分保、等保、关保、密评之间联系与区别

微信扫码，打开到小程序

分保、等保、关保、密评 之间联系与区别 02 相关的法律法规依据 06 密评工作简介 01 什么是“ 3 保 1 评” 05 关保工作简介 03 分保工作简介 07 3 保 1 评联系与区 别 04 等保工作简介 H CONTENTS 01 PART ONE 什么是“ 3 保 1 评 ” 日日日日母 涉密信息系统分级保护 指涉密信息系统的建设使用单位根据分级保护管理 办法和有关标准，对涉密信息系统分等级实施保护 网络安全等级保护 指国家通过制定统一的安全等级保护管理规范和技 术标准，组织公民、法人和其他组织对信息系统分 等级实行安全保护 关键信息基础设施保护 针对面向公众提供网络信息服务或支撑能源、通信、 金融、交通、公共事业等重要行业运行的信息系统、 工业控制系统等关键信息基础设施，在网络安全等 级保护制度的基础上，实行重点保护 商用密码应用安全评估 是指对采用商用密码技术、产品和服务集成建设的 网络和信息系统密码应用的合规性、正确性、有效 性进行评估。 分保 等保 关保 密评 什么是“ 3 保 1 评” 网络安全领域 3 保 1 评 ◎ 02 PART.TWO 相关的法律法规依据 日 日母母 《国家保密法》 (2010 年 ) 第二十三条存储、处理国家秘密的计算机信息系统 ( 以下简称涉密信息系统 ) 按照涉密程 度实行分级保护。 《网络安全等级保护条例 ( 征求意见稿 ) 》 第四章涉密网络的安全保护 第三十五条【分级保护】涉密网络按照存储、处理、传输国家秘密的最高密级分为绝密级、 机密级和秘密级。 《关于加强信息安全保障工作中保密管理的若干意见》 ( 中保委发 [2004]7 号 ) 《涉及国家秘密的信息系统分级保护管理办法》 ( 国保发 [2005]16 号 ) 相关的法律法规依据 分保 涉密信息系统分级保护 《中华人民共和国计算机信息系统安全保护条例》 ( 国务院 147 号令， 1994 年 ) 《国家信息化领导小组关于加强信息安全保障工作的意见》 ( 中办发 [2003]27 号 ) 《关于信息安全等级保护工作的实施意见》 ( 公通字 [2004]66 号 ) 《信息安全等级保护管理办法》 ( 公通字 [2007]43 号 ) 《关于开展全国重要信息系统安全等级保护定级工作的通知》 ( 公信安 [2007]861 号 ) 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》 ( 发改高技 [2008]2071 号 ) 等级保护 2.0 元年 2019 年 5 月 13 日正式发布等级保护 2.0 版本《信息安全技术网络安全等级保护基本要求》 《网络安全法》 2016 年 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行 下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改 相关的法律法规依据 网络安全等级保护 关键信息基础设施安全 保护条例 ( 征求意见稿 ) 第六条关键信息基础设施在 网络安全等级保护制度基础 上，实行重点保护。 中华人民共和国 密码法 第二十七条法律、行政法规 和国家有关规定要求使用商 用密码进行保护的关键信息 基础设施，其运营者应当使 用商用密码进行保护，自行 或者委托商用密码检测机构 开展商用密码应用安全性评 估。商用密码应用安全性评 估应当与关键信息基础设施 安全检测评估、网络安全等 级测评制度相衔接，避免重 复评估、测评。 中华人民共和国 网络安全法 第三十一条 国家对公共通信 和信息服务、能源、交通、 水利、金融、 公共服务、电 子政务等重要行业和领域， 以及其他一旦遭到破坏、丧 失功能或者数据泄露，可能 严重危害国家安全、国计民 生、公共利益的关键信息基 础设施，在网络安全等级保 护制度的基础上，实行重点 保护。关键信息基础设施的 具体范围和安全保护办法由 国务院制定。 相关的法律法规依据 关保关键信息基础设施保护 密评 商用密码应用安全评估 《中华人民共和国密码法》 第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施， 其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全 性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评 制度相衔接，避免重复评估、测评。 