網(wǎng)絡(luò)安全工程師必須了解的“3保1評(píng)”202406

網(wǎng)絡(luò)安全工程師必須了解的：

“3保1評(píng)”2024-06-03等保網(wǎng)絡(luò)安全等級(jí)保護(hù)關(guān)保關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)密評(píng)商業(yè)密碼應(yīng)用安全評(píng)估沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全什么是“3保1評(píng)”？引言分保涉密信息系統(tǒng)分級(jí)保護(hù)01.分保涉密信息系統(tǒng)分級(jí)保護(hù)《關(guān)于加強(qiáng)信息安全保障工作中保密管理的若干意見》(中保委發(fā)[2004]7號(hào))《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》(國(guó)保發(fā)[2005]16號(hào))《國(guó)家保密法》(2010年)第二十三條存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)(以下簡(jiǎn)稱涉密信息系統(tǒng))按照涉密程度實(shí)行分級(jí)保護(hù)。《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見稿)》第四章涉密網(wǎng)絡(luò)的安全保護(hù)第三十五條【分級(jí)保護(hù)】涉密網(wǎng)絡(luò)按照存儲(chǔ)、處理、傳輸國(guó)家秘密的最高密級(jí)分為絕密級(jí)、機(jī)密級(jí)和秘密級(jí)。分保的法律依據(jù)分保：是指涉密信息系統(tǒng)的建設(shè)使用單位根據(jù)分級(jí)保護(hù)管理辦法和有關(guān)標(biāo)準(zhǔn)，對(duì)涉密信息系統(tǒng)分等級(jí)實(shí)施保護(hù)，簡(jiǎn)稱涉密信息系統(tǒng)分級(jí)保護(hù)。涉密信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)和配套設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則存儲(chǔ)、處理、傳輸國(guó)家秘密信息的系統(tǒng)或者網(wǎng)絡(luò)。涉密系統(tǒng)分級(jí)保護(hù)涉密信息系統(tǒng)的建設(shè)和使用單位根據(jù)分級(jí)保護(hù)管理辦法和有關(guān)標(biāo)準(zhǔn)，對(duì)涉密信息系統(tǒng)分等級(jí)實(shí)施保護(hù)，各級(jí)保密工作部門根據(jù)涉密信息系統(tǒng)的的保護(hù)等級(jí)實(shí)施監(jiān)督管理，確保系統(tǒng)和信息安全。保護(hù)對(duì)象所有涉及國(guó)家秘密的信息系統(tǒng)，重點(diǎn)是黨政機(jī)關(guān)、軍隊(duì)和軍工單位。分保的定義分保的系統(tǒng)定級(jí)物理安全運(yùn)行安全信息安全保密秘密級(jí)強(qiáng)強(qiáng)強(qiáng)機(jī)密級(jí)更強(qiáng)更強(qiáng)更強(qiáng)機(jī)密級(jí)增強(qiáng)在機(jī)密級(jí)的基礎(chǔ)上，增加要求絕密級(jí)最強(qiáng)最強(qiáng)最強(qiáng)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)：應(yīng)每?jī)赡曛辽龠M(jìn)行一次安全保密測(cè)評(píng)或保密檢查；絕密級(jí)信息系統(tǒng)：應(yīng)每年至少進(jìn)行一次安全保密測(cè)評(píng)或保密檢查。分保的工作流程01系統(tǒng)定級(jí)明確系統(tǒng)所處理信息的最高密級(jí)，確定系統(tǒng)保護(hù)等級(jí)。02方案設(shè)計(jì)進(jìn)行風(fēng)險(xiǎn)評(píng)估，設(shè)計(jì)方案，并通過專家論證，負(fù)責(zé)系統(tǒng)審批的保密工作部門應(yīng)參加論證。03工程實(shí)施組建工程監(jiān)理機(jī)構(gòu)，細(xì)化管理制度，監(jiān)督工程實(shí)施，或選擇具有涉密資質(zhì)的工程監(jiān)理單位進(jìn)行監(jiān)理。04系統(tǒng)測(cè)評(píng)系統(tǒng)工程實(shí)施完畢后，建設(shè)使用單位向國(guó)家保密局涉密信息系統(tǒng)保密測(cè)評(píng)中心及分中心申請(qǐng)完成系統(tǒng)測(cè)評(píng)05系統(tǒng)審批涉密信息系統(tǒng)在投入運(yùn)行前，經(jīng)保密工作部門審批。06日常管理日常管理包括基本管理要求，人員管理、物理環(huán)境與設(shè)施管理、信息保密管理等。07測(cè)評(píng)與檢查涉密信息系統(tǒng)投入運(yùn)行后還應(yīng)定期進(jìn)行安全保密測(cè)評(píng)和檢查。08系統(tǒng)廢止廢止涉密信息系統(tǒng)應(yīng)向保密工作部門備案，并按照保密規(guī)定妥善處理國(guó)家涉密信息的設(shè)備、產(chǎn)品和資料。分保的技術(shù)要求02.等保網(wǎng)絡(luò)安全等級(jí)保護(hù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令，1994年)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào))《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字[2004]66號(hào))《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公信安[2007]861號(hào))《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》(發(fā)改高技[2008]2071號(hào))《網(wǎng)絡(luò)安全法》(2016年)第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。