近年來(lái)，我國(guó)通過(guò)立法手段頒布了多項(xiàng)網(wǎng)絡(luò)安全領(lǐng)域的重要法律法規(guī),。有力的推動(dòng)我國(guó)的網(wǎng)信事業(yè)快速發(fā)展,，并取得歷史性成就。網(wǎng)絡(luò)安全行業(yè)處處在講“三保一評(píng)”,，很多人都聽(tīng)過(guò)這個(gè)熱門詞匯,，但對(duì)于其具體概念卻是模糊的?！叭Ｒ辉u(píng)”在多數(shù)人心中,，是那位“最熟悉的陌生人”。我們希望能通過(guò)閱讀此篇文章,，為大家做好基礎(chǔ)科普,，理清底層邏輯。

什么是等保,？

等保，即網(wǎng)絡(luò)安全等級(jí)保護(hù),，是指國(guó)家通過(guò)制定統(tǒng)一的安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),。根據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,，等保定級(jí)分為5級(jí)。

為什么要做等保,？

其一,，網(wǎng)絡(luò)安全法明確“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”（第21條）、“國(guó)家對(duì)一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,，可能嚴(yán)重危害國(guó)家安全,、國(guó)際民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,，實(shí)行重點(diǎn)保護(hù)”（第31條）。

其二,，等級(jí)保護(hù)工作是保障我國(guó)網(wǎng)絡(luò)安全的基本動(dòng)作,，目前各單位需按照所在行業(yè)及保護(hù)對(duì)象重要程度，依據(jù)網(wǎng)絡(luò)安全法及相關(guān)部門要求,，按照“同步規(guī)劃,、同步建設(shè)、同步使用”的原則,，開(kāi)展等級(jí)保護(hù)工作,。

等保包含哪些內(nèi)容,？

等保包括安全通用要求和安全擴(kuò)展要求,。安全通用要求細(xì)分為技術(shù)要求和管理要求，其中技術(shù)要求包括“安全物理環(huán)境”,、“安全通信網(wǎng)絡(luò)”,、“安全區(qū)域邊界”、“安全計(jì)算環(huán)境”,、“安全管理中心”,；管理要求包括“安全管理制度”、“安全管理機(jī)構(gòu)”,、“安全管理人員”,、“安全建設(shè)管理”、“安全運(yùn)維管理”,。

安全擴(kuò)展要求包括云計(jì)算安全擴(kuò)展要求,、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求,、工業(yè)控制系統(tǒng)安全擴(kuò)展要求,。

等保工作就是做個(gè)測(cè)評(píng)嗎？

等級(jí)保護(hù)工作包括系統(tǒng)定級(jí),、備案,、測(cè)評(píng)、建設(shè)整改,、監(jiān)督審查,，測(cè)評(píng)只是其中一項(xiàng)。測(cè)評(píng)不是等保工作的結(jié)束,，重要的是通過(guò)測(cè)評(píng)查漏補(bǔ)缺,，不斷改進(jìn)提升安全防護(hù)能力,，降低安全風(fēng)險(xiǎn)。等保的工作流程如下：

定級(jí)：定級(jí)是首要環(huán)節(jié),，步驟如下：確定定級(jí)對(duì)象,，初步確認(rèn)定級(jí)對(duì)象，專家評(píng)審,，主管部門審核,、公安機(jī)關(guān)備案審查。

備案：備案是核心,，運(yùn)營(yíng)單位持定級(jí)報(bào)告和備案表到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)安部門進(jìn)行備案,。

建設(shè)整改：建設(shè)整改是關(guān)鍵，依據(jù)信息系統(tǒng)當(dāng)前等級(jí)要求和標(biāo)準(zhǔn),，對(duì)信息系統(tǒng)進(jìn)行整改加固,。

等級(jí)測(cè)評(píng)：等級(jí)測(cè)評(píng)是評(píng)價(jià)方法，委托具備測(cè)評(píng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng),，形成正式的測(cè)評(píng)報(bào)告,。

監(jiān)督檢查：監(jiān)督檢查是保障，運(yùn)營(yíng)單位向當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)安部門提交測(cè)評(píng)報(bào)告,，配合完成對(duì)信息安全等級(jí)保護(hù)實(shí)施情況的檢查,。公安機(jī)關(guān)網(wǎng)安部門的監(jiān)督檢查工作貫穿等保工作的全流程。

等保的測(cè)評(píng)周期為：二級(jí)信息系統(tǒng)每?jī)赡隃y(cè)評(píng)一次,；三級(jí)信息系統(tǒng)每年測(cè)評(píng)一次,；四級(jí)信息系統(tǒng)每半年測(cè)評(píng)一次。

