我经常在和人探讨等级保护时会注意区别等级保护制度和等级保护测评之间的关系。因为,社会上或者说市场上,大家把等级保护测评等同于等级保护的人太多了,所以在这里有必要再做一次区分。
首先,我们要知道等级保护制度是以公安机关为主导的一项国家基本国策,而在1.0时代,我们知道关于等级保护相关政策文件,都是以国信办、公安部、国家密码管理、国家保密局四家单位联合发布。《信息安全等级保护管理办法》中也明确了,等级保护涵盖三个大方向的内容,即公安机关监管的非涉密信息系统、国家保密局监管的涉密信息系统以及国家密码管理监管的密码方向。所以,在1.0时代这三者共同组成了我们的1.0时代的等级保护。
而到了2.0时代,《网络安全法》第二十一条明确了国家实行网络安全等级保护制度。在历史沿革中,我们常常用信息安全,经《网络安全法》确定后“信息安全”属于上改为“网络安全”,有历史原因,但是这二者是同质异名,而网络安全的范畴更广了。网络安全法对该制度的名称作了调整,改为网络安全等级保护制度,对其主要内容作了规定。国务院有关部门应当根据本法完善相关配套规定,确保网络安全等级保护制度落到实处。
回到今天的主题,其实大家接触密码评估是近两年的事情,很多朋友对这个的理解和前几年对等级保护的理解是一样的,总认为这事情是突然一声炸雷一下,蹦出来的事务。其实不然,在《信息安全等级保护管理办法》是2007年6月22日发布,而国家密码管理局同年11月27日发布了《信息安全等级保护商用密码管理办法》,而这个管理办法的制定依据是《信息安全等级保护管理办法》《商用密码管理条例》,再次以文件的形式明确密码管理是等级保护的一部分,当然也再次否定所谓做测评就是过等级保护这个误解。
等级保护工作要求“三同步”,在规划之初就需要考虑满足等级保护相关政策和标准要求,大家在落实等级保护过程中,是落实等级保护制度要求,所以在这里需要考虑满足非涉密系统(以非涉密系统为例)的技术和管理要求,所以需要在规划之初考虑《信息安全技术 网络安全等级保护基本要求》《信息安全技术 信息系统密码应用基本要求》等国家标准,根据要求依据对应的技术标准考虑如何实现对应的要求,在方案里予以明确,依据国家标准进行安全建设。