等級(jí)保護(hù)2.0元年2019年5月正式發(fā)布等級(jí)保護(hù)2.0版本《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等保的法律依據(jù)等保：就是國(guó)家通過制定統(tǒng)一的安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，簡(jiǎn)稱網(wǎng)絡(luò)安全等級(jí)保護(hù)。等保定義信息安全等級(jí)保護(hù)：指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開信息和儲(chǔ)存、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。保護(hù)對(duì)象：運(yùn)營(yíng)商和服務(wù)提供商：電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。重要行業(yè)：鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國(guó)防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國(guó)土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。重要機(jī)關(guān)：市（地）級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。等保系統(tǒng)的定級(jí)01自主保護(hù)級(jí)信息系統(tǒng)受到破壞后會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。02指導(dǎo)保護(hù)級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害但不損害國(guó)家安全。03監(jiān)督保護(hù)級(jí)信息系統(tǒng)受到破壞后會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害或者對(duì)國(guó)家安全造成損害。04強(qiáng)制保護(hù)級(jí)信息系統(tǒng)受到破壞后會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。05?？乇Ｗo(hù)級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。等保的工作流程定級(jí)備案整改測(cè)評(píng)復(fù)核等保2.0基礎(chǔ)框架等保2.0技術(shù)保護(hù)方案規(guī)劃安全管理中心01大數(shù)據(jù)安全、IT運(yùn)維管理、堡壘機(jī)、漏洞掃描、網(wǎng)站監(jiān)測(cè)預(yù)警、等保安全一體機(jī)、等保建設(shè)咨詢服務(wù)建設(shè)要點(diǎn)：對(duì)安全進(jìn)行統(tǒng)一管理與把控，集中分析與審計(jì)，定期識(shí)別漏洞與隱患安全通信網(wǎng)絡(luò)下一代防火墻、VPN、路由器、交換機(jī)建設(shè)要點(diǎn)：構(gòu)建安全的網(wǎng)絡(luò)通信架構(gòu)，保障信息傳輸安全02安全區(qū)域邊界03下一代防火墻、入侵檢測(cè)/防御、上網(wǎng)行為管理、安全沙箱、動(dòng)態(tài)防御系統(tǒng)、身份認(rèn)證管理、流量安全分析、WEB應(yīng)用防護(hù)、準(zhǔn)入控制系統(tǒng)建設(shè)要點(diǎn)：強(qiáng)化安全邊界防護(hù)及入侵防護(hù)，優(yōu)化訪問控制策略安全計(jì)算環(huán)境入侵檢測(cè)/防御、數(shù)據(jù)庫(kù)審計(jì)、動(dòng)態(tài)防御系統(tǒng)、網(wǎng)頁(yè)防篡改、漏洞風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)備份、終端安全建設(shè)要點(diǎn)：強(qiáng)調(diào)系統(tǒng)及應(yīng)用安全，加強(qiáng)身份鑒別機(jī)制與入侵防范04等保2.0安全管理規(guī)劃安全管理制度制定安全策略建立安全管理制度專人負(fù)責(zé)制定和發(fā)布管理定期評(píng)審和修訂管理制度安全管理機(jī)構(gòu)設(shè)立相應(yīng)領(lǐng)導(dǎo)、管理、審計(jì)、運(yùn)維機(jī)構(gòu)和崗位配備系統(tǒng)管理、審計(jì)管理和安全管理員明確授權(quán)和審批事項(xiàng)和制度加強(qiáng)內(nèi)部和外部安全專家溝通協(xié)作定期審核和檢查安全策略和安全管理制度安全管理人員考核錄用人員專業(yè)技能，簽署保密協(xié)議離崗人員及時(shí)回收權(quán)限、證照等加強(qiáng)安全意識(shí)和安全技能教育培訓(xùn)定期進(jìn)行安全技術(shù)考核安全建設(shè)管理等保定級(jí)和備案安全方案設(shè)計(jì)安全產(chǎn)品采購(gòu)和使用自主和外包軟件開發(fā)管理安全保護(hù)工程實(shí)施管理安全防護(hù)測(cè)試驗(yàn)收系統(tǒng)驗(yàn)收交付定期等保測(cè)評(píng)監(jiān)督、評(píng)審和審核安全服務(wù)提供商安全運(yùn)維管理運(yùn)行環(huán)境管理被保護(hù)資產(chǎn)管理信息存儲(chǔ)介質(zhì)管理設(shè)備維護(hù)管理漏洞和風(fēng)險(xiǎn)管理網(wǎng)絡(luò)和系統(tǒng)安全管理惡意代碼防范管理系統(tǒng)、變更配置和密碼管理備份與恢復(fù)管理安全事件和應(yīng)急預(yù)案管理外包運(yùn)維管理03.