什么是分保,？

分保,，即涉密信息系統(tǒng)分級(jí)保護(hù)，是指涉密信息系統(tǒng)的建設(shè)使用單位根據(jù)分級(jí)保護(hù)管理辦法和有關(guān)標(biāo)準(zhǔn),，對(duì)涉密信息系統(tǒng)分等級(jí)實(shí)施保護(hù),，各級(jí)保密工作部門根據(jù)涉密信息系統(tǒng)的保護(hù)等級(jí)實(shí)施監(jiān)督管理，確保系統(tǒng)和信息安全,。

為什么要做分保,？

《中華人民共和國(guó)保守國(guó)家秘密法》第二十三條規(guī)定：存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)（以下簡(jiǎn)稱涉密信息系統(tǒng)）按照涉密程度實(shí)行分級(jí)保護(hù),?！渡婕皣?guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》（國(guó)保發(fā)[2005]16號(hào)）也提到了相關(guān)要求。

分保包含哪些內(nèi)容,？

分保工作按照《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》BMB20-2007和《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》BMB17-2006的相關(guān)要求進(jìn)行,。

分級(jí)保護(hù)定級(jí)分3個(gè)等級(jí)：涉密信息系統(tǒng)應(yīng)根據(jù)所處理信息的最高密級(jí)，由低到高劃分為秘密,、機(jī)密,、絕密三個(gè)等級(jí),。分別與等級(jí)保護(hù)對(duì)應(yīng)，秘密級(jí)對(duì)應(yīng)等保三級(jí),、機(jī)密級(jí)對(duì)應(yīng)等保四級(jí),、絕密級(jí)對(duì)應(yīng)等保五級(jí)。

秘密級(jí),、機(jī)密級(jí)信息系統(tǒng)需每?jī)赡赀M(jìn)行一次分級(jí)保護(hù)評(píng)測(cè),，絕密級(jí)信息系統(tǒng)每年進(jìn)行一次分級(jí)保護(hù)評(píng)測(cè)。

什么是關(guān)保,？

關(guān)保,，全稱關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù),、能源,、交通、水利,、金融,、公共服務(wù)、電子政務(wù),、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的,，以及其他一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生,、公共利益的重要網(wǎng)絡(luò)設(shè)施,、信息系統(tǒng)等。所以關(guān)保就是關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,，實(shí)行重點(diǎn)保護(hù),。

為什么要做關(guān)保？

其一,，政策要求,。國(guó)家市場(chǎng)監(jiān)督管理總局批準(zhǔn)發(fā)布《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（GB/T 39204-2022），該標(biāo)準(zhǔn)將于2023年5月1日正式實(shí)施,。

其二,，關(guān)鍵信息基礎(chǔ)設(shè)施一旦遭到攻擊破壞或數(shù)據(jù)泄漏，將嚴(yán)重危害國(guó)家安全,、國(guó)計(jì)民生,、經(jīng)濟(jì)發(fā)展。關(guān)保在落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度為基礎(chǔ)上實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),，與我國(guó)的網(wǎng)絡(luò)安全整體形勢(shì)以及鍵信息基礎(chǔ)設(shè)施安全需求相適應(yīng),，推動(dòng)我國(guó)網(wǎng)絡(luò)安全保護(hù)工作的發(fā)展,。

關(guān)保包含哪些內(nèi)容？ 

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第五條規(guī)定：國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù),，采取措施,，監(jiān)測(cè)、防御,、處置來(lái)源于中華人民共和國(guó)境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅,，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入,、干擾和破壞,，依法懲治危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的違法犯罪活動(dòng)。

關(guān)保的流程主要包括：識(shí)別認(rèn)定,、安全防護(hù),、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警和事件處置五個(gè)環(huán)節(jié),。

識(shí)別認(rèn)定：運(yùn)營(yíng)者配合安全保護(hù)工作部門,，開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別和認(rèn)定活動(dòng)，圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的關(guān)鍵業(yè)務(wù),，開(kāi)展風(fēng)險(xiǎn)識(shí)別,。

本環(huán)節(jié)是開(kāi)展安全防護(hù)、檢測(cè)評(píng)估,、監(jiān)測(cè)預(yù)警,、事件處置等環(huán)節(jié)工作的基礎(chǔ)。

安全防護(hù)：運(yùn)營(yíng)者根據(jù)已識(shí)別的安全風(fēng)險(xiǎn),，在規(guī)劃,、人員、數(shù)據(jù),、供應(yīng)鏈等方面制定和實(shí)施適當(dāng)?shù)陌踩雷o(hù)措施,，確保關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全。

