【原】等級保護、等級保護測評、分級保護測評、密碼保護測評之間的區別與聯系

祺印說信安 2021-07-20

展開全文

其實，我們很多從事信息安全行業的人，交流時常常會提及“等保”“分保”“密評”這些概念，那么他們之間的聯系與區別往往不是說的太清楚，大部分都在說他們之間的不同，而聯系這塊在很多公眾號中是未提及的。甚至對“等保”“分保”“測評”“密評”這些詞匯認知也是模棱兩可的。看到我這個標題的朋友，自然會發現無論是“等級保護”“分級保護”“密碼保護”后面我都加了“測評”倆字。因為我個人認為這是較為嚴謹的描述，當然我接下來也會“引經據典”說明之。

首先，我根據《信息安全等級保護管理辦法》即常說的43號文整理了一張圖，供大家參考！

我相信，明眼人也看出來了。所謂“等級保護測評”“分級保護測評”“密碼保護測評”是等級保護制度下三個方向，統歸在等級保護制度之下。換言之，我們口中常“等級保護測評”說成是“等保”，而不是“等級保護”的簡稱，同樣在國家層面“等保”是等級保護體系，而不是等級保護測評，落實網絡安全等級保護制度，自然是要求開展體系性的網絡安全保障工作。等級保護涵蓋公安、保密、密碼三個管理部門監管的三個方向，《網絡安全法》第二十一條國家實行網絡安全等級保護制度。就是常說的“等保”“分保”“密評”共同組成《網絡安全法》中要求的“網絡安全等級保護制度”，所以網絡運營者要履行非涉密信息系統的等級保護測評、密碼保護測評以及涉密系統的分級保護測評，這樣才是真正履行網絡安全等級保護制度。所以，做等級保護測評的千萬不能曲解法律法規，不然在協助客戶工作中，有可能把客戶帶入違法軌道。另外，在《網絡安全等級保護條例》（征求意見稿）中，第七十二條這樣描述“【軍隊】軍隊的網絡安全等級保護工作，按照軍隊的有關法規執行”，《網絡安全法》作為網絡安全領域的基本法律，是國家意志全民意志，所以“等級保護制度”自然也涵蓋“軍隊”的網絡安全工作，所以也很好理解第二十七條的描述軍隊的網絡安全等級保護工作，進而可以理解在中國境內，所有的網絡安全工作的開展都是在落實《網絡安全法》中那句“國家實行網絡安全等級保護制度”。

我們借助《信息安全等級保護管理辦法》43號文談一下“分級保護測評”，在《信息安全等級保護管理辦法》的第四章明確了涉密信息系統的分級保護管理等內容，其中第二十四條這樣描述“涉密信息系統應當依據國家信息安全等級保護的基本要求，按照國家保密工作部門有關涉密信息系統分級保護的管理規定和技術標準，結合系統實際情況進行保護。非涉密信息系統不得處理國家秘密信息等。”

在第二十五條，涉密信息系統按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級。涉密信息系統建設使用單位應當在信息規范定密的基礎上，依據涉密信息系統分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統分級保護技術要求》確定系統等級。對于包含多個安全域的涉密信息系統，各安全域可以分別確定保護等級。保密工作部門和機構應當監督指導涉密信息系統建設使用單位準確、合理地進行系統定級。

在第二十七條涉密信息系統建設使用單位應當選擇具有涉密集成資質的單位承擔或者參與涉密信息系統的設計與實施。涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理規范和技術標準，按照秘密、機密、絕密三級的不同要求，結合系統實際進行方案設計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。

由以上三條結合43號第三條中描述“國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導”，我們看到“分保”是等級保護工作中“有關保密工作”，同屬于等級保護制度大體系范圍內。另外，“分保”有自己一套法規和規范，但統屬在等級保護之內，而且從第二十七條也可以看到分級保護的信息系統“不低于國家信息安全等級保護第三級、第四級、第五級的水平”，這也是彼此之間的聯系。

我們借助《信息安全等級保護管理辦法》43號文再淺層次的探討一下“密碼保護測評”，在《信息安全等級保護管理辦法》的第五章明確了信息安全等級保護的密碼管理等內容，其中第三十四條這樣描述“國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據被保護對象在國家安全、社會穩定、經濟建設中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞后的危害程度以及密碼使用部門的性質等，確定密碼的等級保護準則。”“信息系統運營、使用單位采用密碼進行等級保護的，應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規定和相關標準。”

第三十九條描述為“各級密碼管理部門可以定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監督檢查過程中，發現存在安全隱患或者違反密碼管理相關規定或者未達到密碼相關標準要求的，應當按照國家密碼管理的相關規定進行處置。”

而在《密碼法》的第二十七條描述為“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接，避免重復評估、測評。”“關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務，可能影響國家安全的，應當按照《中華人民共和國網絡安全法》的規定，通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。”

這樣，等級保護測評與密碼測評則通過43號文與《密碼法》共同指向《網絡安全法》有關落實等級保護制度的要求。

我們再看《網絡安全等級保護條例》，其關于“網絡安全等級保護”的條例，在第三章網絡的安全保護、第三章涉密網絡的安全保護、第五章密碼管理三個章分別從三個方向描述網絡安全等級保護，在這個過程中其實我們常說的網絡的安全保護是默認隱藏了“非涉密”三個字的。所以在公安監督管理的這條線上，應該是非涉密網絡的安全保護，結合涉密網絡的安全保護、密碼管理共同組成我國的網絡安全等級保護制度。既然網絡安全等級保護制度是國家的基本制度，則在大制度層次下其實就沒有涉密不涉密的，只有下沉到具體監管部門這個分辨就明顯了，所以在談論這些知識點時前提需要明層次。

基本概念回顧：

網絡安全等級保護：（簡稱“等保”）

網絡安全等級保護是指對網絡(含信息系統、數據，下同)實施分等級保護、分等級監管，對網絡中使用的網絡安全產品實行按等級管理，對網絡中發生的安全事件分等級響應、處置。

網絡安全等級保護測評：（簡稱“等級測評”）是測評機構依據國家信息安全等級保護制度規定，按照有關管理規范和技術標準，對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動，是信息系統安全等級保護工作的重要環節。

商用密碼應用安全評估：（簡稱“密評”）是指對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合規性、正確性、有效性進行評估。

本文主要依據《信息安全等級保護管理辦法》《中華人民共和國網絡安全法》《中華人民共和國密碼法》、《網絡安全等級保護條例》（征求意見稿）等文件整理而成，“網絡安全等級保護”“等級保護測評”“分級保護測評”“密碼保護測評”等進行了一個簡單的聯系與區分，有關技術細節在本文中不做展開體現，因為網絡安全等級保護是個大體系、大政策，非一兩篇文字可盡道來的。

參考文獻：

《信息安全等級保護管理辦法》

《中華人民共和國網絡安全法》

《中華人民共和國密碼法》

《網絡安全等級保護條例》（征求意見稿）

1	信息技術服務：監理之基礎設施工程監理規范思維導圖
2	工業控制系統安全：信息安全防護指南
3	金融數據安全：數據生命周期安全規范思維導圖
4	網絡安全等級保護：法律要求應急響應與保障必不可少
5	工業控制系統安全：工控系統信息安全分級規范思維導圖