第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商 用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警 告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责 的主管人员处一万元以上十万元以下罚款。 《国家政务信息化项目建设管理办法》 第二十八条第三款 对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维 护经费，项目建设单位不得新建、改建、扩建政务信息系统。 相关的法律法规依据 03 PARTTHREE 分保工作简介 日 0 0 日 □ 分保工作简介 涉密信息系统 是指由计算机及其相关和配套设备、设施构成的，按照一定的应用目标和 规 则存储、处理、传输国家秘密信息的系统或者网络。 涉密系统分级保护是指 涉密信息系统的建设和使用单位根据分级保护管理办法和有关标准，对涉 密信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的的保 护等级实施监督管理，确保系统和信息安全。 保护对象 所有涉及国家秘密的信息系统，重点是党政机关、军队和军工单位。 分保 涉密信息系统分级保护 物理安全 运行安全 信息安全保密 秘密级 强 强 强 机密级 更强 更强 更强 机密增强级 在机密级的基础上，增加要求 绝密级 最强 最强 最强 系统定级：根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级和机 密级 ( 增强 ) 、绝密级三个等级。 分保工作简介 分保工作简介 系统废止 废止涉密信息系统应向保密工作部门 备案，并按照保密规定妥善处理涉及 国家密信息的设备、产品和资料。 系统测评 系统工程实施完毕后，建设使用位 向国家保密局涉密信息系统保密测 评中心及分中心申请完成系统测评。 工程实施 组建工程监理机构，细化管理制度， 监督工程实施，或选择具有涉密资 质的工程监理单位进行监理。 方案设计 进行风险评估，设计方案，并通 过专家论证，负责系统审批的保 密工作部门应参加论证。 日常管理 日常管理包括基本管理要求，人 员管理、物理环境与设施管理、 信息保密管理等。 测评与检查 涉密信息系统投入运行 后还应定期进行安全保 密 测 评 和 检 查 。 系统审批 涉密信息系统在投入运行后前， 经保密工作部门审批。 分保工作流程 系统定级 明确系统所处理信息的最高 密级，确定系统保护等级。 08 06 04 03 01 05 07 02 分级保护技术要求 信息安全保密 口 身 份 鉴 别 口 访 问 控 制 口 信息密码措施 口电磁泄漏发射防护 口系统完整性校验 口系统安全性能监测 口 安 全 审 计 口 抗抵赖 口操作系统安全 口数据库安全 口边界安全防护 分保工作简介 产品选型与安全服务 口安全保密产品选型 口通用信息技术产品选型 口安全保密产品部署与配置 安全保密管理 口 管 理 机 构 口 管理人员 口 管理制度 口运行维护管理 运行安全 口备份与恢复 口系统安全性保护 □ 应 急 响 应 口环境安全 口 设 备 安 全 口 介 质 安 全 新建涉密网络都须经过测评 ( 国家保密局设立或者授权的保密测评机构 ) 、审批 ( 地市以上保密 局 ) 才能正式投入运行 涉密网络投入运行后，应接受保密局组织的安全保密风险评估，秘密级、机密级每两年至少一次，绝 密级每年至少一次 涉密网络中使用的信息设备，应当从国家有关主管部门发布的涉密专用信息设备名录中选择 未纳入名录的，应选择政府采购目录中的产品，确实需要选用进口产品的，应当进行安全保密检测， 安全保密产品应通过国家保密科技测评中心检测 计算机病毒防护产品应选用取得计算机信息系统安全专用产品销售许可证的可靠产品 密码产品应当选用国家密码管理局批准的产品 分保工作简介 网络安全等级保护 指国家通过制定统一的安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行 安全保护 信息安全等级保护 指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和储存、传输、处理这些信息的信息系统 分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件 分等级响应、处置。 