作者丨山志
出品丨北京一等一技術諮詢有限公司
獨家授權,未經許可不得轉載
公安部於2020年7月研究制定了公網安〔2020〕1960號《貫徹落實網絡安全等保制度和關保制度的指導意見》(下稱“指導意見”),明確網絡安全工作目標:
網絡安全等級保護制度深入貫徹實施;
關鍵信息基礎設施安全保護制度建立並實施;
網絡安全監測預警和應急處置能力顯著提升;
網絡安全綜合防控體系基本建成。
深入貫徹落實網絡安全等級保護(簡稱“等保”)工作、積極推進關鍵信息基礎設施保護(簡稱“關保”)工作開展將是網絡運營者2021年網絡安全工作的重點。在落實等保和關保兩個制度時,網絡運營者明確網絡安全等級保護和關鍵信息基礎設施安全保護間的關係是開展網絡安全工作的前提和基礎。行業內講“關保基於等保護高於等保”,究竟該如何理解這一口號呢?本文通過分析下列幾個關係對“等保和關保”的關係進行分析、說明:
關鍵信息基礎設施與等級保護對象的關係?
關鍵信息基礎設施認定與等級保護定級的關係?
關鍵信息基礎設施檢測評估與等級測評的關係?
關鍵信息基礎設施保護制度和網絡安全等級保護制度的關係?
基本概念
若要了解“等保”與“關保”兩者關係,首先需明白二者的基本概念以及主要的工作內容,具體情況如下表:
關係分析
關鍵信息基礎設施與等級保護對象的關係
關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據洩露,可能嚴重危害國家安全、國計民生、公共利益的網絡設施、信息系統。
等級保護對象是指網絡安全等級保護工作直接作用的對象,主要包括信息系統、通信網絡設施和數據資源。
關係分析:等級保護對象是針對邊界明確、可獨立定級和明確保護措施的信息系統、通信網絡設施和數據資源,而關鍵信息基礎設施是由支撐關鍵業務及其關聯業務穩定運行、相互關聯、相互影響的網絡設施和信息系統構成。在《網絡安全法》中要求將關鍵信息基礎設施納入等級保護中,因此關鍵信息基礎設施是等級保護對象的一部分,是等級保護的重點保護對象。
關鍵信息基礎設施認定與等級保護對象定級的關係
識別認定流程:
關鍵信息基礎設施識別認定流程大致可概括為:
定級流程:
網絡安全等級保護定級流程大致可概括為:
關係分析:關鍵信息基礎設施認定與等級保護對象定級分別作為開展等級保護和關鍵信息基礎設施保護確定保護對象的重要手段,是開展等保、關保工作的前提。二者在資產識別、梳理層面存在一定的相似性,但卻是兩項不同的工作內容,而等級保護對象的識別梳理、定級邊界確定、定級對象關聯資產分析為關鍵信息基礎設施識別認定提供了堅實的基礎。
關鍵信息基礎設施檢測評估與等級測評的關系
關鍵信息基礎設施檢測評估通過合規檢查、技術檢測和分析評估完成,具體評估流程為:評估工作準備(調研、方案制定)、工作實施、工作總結(風險研判、報告編制、結果反饋);
等級保護測評包括測評準備、方案編制、現場測評、測評結論分析、測評報告編制。
關係分析:
第三級以上的等級保護定級對象每年至少一次等級測評,對於關鍵信息基礎設施,運營者可自行或委託網絡安全服務機構對CII地風險隱患每年至少一次檢測評估。關鍵信息基礎設施檢測評估與等級測評的目標對象和檢測力度存在著一定差異,因此檢測評估與等級測評不能混為一談,但關鍵信息基礎設施開展等級測評的情況是關鍵信息基礎設施檢測評估工作的一部分內容。
關鍵信息基礎設施保護制度和網絡安全等級保護制度的關係
落實關鍵信息基礎設施保護制度的目標是保障業務整體安全,即業務連續性與安全可控性;落實網絡安全等級保護制度的目標是有效發現、解決網絡和信息系統安全面臨的威脅和存在的主要問題。
網絡安全等級保護制度是關鍵信息基礎設施保護的基礎,關鍵信息基礎設施是等級保護的重點,兩者相輔相成、不可分割。對於重點行業、重點領域的運營者而言,應當對網絡和信息系統進行合理的邊界劃分,確定定級對象,開展等級保護(定級、備案、建設整改、等級測評、監督檢查)工作,針對關鍵的業務系統,確定支撐其穩定運行的關鍵信息基礎設施,並進行重點防護,開展關鍵信息基礎設施保護(識別認定、安全防護、檢測評估、監測預警、事件處置)工作。
基於等保:等級保護是基礎,即baseline,“關保”的保護對象是等級保護對象的一部分;是在等保對象的基礎上進行細化梳理,“關保”的安全防護是在等保的安全建設整改的基礎上開展;“關保”的檢測評估內容包括等級保護的等級測評、安全建設情況等。
高於等保:“關保”的安全防護、監測預警、事件處置環節從技術到管理、從過程到方法都有所細化、提升,在技術層面更加強化,管理層面更加明確;安全要求力度要求高於等級保護,增加動態風控相關要求,更加註重網絡安全實戰化、體系化、常態化。
無論是等級保護還是關鍵信息基礎設施保護,其終極目標都是保障國家網絡安全,提升網絡安全綜合防控能力。
聲明:除發佈的文章無法追溯到作者並獲得授權外,我們均會註明作者和文章來源。如涉及版權問題請及時聯繫我們,我們會在第一時間刪改,謝謝!文章來源:等級保護測評 。
轉載請超鏈接註明:頭條資訊 » “網絡安全等級保護”與 “關鍵信息基礎設施保護”的關係
免責聲明
:非本網註明原創的信息,皆為程序自動獲取互聯網,目的在於傳遞更多信息,並不代表本網贊同其觀點和對其真實性負責;如此頁面有侵犯到您的權益,請給站長發送郵件,並提供相關證明(版權證明、身份證正反面、侵權鏈接),站長將在收到郵件24小時內刪除。