|
等级保护测评工作是等级测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。27号文中第二部分是这样描述:实行信息安全等级保护,信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护。这里,我们看到第二部分总体讲了“实行信息安全等级保护”,第一保护重点,建立等级保护制度;第二重视风险评估,进行相应等级的安全建设和管理;第三涉及国家秘密的信息系统,按照保密规定进行保护。 
总领的是“等级保护制度”,而对“实行等级保护”,通过建立等级保护制度,做到保护重点。这个“重点”随着技术变迁时代变化,有所调整。等级保护工作1.0时代,是以重要信息系统为重点;而等级保护工作2.0时代,是以关键信息基础设施为重点。可以说重点一直有,只是随着发展而有所提升,这是其变化的地方。总领的是“等级保护制度”,而重视风险评估,进行相应等级的安全建设和管理;这点原则上贯穿了等级保护1.0和等级保护2.0时代,如2008年发改委、公安部、保密局联合发布的《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》发改高技〔2008〕2071号,就是对这个工作的一个回应。所以,有人在总结时,认为等级保护2.0引入了风险评估的说法是不成立的,在2003年已经强调等级保护工作中开展风险评估工作了,只是风险评估的要求在《信息安全等级保护管理办法》未像等级测评那样强调必须定期开展,大家推进等级测评有了“尚方宝剑”,各单位也战战兢兢,贩卖着焦虑,所以大家多记得等级保护测评,而忽略了风险评估,同时将风险评估与等级保护工作在理解上割裂开了。
网络安全等级保护制度是国家在网络安全领域的基本制度,谈及涉及国家秘密的信息系统,按照保密规定进行保护。在这几句话中,这三个大层面都是服务于意见的第二部分“实行信息安全等级保护”这个大方向的,就像写作文一样,文要对题。作为国家层面的顶层设计文件,不可能做那“文不对题”的低级错误的。所以,这里涉及“等级保护”是一个比较大的概念,也就是在这里已经说明了,等级保护这个大概念上是包含“涉密信息系统”、“密码管理工作”。这点也可以从上段提到的发改高技〔2008〕2071号再次得到印证,这些工作开展,一直秉持着两条线:涉密、非涉密。只不过,我们接触最多的是系统数量占绝对优势的非涉密的信息系统,以至于我们工作对象都是非涉密,或者这中间由于各种法律政策要求,相对独立,涉密工作开展又较为隐秘,不似非涉密工作开展可以大肆宣传。才让我们有了这种误解。随着等级保护制度的确立,在非涉密系统领域做了五个规定动作,其中等级测评位列其中。而我们看到,发改高技〔2008〕2071号中描述的清楚,风险评估工作是涵盖涉密、非涉密两种情形的,而且也在模板中留了一些有关安全保护等级的线索。而等级测评在当下语境中,就是非涉密网络的等级保护测评,有测评机构完成。这点也是二者之间的其中一个区别。也就是说等级保护测评只是等级保护工作中的一个工作方法论,专指非涉密网络安全等级保护工作的测评;而风险评估其实是等级保护工作和分级保护工作中均可以引用的一个工作方法论。等级测评和风险评估均是落实网络安全等级保护制度,实施网络安全等级保护工作的必要手段,二者有许多内容相似处,但又各有侧重,相互补充,且彼此不可互相替代。
|