本環(huán)節(jié)在認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施及識(shí)別其安全風(fēng)險(xiǎn)的基礎(chǔ)上制定安全防護(hù)措施,。

檢測(cè)評(píng)估：為檢驗(yàn)安全防護(hù)措施的有效性,，發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患，運(yùn)營(yíng)者制定相應(yīng)的檢測(cè)評(píng)估制度,，確定檢測(cè)評(píng)估的流程及內(nèi)容等要素,，并分析潛在安全風(fēng)險(xiǎn)可能引起的安全事件。

監(jiān)測(cè)預(yù)警：為檢驗(yàn)安全防護(hù)措施的有效性,，運(yùn)營(yíng)者制定并實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,，針對(duì)即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅，提前或及時(shí)發(fā)出安全警示,。

事件處置：對(duì)網(wǎng)絡(luò)安全事件進(jìn)行處置,，并根據(jù)檢測(cè)評(píng)估,、監(jiān)測(cè)預(yù)警環(huán)節(jié)發(fā)現(xiàn)的問(wèn)題，運(yùn)營(yíng)者制定并實(shí)施適當(dāng)?shù)膽?yīng)對(duì)措施,，恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù),。

什么是密評(píng)？

密評(píng),，全稱商用密碼應(yīng)用安全性評(píng)估,，指對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性,、正確性,、有效性進(jìn)行評(píng)估。

為什么要做密評(píng),？

其一,，開(kāi)展密評(píng)，是國(guó)家網(wǎng)絡(luò)安全和密碼相關(guān)法律法規(guī)提出的明確要求,，是法定責(zé)任和義務(wù),。

《網(wǎng)絡(luò)安全法》第十條規(guī)定，建設(shè),、運(yùn)營(yíng)網(wǎng)絡(luò)或者通過(guò)網(wǎng)絡(luò)提供服務(wù),，應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,，采取技術(shù)措施和其他必要措施,，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行,，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性,、保密性和可用性,。

《密碼法》第二十七條：法律,、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用密碼進(jìn)行保護(hù),，自行或者委托密碼檢測(cè)機(jī)構(gòu)開(kāi)展密碼應(yīng)用安全性評(píng)估,。

《商用密碼應(yīng)用安全性評(píng)估管理辦法(試行)》第十條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施,、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng),，每年至少評(píng)估一次。

其二,，密評(píng)是系統(tǒng)安全維護(hù)的必然要求,，密碼應(yīng)用是否合規(guī)、正確,、有效,，涉及密碼算法,、協(xié)議、產(chǎn)品,、技術(shù)體系,、密鑰管理、密碼應(yīng)用多個(gè)方面,。因此,，需委托專業(yè)機(jī)構(gòu)、專業(yè)人員,，采用專業(yè)工具和專業(yè)手段,，對(duì)系統(tǒng)整體的密碼應(yīng)用安全進(jìn)行專項(xiàng)測(cè)試和綜合評(píng)估，形成科學(xué)準(zhǔn)確的評(píng)估結(jié)果,，以便及時(shí)掌握密碼安全現(xiàn)狀,，采取必要的技術(shù)和管理措施。

密評(píng)包含哪些內(nèi)容,？

商用密碼應(yīng)用安全性評(píng)估包括兩部分內(nèi)容：信息系統(tǒng)規(guī)劃階段對(duì)密碼應(yīng)用方案進(jìn)行評(píng)審/評(píng)估和建設(shè)完成后對(duì)信息系統(tǒng)開(kāi)展的實(shí)際測(cè)評(píng),。

密碼應(yīng)用方案評(píng)估包括密碼應(yīng)用解決方案評(píng)估、實(shí)施方案評(píng)估和應(yīng)急處置方案評(píng)估,。

對(duì)建設(shè)完成后的信息系統(tǒng)開(kāi)展的實(shí)際測(cè)評(píng)內(nèi)容包括：物理和環(huán)境測(cè)評(píng),、網(wǎng)絡(luò)和通信測(cè)評(píng)、設(shè)備和計(jì)算測(cè)評(píng),、應(yīng)用和數(shù)據(jù)測(cè)評(píng),、密鑰管理測(cè)評(píng)、安全管理測(cè)評(píng),。

密評(píng)怎么開(kāi)展,？

密評(píng)的工作流程如下：

確定評(píng)估對(duì)象?開(kāi)展測(cè)評(píng)工作?輸出密碼測(cè)評(píng)報(bào)告?密評(píng)結(jié)果上報(bào)。

三保一評(píng)的聯(lián)系

三保一評(píng)的區(qū)別