27号文中第二部分是这样描述:实施信息安全等级保护,信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全本钱和风险,优化信息安全资源的配置,确保重点。要重点保护根本信息网络和关系国家安全、经济命脉、社会稳定等方面的主要信息系统,抓紧建立信息安全等级保护制度,制订信息安全等级保护的管理办法和技能指南。要重视信息安全风险评估事情,对网络与信息系统安全的潜在威胁、薄弱环节、防护方法等进行剖析评估,综合考虑网络与信息系统的主要性、涉密程度和面临的信息安全风险等成分,进行相应等级的安全培植和管理。对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护。
这里,我们看到第二部分总体讲了“实施信息安全等级保护”,第一保护重点,建立等级保护制度;第二重视风险评估,进行相应等级的安全培植和管理;第三涉及国家秘密的信息系统,按照保密规定进行保护。
总领的是“等级保护制度”,而对“实施等级保护”,通过建立等级保护制度,做到保护重点。这个“重点”随着技能变迁时期变革,有所调度。等级保护事情1.0时期,因此主要信息系统为重点;而等级保护事情2.0时期,因此关键信息根本举动步伐为重点。可以说重点一贯有,只是随着发展而有所提升,这是其变革的地方。
总领的是“等级保护制度”,而重视风险评估,进行相应等级的安全培植和管理;这点原则上贯穿了等级保护1.0和等级保护2.0时期,如2008年发改委、公安部、保密局联合发布的《关于加强国家电子政务工程培植项目信息安全风险评估事情的关照》发改高技〔2008〕2071号,便是对这个事情的一个回应。以是,有人在总结时,认为等级保护2.0引入了风险评估的说法是不成立的,在2003年已经强调等级保护事情中开展风险评估事情了,只是风险评估的哀求在《信息安全等级保护管理办法》未像等级测评那样强调必须定期开展,大家推进等级测评有了“尚方宝剑”,各单位也当心翼翼,贩卖着焦虑,以是大家多记得等级保护测评,而忽略了风险评估,同时将风险评估与等级保护事情在理解上割裂开了。
网络安全等级保护制度是国家在网络安全领域的基本制度,谈及涉及国家秘密的信息系统,按照保密规定进行保护。
在这几句话中,这三个大层面都是做事于见地的第二部分“实施信息安全等级保护”这个大方向的,就像写作文一样,文要对题。作为国家层面的顶层设计文件,不可能做那“文不对题”的低级缺点的。以是,这里涉及“等级保护”是一个比较大的观点,也便是在这里已经解释了,等级保护这个大观点上是包含“涉密信息系统”、“密码管理事情”。这点也可以从上段提到的发改高技〔2008〕2071号再次得到印证,这些事情开展,一贯秉持着两条线:涉密、非涉密。
只不过,我们打仗最多的是系统数量占绝对上风的非涉密的信息系统,以至于我们工为难刁难象都是非涉密,或者这中间由于各种法律政策哀求,相对独立,涉密事情开展又较为隐秘,不似非涉密事情开展可以大肆宣扬。才让我们有了这种误解。
随着等级保护制度的确立,在非涉密系统领域做了五个规定动作,个中等级测评位列个中。而我们看到,发改高技〔2008〕2071号中描述的清楚,风险评估事情是涵盖涉密、非涉密两种环境的,而且也在模板中留了一些有关安全保护等级的线索。而等级测评在当下语境中,就是非涉密网络的等级保护测评,有测评机构完成。这点也是二者之间的个中一个差异。
也便是说等级保护测评只是等级保护事情中的一个事情方法论,专指非涉密网络安全等级保护事情的测评;而风险评估实在是等级保护事情和分级保护事情中均可以引用的一个事情方法论。
等级测评和风险评估均是落实网络安全等级保护制度,履行网络安全等级保护事情的必要手段,二者有许多内容相似处,但又各有侧重,相互补充,且彼此不可相互替代。