關(guān)保關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)2017年7月10日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》；2019至2021年，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》連續(xù)三年納入國(guó)家立法計(jì)劃；2021年4月27日，經(jīng)國(guó)務(wù)院第133次常務(wù)會(huì)議通過；2021年7月30日，國(guó)務(wù)院總理李克強(qiáng)簽署中華人民共和國(guó)國(guó)務(wù)院令第745號(hào)公布，自2021年9月1日起施行?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第五條規(guī)定：國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)，采取措施，監(jiān)測(cè)、防御、處置來源于中華人民共和國(guó)境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞，依法懲治危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的違法犯罪活動(dòng)。《網(wǎng)絡(luò)安全法》第三章第二節(jié)第三十一條對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施具體范圍進(jìn)行規(guī)劃和限定。國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)保的法律依據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)針對(duì)面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐能源、通信、金融、交通、公共事業(yè)等重要行業(yè)運(yùn)行的信息系統(tǒng)、工業(yè)控制系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施是指面向公眾提供的網(wǎng)絡(luò)信息服務(wù)或支撐能源、交通、水利、金融、公共服務(wù)、電子政務(wù)公用事業(yè)等重要行業(yè)和領(lǐng)域以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。保護(hù)對(duì)象電信、廣播電視、能源、金融、交通運(yùn)輸、水利、應(yīng)急管理、衛(wèi)生健康、社會(huì)保障、國(guó)防科技等行業(yè)和領(lǐng)域中一旦遭到破壞或者喪失功能，會(huì)嚴(yán)重危害國(guó)家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定、公眾健康和安全的業(yè)務(wù)。公眾服務(wù):如黨政機(jī)關(guān)網(wǎng)站、企事業(yè)單位網(wǎng)站、新聞網(wǎng)站等民生服務(wù):包括金融、電子政務(wù)、公共服務(wù)等;基礎(chǔ)生產(chǎn):能源、水利、交通、數(shù)據(jù)中心、電視廣播等。關(guān)保的定義關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力依據(jù)5個(gè)能力域完成程度的高低進(jìn)行分級(jí)評(píng)估，包括3個(gè)能力等級(jí)，從能力等級(jí)1到能力等級(jí)3，逐級(jí)增高，能力等級(jí)之間為遞進(jìn)關(guān)系，高一級(jí)的能力要求包括所有低等級(jí)能力要求。關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力等級(jí)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)所需具備的能力包括識(shí)別認(rèn)定、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、事件處置5個(gè)方面的關(guān)鍵能力，每個(gè)安全能力包含若干能力指標(biāo)，每個(gè)能力指標(biāo)包含若干評(píng)價(jià)內(nèi)容。安全防護(hù)能力等級(jí)等級(jí)特征能力等級(jí)1能識(shí)別相關(guān)風(fēng)險(xiǎn)，防護(hù)措施成體系，能夠開展檢測(cè)評(píng)估活動(dòng)，具備監(jiān)測(cè)預(yù)警能力；能夠按規(guī)定接受和報(bào)送相關(guān)信息；在突發(fā)事件發(fā)生后能應(yīng)對(duì)并按計(jì)劃恢復(fù)。能力等級(jí)2能清晰識(shí)別相關(guān)風(fēng)險(xiǎn)，防護(hù)措施有效，能夠檢測(cè)評(píng)估出主要安全風(fēng)險(xiǎn)，主動(dòng)監(jiān)測(cè)預(yù)警和態(tài)勢(shì)感知，事件響應(yīng)較為及時(shí)，業(yè)務(wù)能夠及時(shí)恢復(fù)。