信息系统之网络安全方案 — “3保1评”

信息系统之网络安全方案 — “3保1评”

参考文章链接：
1.3保1评 | 等保、分保、关保、密评的联系与区别
声明：本文是参考以上文章，并根据博主自己的理解补充完善的，侵删。

序：什么是“3评1保”？

3保即等保、分保、关保；1评即密评。全称即：
等保 — 网络安全等级保护
分保 — 涉密信息系统分级保护
关保 — 关键信息基础设施保护
密评 — 商用密码应用安全评估

一、网络安全等级保护

1.1 概念

网络安全等级保护：指国家通过制定统一的安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护。

1.2等保发展

1.3法律要求

《中华人民共和国网络安全法》
【第二十一条】国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。
法律解读：国家明确实行等级保护制度，网络运营者应按等级保护要求开展网络安全建设。

1.4分级及工作流程

二、涉密信息系统分级保护

2.1概念

涉密信息系统分级保护：涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护。

2.2法律要求

涉密信息系统的分级保护依据《保守国家秘密法》《涉及国家秘密的信息系统分级保护管理办法》（国保发[2005]16号）等法律法规开展。

2.3分级及工作流程

三、关键信息基础设施保护

3.1概念

关键信息基础设施保护：针对面向公众提供网络信息服务活或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统、工业控制系统等关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

3.2关保的发展

3.3法律要求

《中华人民共和国网络安全法》
【第三十一条】 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。（关键信息基础设施必须落实国家等级保护制度，突出保护重点）
法律解读：关键信息基础设施必须要落实等级保护制度，并要重点保护。

3.4分级及工作流程

四、商用密码应用安全评估

4.1概念

商用密码应用安全评估。指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估

4.2密评的发展

4.3法律要求

涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。重要领域网络和信息系统包括：基础信息网络、涉及国计民生和
基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

4.4工作流程