安全公告

      等保測(cè)評(píng)密評(píng)對(duì)照:一文看懂兩者差異

      2024-05-15 0

          關(guān)于“等保”與“密評(píng)”在法律、標(biāo)準(zhǔn)、流程以及測(cè)評(píng)實(shí)施等方面的具體差異與內(nèi)在聯(lián)系,一直是客戶領(lǐng)導(dǎo)關(guān)注的焦點(diǎn)。他們希望了解這兩項(xiàng)制度在維護(hù)網(wǎng)絡(luò)安全方面各自的作用與互補(bǔ)性,以確保信息系統(tǒng)的政策合規(guī)性,并在網(wǎng)絡(luò)安全上得到全面、高效的保障。

      “等保”即網(wǎng)絡(luò)安全等級(jí)保護(hù),旨在通過不同安全等級(jí)的管理和技術(shù)措施,確保信息系統(tǒng)的安全穩(wěn)定運(yùn)行。我國于2017年頒布的《網(wǎng)絡(luò)安全法》中第二十一條規(guī)定“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”。法律要求網(wǎng)絡(luò)運(yùn)營者需按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求,履行制定安全管理制度、采取防范技術(shù)措施、監(jiān)測(cè)記錄網(wǎng)絡(luò)狀態(tài)、保護(hù)數(shù)據(jù)安全等多項(xiàng)義務(wù),確保網(wǎng)絡(luò)安全穩(wěn)定。

      現(xiàn)行的網(wǎng)絡(luò)安全等級(jí)保護(hù)要求簡(jiǎn)稱為“等保2.0",相較于等保1.0主要體現(xiàn)在技術(shù)防護(hù)體系的擴(kuò)展和安全管理要求的強(qiáng)化,以及對(duì)新技術(shù)應(yīng)用安全的覆蓋,更加全面和深入地保障了網(wǎng)絡(luò)安全。

      ”密評(píng)“即商用密碼應(yīng)用安全性評(píng)估,是對(duì)網(wǎng)絡(luò)信息系統(tǒng)中所使用的商用密碼產(chǎn)品和應(yīng)用進(jìn)行的安全性評(píng)估。《密碼法》于2020年開始實(shí)施,其中第二十七條要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者需依法使用商用密碼進(jìn)行保護(hù),并自行或委托專業(yè)機(jī)構(gòu)開展安全性評(píng)估,確保與其他安全檢測(cè)評(píng)估制度相銜接,避免重復(fù)工作。

      ”等保“和”密評(píng)“共同構(gòu)成了我國網(wǎng)絡(luò)安全防御體系的重要組成部分,兩者相互補(bǔ)充,強(qiáng)化了網(wǎng)絡(luò)空間的整體防御能力,有力地支撐了國家信息化建設(shè)的安全穩(wěn)定”等保“側(cè)重于對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行整體的安全管理與技術(shù)防護(hù),以確保網(wǎng)絡(luò)信息系統(tǒng)在物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等方面達(dá)到相應(yīng)的標(biāo)準(zhǔn)和要求。

      ”密評(píng)“則聚焦于使用了商用密碼的產(chǎn)品、系統(tǒng)和服務(wù),對(duì)其密碼算法選擇、密碼協(xié)議設(shè)計(jì)、密鑰管理以及密碼模塊的安全性等方面進(jìn)行全面而深入的合規(guī)性、正確性和有效性評(píng)估。

      以下內(nèi)容將從國家相應(yīng)的法律法規(guī)、測(cè)評(píng)標(biāo)準(zhǔn)、測(cè)評(píng)流程以及測(cè)評(píng)實(shí)施等方面對(duì)”等保“和”密評(píng)“的具體差異與內(nèi)在聯(lián)系進(jìn)行簡(jiǎn)單的探討。 

      01.國家法律法規(guī)角度對(duì)比

      《網(wǎng)絡(luò)安全法》下的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)全面關(guān)注國家、公共、關(guān)鍵信息基礎(chǔ)設(shè)施及個(gè)人信息安全,涵蓋物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)安全等多個(gè)維度。該測(cè)評(píng)重點(diǎn)關(guān)注網(wǎng)絡(luò)與信息安全、系統(tǒng)管理、數(shù)據(jù)安全、訪問控制、惡意代碼防范及網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)等方面,通過設(shè)定不同等級(jí)的安全保護(hù)要求,旨在確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)和數(shù)據(jù)的安全,有效預(yù)防網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露。