能力等級(jí)3識(shí)別認(rèn)定完整清晰，防護(hù)措施體系化、自動(dòng)化高，能夠及時(shí)檢測(cè)評(píng)估出主要安全風(fēng)險(xiǎn)，使用自動(dòng)化工具進(jìn)行監(jiān)測(cè)預(yù)警和態(tài)勢(shì)感知，信息共享和協(xié)同程度高，事件響應(yīng)及時(shí)有效，業(yè)務(wù)可就近實(shí)時(shí)恢復(fù)。關(guān)保的工作流程01識(shí)別認(rèn)定運(yùn)營(yíng)者配合安全保護(hù)工作部門，開展關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別和認(rèn)定活動(dòng)，圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的關(guān)鍵業(yè)務(wù)，開展風(fēng)險(xiǎn)識(shí)別。本環(huán)節(jié)是開展安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、應(yīng)急處置等環(huán)節(jié)工作的基礎(chǔ)。02安全防護(hù)運(yùn)營(yíng)者根據(jù)已識(shí)別的安全風(fēng)險(xiǎn)，在規(guī)劃、人員、數(shù)據(jù)、供應(yīng)鏈等方面制定和實(shí)施適當(dāng)?shù)陌踩雷o(hù)措施，確保關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全。本環(huán)節(jié)在認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施及識(shí)別其安全風(fēng)險(xiǎn)的基礎(chǔ)上制定安全防護(hù)搭施。03監(jiān)測(cè)評(píng)估為檢驗(yàn)安全防護(hù)措施的有效性，發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，運(yùn)營(yíng)者制定相應(yīng)的檢測(cè)評(píng)估制度，確定檢測(cè)評(píng)估的流程及內(nèi)容等要素，并分析潛在安全風(fēng)險(xiǎn)可能引起的安全事件。04監(jiān)測(cè)預(yù)警為檢驗(yàn)安全防護(hù)措施的有效性，運(yùn)營(yíng)者制定并實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度，針對(duì)即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅，提前或及時(shí)發(fā)出安全警示。05事件處置根據(jù)檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警環(huán)節(jié)發(fā)現(xiàn)的問題，運(yùn)營(yíng)者制定并實(shí)施適當(dāng)?shù)膽?yīng)對(duì)措施，并恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)，動(dòng)態(tài)識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)。04.密評(píng)商業(yè)密碼應(yīng)用安全評(píng)估《中華人民共和國(guó)密碼法》（2020年1月1日起實(shí)施）所述的密碼，是指采用特定變換的方法對(duì)信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)。商用密碼用于保護(hù)不屬于國(guó)家秘密的信息。《中華人民共和國(guó)密碼法》第二十七條規(guī)定：法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估。商用密碼應(yīng)用安全性評(píng)估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)制度相銜接，避免重復(fù)評(píng)估、測(cè)評(píng)?！渡逃妹艽a應(yīng)用安全性評(píng)估管理辦法（試行）》（2017年4月22日起施行）《信息系統(tǒng)密碼應(yīng)用基本要求》（GM/T0054-2018）《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》（2020年1月22日）密評(píng)的法律依據(jù)密評(píng)的定義密評(píng)：是指對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)，對(duì)其密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評(píng)估。商用密碼是指對(duì)不涉及國(guó)家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。商用密碼技術(shù)是商用密碼的核心，是信息化時(shí)代社會(huì)團(tuán)體、組織、企事業(yè)單位和個(gè)人用于保護(hù)自身權(quán)益的重要工具。國(guó)家將商用密碼技術(shù)列入國(guó)家秘密，任何單位和個(gè)人都有責(zé)任和義務(wù)保護(hù)商用密碼技術(shù)的秘密。商用密碼安全性評(píng)估商用密碼應(yīng)用安全性評(píng)估(簡(jiǎn)稱“密評(píng)”)，是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中，對(duì)其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評(píng)估。密評(píng)的意義為了解決商用密碼應(yīng)用中存在的突出問題，為網(wǎng)絡(luò)和信息系統(tǒng)的安全提供科學(xué)評(píng)價(jià)方法規(guī)范商用密碼的使用和管理。