保护对象 运营商和服务提供商：电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信 息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 重要行业：铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、 人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、 邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 重要机关：市 ( 地 ) 级以上党政机关的重要网站和办公信息系统。 等保工作简介 02 03 等保 02. 第二级 指导保护级 信息系统受到破坏后， 会对公民、法人和其他 组织的合法权益产生严 重损害，或者对社会秩 序和公共利益造成损害， 但不损害国家安全。 等保系统定级 等保工作简介 第一级 自主保护级 信息系统受到破坏后， 会对公民、法人和其 他组织的合法权益造 成损害，但不损害国 家安全、社会秩序和 公共利益。 第三级 监督保护级 信息系统受到破坏后， 会对社会秩序和公共 利益造成严重损害， 或者对国家安全造成 损害。 第四级 强制保护级 信息系统受到破坏后， 会对社会秩序和公共 利益造成特别严重损 害，或者对国家安全 造成严重损害。 第五级 专控保护级 信息系统受到破坏后， 会对国家安全造成特 别严重损害。 04. 03. 05. 定级 备案 整改 测评 复核 等保工作简介 等保工作流程 安 全 运 维 管 理 安 全 建 设 管 理 安 全 管 理 人 员 安 全 管 理 机 构 安 全 管 理 制 度 安 全 管 理 中 心 安 全 计 算 环 境 安 全 区 域 边 界 安 全 通 信 网 络 安 全 物 理 环 境 等保 2.0 基本框架 技术要求 等保工作简介 等保 2.0 充分体现了“一个中心三重防御“的思想， 一个中心指“安全管理中心” , 三重防御指“安全计算环 境、 安全区域边界、安全网络通信” , 同时等保 2.0 强化可信计算安全技术要求的使用 管理要求 安全通信网络 安全区域边界 下一代防火墙 VPN 路由器 交换机 下一代防火墙 入侵检测 / 防御 上网行为管理 安全沙箱 动态防御系统 身份认证管理 流量安全分析 WEB 应用防护 准入控制系统 建设要点 · 构建安全的网络通信架构 · 保障信息传输安全 建设要点 · 强化安全边界防护及入侵防 护 · 优化访问控制策略 安全管理中心 大数据安全 IT 运维管理 堡垒机 漏洞扫描 网站监测预警 等保安全一体机 等保建设咨询服务 建设要点 · 对安全进行统一管理与把控 · 集中分析与审计 · 定期识别漏洞与隐患 安全计算环境 入侵检测 / 防御 数据库审计 ▶ 动态防御系统 网页防篡改 漏洞风险评估 数据备份 终端安全 建设要点 · 强调系统及应用安全 · 加强身份鉴别机制与入侵防 范 等保工作简介 等保 2.0 技术保护方案规 划 等保所需产品 安全流量分析 等保一体机 垃圾邮件网关 沙箱系统 态势感知 终端准入系统 V P N 网 关 虚拟化安全系统 网 闸 动态防御系统 网站监测预警系 统 备份与恢复系统 等保所需产品 防火墙 入侵防御 日志审计 漏洞扫描 上网行为管理 WFA 应 用 防 火 墙 堡垒机 数据库审计 网站防篡改 运维管理系统 网络版杀毒软件 未知威胁防御 等保二级 可 选 可选 可 选 可选 可 选 可 选 可 选 可 选 可选 可选 可 选 可 选 等保三级 可 选 可 选 必 备 可选 可选 必 备 可 选 必备 可选 可 选 可 选 必 备 等保二级 必 备 必 备 必备 必 备 必 备 可 选 可 选 可选 可 选 可选 必备 可 选 等保三级 必 备 必 备 必 备 必 备 必 备 必 备 必 备 可选 必 备 可选 必 备 可 选 等保工作简介 序号 13 14 15 16 17 18 19 20 21 22 23 24 序号 1 2 3 4 5 6 7 8 9 10 11 12 等保 2.0 网络安全设备配置建 议 安全管理人员 考核录用人员专业 技能，签署保密协 议。 