搜索
搜索

關于

/
/
/
庖丁解牛-基于等保條例的等分保簡單對比分析 ——《等保條例》發布一周年紀
全部分類

庖丁解牛-基于等保條例的等分保簡單對比分析 ——《等保條例》發布一周年紀

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2019-09-06 09:49
  • 訪問量:

【概要描述】庖丁解牛-基于等保條例的等分保簡單對比分析 ——《等保條例》發布一周年紀

庖丁解牛-基于等保條例的等分保簡單對比分析 ——《等保條例》發布一周年紀

【概要描述】庖丁解牛-基于等保條例的等分保簡單對比分析 ——《等保條例》發布一周年紀

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2019-09-06 09:49
  • 訪問量:
詳情

政策背景

 

2017年6月1日,《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)正式施行?!毒W絡安全法》中明確規定,我國實行網絡安全等級保護制度,網絡安全等級保護制度自此成為我國網絡安全工作的基本制度和基本方法。

 

2018年6月27日,公安部發布了《網絡安全等級保護條例(征求意見稿)》(以下簡稱《等保條例》)?!兜缺l例》由公安部會同中央網信辦、國家保密局和國家密碼管理局,依據《網絡安全法》、《中華人民共和國保守國家秘密法》(以下簡稱《保密法》)等法律聯合起草。作為《網絡安全法》的重要配套行政法規,《等保條例》對網絡安全等級保護的適用范圍、各監管部門的職責、網絡運營者的安全保護義務以及網絡安全等級保護建設提出了更加具體、操作性也更強的要求,為開展等級保護工作提供了重要的法律支撐。

 

按照工作慣例和職責,《等保條例》第四章“涉密網絡的安全保護”由國家保密局負責起草,第五章“密碼管理”由國家密碼管理局負責起草,其余內容由公安部起草。

 

等級保護和分級保護

 

網絡安全等級保護和涉密網絡分級保護是兩個既有聯系,又有區別的概念。涉密網絡分級保護是國家網絡安全等級保護制度的重要組成部分,是網絡安全等級保護工作在涉密領域的具體體現。

 

《等保條例》第一章中規定公安部主管網絡安全等級保護工作,負責網絡安全等級保護工作的監督管理,依法組織開展網絡安全保衛;國家保密局主管涉密網絡分級保護工作,負責網絡安全等級保護工作中有關保密工作的監督管理。

 

《等保條例》第三章中規定了網絡安全等級保護制度的基本框架、內容、要求和相關主體的責任義務;第四章中提出了涉密網絡安全保密總體要求和分級保護管理要求,明確了涉密網絡全過程管理。

 

等級保護、分級保護作為我國網絡安全領域的兩大合規性體系,在多個層面均存在顯著差異。由于分級保護有關標準政策涉密,本文希望以《等保條例》,尤其以第三、四章為基礎,以其他公開資料如《網絡安全法》、《保密法》等為輔,對等分保的一些差異進行對比分析。

 

管理過程對比

 

1. 網絡等級

 

等保(第15條):根據重要程度及遭到破壞后的危害程度等因素,網絡分為五個安全保護等級,具體如下表所示??梢钥吹?,涉及公民、法人和其他組織合法權益的最高到第三級,涉及社會公共利益的最高到第四級,而涉及國家安全的第三級起步。

 

 

分保(第35條):涉密網絡按照存儲、處理、傳輸國家秘密的最高密級,由低到高,分為秘密級、機密級和絕密級。依照《保密法》中國家秘密的定義:“是關系國家安全和利益,依照法定程序確定,在一定時間內只限一定范圍的人員知悉的事項”,涉密信息不僅關系國家安全,而且涉及國家利益,其重要程度不言而喻。所以,秘密級、機密級和絕密級網絡的保護水平總體上不低于等保第三級、第四級和第五級的水平。

 

2. 定級備案

 

等保(第16、17、18、19條):應在規劃設計階段確定網絡的安全保護等級,針對擬定第二級以上的網絡,一般的定級備案流程為:確定定級對象->初步確認定級對象等級->專家評審->行業主管部門核準->公安機關備案審核。

 

分保(第36條):確定網絡密級->本單位保密委員會/保密工作領導小組審定->同級保密局備案。相對來說,涉密網絡的定級備案流程比較簡單,最重要的環節在于確定國家秘密和網絡的密級,應“依照法定程序確定”,可參見《保密法》相關內容。

 

3. 安全建設

 

等保(第20、21條):網絡運營者應當依法履行11項一般安全保護義務,包括建立并落實責任制度,安全管理和技術保護制度,制定操作規范和工作流程,落實網絡安全、數據安全、個人信息保護等相關的技術和措施。第三級以上網絡的運營者,還應當履行其他8項特殊安全保護義務,如強化網絡安全管理機構的職責,網絡安全管理負責人和關鍵崗位的人員安全背景審查,采取網絡安全態勢感知和監測預警措施進行動態監測分析,定期開展等級測評等網絡安全保護義務,突出強化了國家對關鍵信息基礎設施和其他重要網絡的保護和管理。

 

