密評與等保測評的區別與聯系


一、密評與等保測評的定義
密評是指在采用商用密碼技術、產品和服務集成建設的網絡安全信息系統中,對其密碼應用的合規性、正確性、有效性等進行評估。
等保測評是指對信息和信息載體按照重要性等級分級別進行檢測、評估、監督和指導的過程。
二、密評與等保測評的區別
1.評估側重點與目標
密評通過對目標系統技術和管理兩方面測評。發現在實際應用中,棄用、亂用、誤用密碼技術導致存在的安全問題。使密碼技術得到合規、正確、有效應用,發揮安全支撐能力,解決應用系統的安全問題。
等保測評通過對目標系統在安全技術及安全管理兩方面的測評,對目標系統的安全技術狀態及安全管理狀況做出初步判斷,找出目標系統與相應安全等級要求之間的差距,并結合系統特性進行整體測評和風險分析,最終給出被測系統在安全保護能力方面的評價,并作為進一步完善網絡安全防護體系及系統安全策略的依據。
2.評估內容不同
密評的內容包括技術要求:物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全;管理要求:管理制度、人員管理、建設運行、應急處置。
等保測評的內容則涵蓋了安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理共十個層面。
3.評估流程不同
密評流程包括編制密碼應用方案(改造方案)、方案評估、建設整改、系統評估、備案等。
等保測評流程包括對信息系統進行定級、備案、建設整改、檢測評估、監督檢查等。
三、密評和等保測評的流程
密評流程
密碼應用與安全性評估貫穿于應用系統的規劃、建設和運行階段。
1.規劃階段:責任單位編制密碼應用方案;委托密評機構開展方案評估;將評估通過的密碼應用方案和密評機構出具的《密碼應用方案評估報告》報送至密碼管理部門。
2.建設階段:責任單位按照通過評估的《密碼應用方案》進行相應建設,委托密評機構開展系統評估。責任單位將通過評估的《密碼應用安全性評估報告》報送至密碼管理部門。
3.運行階段:包括定期開展密評,系統發生密碼重大安全事件、重大調整或者特殊情況及時組織評估。
等保測評流程
等保測評的五個主要流程包括:
1.定級:確定信息系統的保護等級,是整個等保工作的起點。信息系統安全等級由系統運用、使用單位依據《GBT 22240-2020 信息安全技術 網絡安全等級保護定級指南》自主確定,由主管部門的需經主管部門審批。對于擬確定為二級及以上信息系統,還應經專家評審會評審。
2.備案:運營、使用單位在確定等級后到所在地的市級及以上公安機關備案。新建二級及以上信息系統在投入運營后30日內、已運行的二級及以上信息系統在等級確定30日內備案。公安機關對信息系統備案情況進行審核,對符合要求的頒發等級保護備案證明。
3.建設整改:運營使用單位按照管理規范和技術標準,選擇管理辦法要求的信息安全產品,建設符合等級要求的信息安全設施,建立安全組織,制定并落實安全管理制度。對于未達到安全等級保護要求的,運營、使用單位應當進行整改,整改完成應當將整改報告報公安機關備案。
4.等級測評:運營、使用單位或者主管部門應當選擇合規測評機構,定期對信息系統安全等級狀況開展等級測評。三級及以上信息系統至少每年進行一次等級測評,四級及以上信息系統至少每半年進行一次等級測評,五級應當依據特殊安全需求進行等級測評。測評機構應當出具測評報告,并出具測評結果通知書,明示信息系統安全等級及測評結果。
5.監督檢查:公安機關依據信息安全等級保護管理規范,監督檢查運營使用單位開展等級保護工作,定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導,如實向公安機關提供有關材料。受理備案的公安機關會對三級、四級信息系統進行檢查,檢查頻次同測評頻次。五級信息系統接受國家制定的專門部門檢查。
四、做等保測評和密評的必要性
等保測評的必要性
1.相關責任主體的法定責任:根據《中華人民共和國網絡安全法》第十條:建設、運營網絡或者通過網絡提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性、保密性和可用性。
第二十一條:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。
2.發現風險和漏洞:通過等保測評,企業可以全面評估其信息系統的安全狀況,發現潛在的安全隱患和漏洞,從而為企業制定針對性的安全防護策略提供重要依據。
3.合規遵法:等保測評是國家信息安全保障的基本制度、基本策略和基本方法,旨在確保信息系統的安全防護水平與其承載的信息的重要性和敏感性相匹配。通過等保測評,企業可以滿足法律法規要求,避免法律風險。
4.提升安全意識和素質:等保測評不僅幫助企業發現和整改安全隱患,還能提升企業的安全意識和安全素質,塑造良好的安全文化。
密評的必要性
1.相關責任主體的法定責任:根據《中華人民共和國密碼法》第二十七條:法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重復評估、測評。
2.確保密碼應用安全:密評的目的是確保關鍵信息基礎設施在使用商用密碼進行保護時,能夠達到合規、正確和有效的要求,從而切實保障國家網絡和信息安全。
3.規范密碼使用和管理:通過密評可以及時發現在密碼應用過程中存在的問題,為網絡和信息安全提供科學的評價方法,逐步規范密碼的使用和管理,從根本上改變密碼應用不廣泛、不規范、不安全的現狀。
五、不做等保測評和密評的后果
1.法律責任
《中華人民共和國網絡安全法》第五十九條:網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
《中華人民共和國密碼法》第三十七條:關鍵信息基礎設施的運營者違反本法第二十七條第一款規定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
《國家政務信息化項目建設管理辦法》第二十八條第三款:對于不符合密碼應用和網絡安全要求,或者存在重大安全隱患的政務信息系統,不安排運行維護經費,項目建設單位不得新建、改建、擴建政務信息系統。
2.安全風險增加
不進行測評可能導致網絡系統存在未知的安全隱患,增加遭受網絡攻擊、數據泄露等安全事件的風險。這些安全事件不僅會給企業帶來直接的經濟損失,還可能導致企業失去客戶、泄露商業機密,甚至引發法律糾紛,使企業陷入困境。
3.業務影響
一旦發生安全事件,可能會導致業務中斷、數據丟失或損壞,對企業的正常運營造成嚴重影響。在某些行業,如金融、醫療等,相關監管部門要求企業必須達到一定的信息安全等級標準才能開展業務。如果企業未能通過測評,可能無法獲得業務許可或續期,從而錯失商業機會,阻礙企業的擴張和發展。
4.合規審計問題
在進行合規審計或安全評估時,缺乏測評記錄可能會被視為不符合規范,影響企業的合規性評價。