离岗人员及时回收 权限、证照等 加强安全意识和安 全技能教育培训 定期进行安全技术 考核 安全建设管理 等保定级和备案 安全方案设计 安全产品采购和使 用 自主和外包软件开 发管理 安全保护工程实施 管理 安全防护测试验收 系统验收交付 定期等保测评 监督、评审和审核 安全服务提供商 安全管理机构 设立相应领导、管 理、审计、运维机 构和岗位 配备系统管理、审 计管理和安全管理 员 明确授权和审批事 项和制度 加强内部和外部安 全专家沟通协作 定期审核和检查安 全策略和安全管理 制度 安全管理制度 制定安全策略 建立安全管理制度 专人负责制定和发 布管理 定期评审和修订管 理制度 安全运维管理 运行环境管理 被保护资产管理 信息存储介质管理 设备维护管理 漏洞和风险管理 网络和系统安全管 理 恶意代码防范管理 系统、变更配置和 密码管理 备份与恢复管理 安全事件和应急预 案管理 外包运维管理 等保工作简介 等保 2.0 安全管理规 划 关键信息基础设施 是指面向公众提供的网络信息服务或支撑能源、交通、水利、金融、公共服务、电子政务公用事业 等重要行业和领域以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国 计 民生、公共利益的关键信息基础设施。 保护对象 电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技等 行业和领域中一旦遭到破坏或者丧失功能，会严重危害国家安全、经济安全、社会稳定、公众健 康和安全的业务。 公众服务：如党政机关网站、企事业单位网站、新闻网站等； 民生服务：包括金融、电子政务、公共服务等； 基础生产：能源、水利、交通、数据中心、电视广播等。 关键信息基础设施保护 针对面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重 要行业运行的信 息系统、工业控制系统等关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护 关保工作简介 关保 关键信息基础设施安全 防护能力等级 等级特征 能力等级 1 能识别相关风险，防护措施成体系，能够开展检测评估活动，具备监测预警 能力；能够按规定接受和报送相关信息；在突发事件发生后能应对并按计 划 恢 复 。 能力等级 2 能清晰识别相关风险，防护措施有效，能够检测评估出主要安全风险，主 动 监测预警和态势感知，事件响应较为及时，业务能够及时恢复。 能力等级 3 识别认定完整清晰，防护措施体系化、自动化高，能够及时检测评估出主 要 安全风险，使用自动化工具进行监测预警和态势感知，信息共享和协同 程度 高，事件响应及时有效，业务可近实时恢复。 关键信息基础设施安全防护能力 依据 5 个能力域完成程度的高低进行分级评估，包括 3 个能力等级，从能力等级 1 到能力等级 3, 逐 级增 高，能力等级之间为递进关系，高一级的能力要求包括所有低等级能力要求。 关键信息基础设施安全防护所需具备的能力 关保工作简介 包括识别认定、安全防护、检测评估、监测预警、事件处置 5 个方面的关键能力，每个安全能力包含 若 干能力指标，每个能力指标包含若干评价内容。 能力域级别评价 等级保护测评 密码测评 关键信息基础设施安全防护能力评价前 关键信息基础设施应首先通过相应等级的等级保护测评和相关密码测评。 关键信息基础设施安全防护能力评价时 组织应按照评价内容和评价操作方法开展评价工作，给出对每项评价指标的判定结果和所处级别，得出 每个能力域级别，综合 5 个能力域级别以及等级保护测评结果得出关键信息基础设施安全防护能力级别 关键信息基础设施安全防护能力评价完成 对应能力等级 1 的关键信息基础设施等级保护测评结果应至少为中；对应能力等级 2 的关键信息基础 设施 等级保护测评结果应至少为良；对应能力等级 3 的关键信息基础设施等级保护测评结果应为优。 关保工作简介 0 1 02 关键信息基础设施安全防 护能力评价内容 “ 关保”流程主要包括 · 识别认定、安全防护、检测评估、监测预警、事件处置五个环节。 “ 关保”的“安全防护”环节要求 · 关键信息基础设施的运营者开展等保定级备案、安全建设、整改、 测评及自查工作 “ 关保”基于等保的基础 · 加强关键信息基础设施关键业务的安全保护， “ 关保”的实施流程 · 包含“等保”的同时增加更多动态风控的内容，比“等保”更加严 格且 全面。 关保工作简介 识别认定 安全防护 事件处置 检测评估 监测预警 02 安全防护 ● 运营者根据已识别的安全风险，在规划、人员、 数据、供应链等方面制定和实施适当的安全防 护 措施，确保关键信息基础设施的运行安全。 本环 节在认定关键信息基础设施及识别其安全 风险的 基础上制定安全防护措施。 03 检测评估 · 为检验安全防护措施的有效性，发现网络安全风险 隐患，运营者制定相应的检测评估制度，确定检测评 估的流程及内容等要素，并分析潜在安全风险可能引 起的安全事件。 01 识别认定 · 运营者配合安全保护工作部门，开展关键信息基础设 施识别和认定活动，围绕关