保护工作,按照军队的有关法规执行。”,说明军队执行的也是“等级保护制度”,只是他有他自己的一套方法论开展工作,如同非涉密与涉密两套不同的实现方式一样,均在这个大制度之下。可以说,从来等级测评不是等同于等级保护工作,更不能等同于等级保护制度。
以前我和人交流经常打一个比方。等级保护工作开展好比学校教育,我们可以把网络运营者比作学生(最终工作呈现者),安全集成或服务商比作任课老师(工作指导或开展者),测评机构比作监考或批卷老师,学生的成绩有谁来决定呢?一则是任课老师应该有自己的课件和讲义,有能力传输给学生知识和能力,以便他能够在未来考试中获得好成绩;二则是学生应该认真跟着老师学习,同时对老师的教课质量和能力进行监督。
那么,我们退一步去讲,一个任课老师三天打鱼两天晒网,或一年也不教课,学生天天逃课,都不学习,最终成绩会如何?应该是不言而喻的了。那么,责任自然不能由监考或批卷老师承担,但是现在很多学生,总是逼着批卷老师给判高分。大家都经历过学习生涯,这种现象确实在学校也真的存在,但是对于真正掌握知识来说是无益的,那么对于真正的网络安全来说也是无益的,国家从不同层面去设计这么个规则,自然是从安全的角度考虑。
在谈分级保护工作前,我们需要了解一下《中华人民共和国保守国家秘密法》在1988年9月5日第七届全国人民代表大会常务委员会第三次会议通过的版本中是没有“分级保护”的概念的,因为那时我们国家的计算机尚处于起步阶段,更不存在所谓的信息系统的概念,自然不涉及这个内容和概念。待到2010年4月29日第十一届全国人民代表大会常务委员会第十四次会议修订版,在该法律中增加了第二十三条有关分级保护的要求,但是法律原文中并没有将其描述为“制度”。
第二十三条 存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。 |
另外,在2007年国公安部、国家保密局、国家密码管