改變商用密碼應(yīng)用不廣泛、不規(guī)范、不安全的現(xiàn)狀，確保商用密碼在網(wǎng)絡(luò)和信息系統(tǒng)中有效使用，切實(shí)構(gòu)建起堅(jiān)實(shí)可靠的網(wǎng)絡(luò)安全密碼屏障。開展密評(píng)，是國(guó)家網(wǎng)絡(luò)安全和密碼相關(guān)法律法規(guī)提出的明確要求，是法定責(zé)任和義務(wù)。密碼應(yīng)用正確性密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務(wù)使用正確；系統(tǒng)中采用標(biāo)準(zhǔn)的密碼算法、協(xié)議、密鑰管理，按照國(guó)家和行業(yè)標(biāo)準(zhǔn)進(jìn)行正確的設(shè)計(jì)和實(shí)現(xiàn)；自定義密碼協(xié)議、密鑰管理機(jī)制的設(shè)計(jì)和實(shí)現(xiàn)正確，符合標(biāo)準(zhǔn)要求；密碼保障系統(tǒng)建設(shè)改造過程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用正確密碼應(yīng)用合規(guī)性使用的密碼算法、密碼技術(shù)符合法律法規(guī)和國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求；使用的密碼產(chǎn)品、密碼模塊通過國(guó)家密碼管理部門核準(zhǔn)；使用的密碼服務(wù)符合國(guó)家密碼管理要求密碼應(yīng)用有效性系統(tǒng)中采用的密碼協(xié)議、密鑰管理系統(tǒng)、密碼應(yīng)用子系統(tǒng)和密碼安全防護(hù)機(jī)制設(shè)計(jì)合理，在系統(tǒng)運(yùn)行過程中能夠發(fā)揮密碼作用，保障信息的機(jī)密性、完整性、真實(shí)性、不可否認(rèn)性密評(píng)的內(nèi)容關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上的信息系統(tǒng)，密碼應(yīng)用安全性評(píng)估每年至少一次。電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)基礎(chǔ)信息網(wǎng)絡(luò)涉及國(guó)計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)重要工業(yè)控制系統(tǒng)密評(píng)的對(duì)象面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)能源、教育、公安、測(cè)繪地理、社保、交通、衛(wèi)生計(jì)生、金融等信息系統(tǒng)核設(shè)施、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運(yùn)輸、水利樞紐、城市設(shè)施等工業(yè)控制系統(tǒng)黨政機(jī)關(guān)和使用財(cái)政性資金的事業(yè)單位和團(tuán)體組織使用的面向社會(huì)服務(wù)的信息系統(tǒng)密評(píng)的等級(jí)第一級(jí)是信息系統(tǒng)密碼應(yīng)用安全要求等級(jí)的最低等級(jí)，信息系統(tǒng)管理者可按照業(yè)務(wù)實(shí)際情況自主應(yīng)用密碼技術(shù)應(yīng)對(duì)可能的安全威脅。第二級(jí)是在第一級(jí)的等級(jí)要求上，要求信息系統(tǒng)具備身份鑒別、數(shù)據(jù)安全保護(hù)的非體系化密碼保障能力，可應(yīng)對(duì)當(dāng)前部分安全威脅。第三級(jí)是在第二級(jí)的等級(jí)要求上，要求更強(qiáng)的身份鑒別、數(shù)據(jù)安全、訪問控制等方面密碼應(yīng)用技術(shù)能力與管理能力，要求信息系統(tǒng)建設(shè)有規(guī)范、可靠、完整的密碼保障體系，是體系化密碼應(yīng)用引導(dǎo)性要求。第四級(jí)是在第三級(jí)的等級(jí)要求上，要求更強(qiáng)的身份鑒別、數(shù)據(jù)安全、訪問控制等方面密碼應(yīng)用技術(shù)能力與管理能力，信息系統(tǒng)建設(shè)有規(guī)范、可靠、完整、主動(dòng)防御的密碼保障體系，是體系化密碼應(yīng)用的強(qiáng)制要求。密評(píng)的工作流程01確定評(píng)估對(duì)象組織相關(guān)單位編制密碼應(yīng)用方案02開展測(cè)評(píng)工作委托密評(píng)機(jī)構(gòu)開展系統(tǒng)評(píng)估03輸出密碼測(cè)評(píng)報(bào)告密評(píng)機(jī)構(gòu)出具《密碼應(yīng)用安全性評(píng)估報(bào)告》04密評(píng)結(jié)果上報(bào)報(bào)密碼管理部門審核05.聯(lián)系與區(qū)別“3保1評(píng)”的聯(lián)系與區(qū)別“3保1評(píng)”的聯(lián)系與區(qū)別“3保1評(píng)”的聯(lián)系與區(qū)別類別

分保等保關(guān)保密評(píng)保護(hù)要求《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《關(guān)健信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》《信息系統(tǒng)密碼應(yīng)用基本要求》職能部門國(guó)家保密局公安網(wǎng)監(jiān)部門國(guó)家網(wǎng)信部門密碼管理局評(píng)估標(biāo)準(zhǔn)《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)