分保(第37、38、41條):依據分級保護相關標準,如技術要求、管理規范和方案設計指南等,制定分級保護方案并審查論證;選擇具有相應涉密信息系統集成資質的單位;依據國家保密規定和標準要求,制定安全保密管理制度,組建相應管理機構,設置安全保密管理人員,落實安全保密責任;采取身份鑒別、訪問控制、安全審計、邊界安全防護、信息流轉管控、電磁泄漏發射防護、病毒防護、密碼保護和保密監管等技術與管理措施。

 

4. 上線檢測/測評審查

 

等保(第22條):新建的第二級網絡上線前應按照網絡安全等級保護有關標準規范進行安全檢測;第三級以上網絡應進行等級測評,測評通過后方可投入運行。

 

分保(第40條):新建涉密網絡都須經過測評(國家保密局設立或者授權的保密測評機構)、審批(地市以上保密局)才能正式投入運行。

 

5. 等級測評/風險評估

 

等保(第23條):第三級以上網絡應每年開展一次網絡安全等級測評。

 

分保(第40條):涉密網絡投入運行后,應接受保密局組織的安全保密風險評估,秘密級、機密級每兩年至少一次,絕密級每年至少一次。

 

6. 自查工作/保密檢查和風險自評估

 

等保(第25條):所有網絡每年至少開展一次自查,發現安全風險隱患及時整改,并向備案的公安機關報告。

 

分保(第40條):應定期開展安全保密檢查(保密檢查計劃)和風險自評估(一年至少一次)。

 

7. 網絡廢止

 

分保(第44條):涉密網絡如不再使用,應及時向保密局報告,并按照國家保密規定和標準對涉密信息設備、產品、涉密載體等進行處理。

 

其他要求對比

 

1、產品服務采購使用的安全要求/信息設備、安全保密產品管理

 

等保(第28條):第三級以上網絡運營者應當采用與其安全保護等級相適應的網絡產品和服務;對重要部位使用的網絡產品,應當委托專業測評機構進行專項測試,根據測試結果選擇符合要求的網絡產品;采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。

 

分保(第39條):涉密網絡中使用的信息設備,應當從國家有關主管部門發布的涉密專用信息設備名錄中選擇;未納入名錄的,應選擇政府采購目錄中的產品。確需選用進口產品的,應當進行安全保密檢測。

 

安全保密產品應通過國家保密科技測評中心檢測。計算機病毒防護產品應選用取得計算機信息系統安全專用產品銷售許可證的可靠產品,密碼產品應當選用國家密碼管理局批準的產品。

 

2、監測預警和信息通報/涉密網絡預警通報要求

 

等保(第30條):第三級以上網絡運營者應建立健全網絡安全監測預警和信息通報制度,按照規定向同級公安機關行業主管部門(如有)報送網絡安全監測預警信息,報告網絡安全事件。

 

分保(第42條):涉密網絡運營者應建立健全本單位涉密網絡安全保密監測預警和信息通報制度,發現安全風險隱患的,應及時采取應急處置措施,并向保密局報告。

 

3、網絡重大變化的處置

 

等保(第16條):當網絡功能、服務范圍、服務對象和處理的數據等發生重大變化時,應依法變更網絡的安全保護等級。

 

分保(第43條):涉密網絡發生重大變化時,應按照國家保密規定及時向保密局報告并采取相應措施,保密局應當及時作出是否對涉密網絡重新進行檢測評估和審查的決定。

 

4、關于密碼管理

 

國家密碼管理局負責網絡安全等級保護工作中有關密碼管理工作的監督管理。

 

等保(第47條):對非密網絡,第三級以上網絡運營者應在網絡規劃、建設和運行階段委托專業測評機構開展密碼應用安全性評估。

 

分保(第46條):對涉密網絡,明確密碼檢測、裝備、采購、使用以及系統設計、運行維護和日常管理等要求。

 

5、關于測評機構(第53條)

 

等保:非密網絡安全等級測評機構具體管理辦法由公安部制定。

 

分保:保密科技測評機構管理辦法由國家保密局制定。由于保密科技測評的業務敏感性,此項職能并未對社會資本開放。

 

6、關于特殊行業網絡(第40條)

 

公安機關、國家安全機關的涉密網絡應按照分級保護相關標準進行保護,但有其特殊性。“軍事網絡的安全保護,由中央軍事委員另行規定”(《網絡安全法》)。

 

7、關于非密網絡的保密工作(第57條)

 

國家保密局負責對涉密網絡的安全保護工作進行監督管理,并且負責對非密網絡的失泄密行為的監管。

 

小結

 

等級保護、分級保護都是系統級的網絡安全規范體系,十余年來,在全國范圍的合規性網絡安全保護項目建設中均有非常廣泛的應用,其各個環節均有多個政策、文件、標準、規范的支撐和約束。限于篇幅,本文未將其中差異點逐一列舉,僅做了部分宏觀上的對比,拋磚引玉,希望引發從業者和關注者的進一步思考。

 

公安部關于《網絡安全等級保護條例(征求意見稿)》公開征求意見的公告鏈接:http://www.mps.gov.cn/n2254536/n4904355/c6159136/content.html

掃二維碼用手機看

這是描述信息

服務熱線:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀區東北旺西路8號中關村軟件園21號

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版權所有:北京網御星云信息技術有限公司    京ICP備05080314號     

這是描述信息
永盛游戏官网