      相對(duì)而言,《密碼法》下的商用密碼應(yīng)用安全性評(píng)估則聚焦于規(guī)范商用密碼的應(yīng)用和管理,深入評(píng)估密碼算法、協(xié)議、應(yīng)用設(shè)計(jì)、密鑰管理、密碼設(shè)備及模塊的安全性與合規(guī)性。其主要目的是保護(hù)使用密碼技術(shù)進(jìn)行數(shù)據(jù)加密、身份認(rèn)證、通信安全等涉及國家安全、商業(yè)秘密和個(gè)人隱私的信息系統(tǒng)。通過專業(yè)的密碼學(xué)方法和工具,確保關(guān)鍵領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的密碼應(yīng)用安全無虞。

      兩者在目的、保護(hù)對(duì)象和關(guān)注重點(diǎn)上雖各有側(cè)重,但均是我國網(wǎng)絡(luò)安全和密碼應(yīng)用安全法律保障體系的重要組成部分,共同維護(hù)著國家網(wǎng)絡(luò)安全和信息安全的大局。

      1 

      02.標(biāo)準(zhǔn)層面的對(duì)比

      我國為了規(guī)范和指導(dǎo)等級(jí)保護(hù)(等保)和商用密碼應(yīng)用安全評(píng)估(密評(píng))的相關(guān)工作,近年來陸續(xù)制定和頒布了一系列相關(guān)的國家標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)旨在規(guī)范等級(jí)保護(hù)(等保)和商用密碼應(yīng)用安全評(píng)估(密評(píng))的各個(gè)環(huán)節(jié)。這些標(biāo)準(zhǔn)涵蓋了“基本要求、實(shí)施(設(shè)計(jì))指南以及測(cè)評(píng)要求”等關(guān)鍵內(nèi)容,確保各類組織機(jī)構(gòu)能夠按照統(tǒng)一且嚴(yán)格的標(biāo)準(zhǔn)構(gòu)建和維護(hù)安全的信息系統(tǒng)環(huán)境。

      2

      基本要求

      § 

      3


      實(shí)施/設(shè)計(jì)指南

      § 

       

      4


      測(cè)評(píng)要求

      § 

       

      5


      03.測(cè)評(píng)流程的比較

      等保測(cè)評(píng)和商用密碼應(yīng)用安全評(píng)估在流程上有一定的相似性,但側(cè)重點(diǎn)不同。等保測(cè)評(píng)更側(cè)重于信息系統(tǒng)的整體安全性能評(píng)估,而商用密碼應(yīng)用安全評(píng)估則專注于商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性和有效性的評(píng)估。

      6

       

      04.”等保“和”密評(píng)“同步實(shí)施

      “雙評(píng)合規(guī)”這一概念,即同步進(jìn)行“等保測(cè)評(píng)”與“密評(píng)”(商用密碼應(yīng)用安全評(píng)估),亦稱作“一次入場(chǎng),同步雙審”。這一舉措旨在同一時(shí)間段內(nèi)高效整合并實(shí)施等保測(cè)評(píng)和商用密碼應(yīng)用安全評(píng)估兩項(xiàng)安全合規(guī)工作。

      “等保測(cè)評(píng)”與“密評(píng)”存在諸多方面的共性,通過恰當(dāng)?shù)姆椒▋?yōu)化整合測(cè)評(píng)指標(biāo)與流程,完全有可能實(shí)現(xiàn)兩項(xiàng)測(cè)評(píng)的同時(shí)進(jìn)行,既節(jié)約了時(shí)間和成本,又確保了評(píng)估的協(xié)調(diào)性和準(zhǔn)確性。

      7

      "雙評(píng)"工作流程,即等級(jí)保護(hù)測(cè)評(píng)和商用密碼應(yīng)用安全評(píng)估的同步實(shí)施,涵蓋了準(zhǔn)備階段、方案編制階段、現(xiàn)場(chǎng)測(cè)評(píng)階段以及分析報(bào)告階段。各階段的具體工作內(nèi)容如下:

      1719456660905

      通過合理的規(guī)劃與實(shí)施,可以實(shí)現(xiàn)“一次入場(chǎng),同步雙評(píng)”的目標(biāo),“同步雙評(píng)”機(jī)制的優(yōu)勢(shì)在于顯著提升了企業(yè)評(píng)估效率,確保企業(yè)能夠在接受整體網(wǎng)絡(luò)安全考核時(shí),無需分階段或重復(fù)投入資源通過合并評(píng)估流程大幅度降低了時(shí)間和經(jīng)濟(jì)成本,同時(shí)也強(qiáng)化了等保與密評(píng)之間的保障網(wǎng)絡(luò)安全協(xié)同性和評(píng)估結(jié)果的一致性。

      來源 | 軍哥系統(tǒng)集成號(hào)

      掃一掃,關(guān)注維平公眾號(hào)

      電話:0531-88689637

      地址:濟(jì)南市高新區(qū)舜華路879號(hào)山東省大數(shù)據(jù)產(chǎn)業(yè)基地D棟504