公安部于2020年7月研究制定了公網安〔2020〕1960號《貫徹落實網絡安全等保制度和關保制度的指導意見》(下稱“指導意見”),明確網絡安全工作目標:
網絡安全等級保護制度深入貫徹實施;
關鍵信息基礎設施安全保護制度建立并實施;
網絡安全監測預警和應急處置能力顯著提升;
網絡安全綜合防控體系基本建成。
深入貫徹落實網絡安全等級保護(簡稱“等保”)工作、積極推進關鍵信息基礎設施保護(簡稱“關保”)工作開展將是網絡運營者2021年網絡安全工作的重點。在落實等保和關保兩個制度時,網絡運營者明確網絡安全等級保護和關鍵信息基礎設施安全保護間的關系是開展網絡安全工作的前提和基礎。行業內講“關保基于等保護高于等保”,究竟該如何理解這一口號呢?本文通過分析下列幾個關系對“等保和關保”的關系進行分析、說明:
關鍵信息基礎設施與等級保護對象的關系?
關鍵信息基礎設施認定與等級保護定級的關系?
關鍵信息基礎設施檢測評估與等級測評的關系?
關鍵信息基礎設施保護制度和網絡安全等級保護制度的關系?
基本概念
若要了解“等保”與“關保”兩者關系,首先需明白二者的基本概念以及主要的工作內容,具體情況如下表:
關系分析
關鍵信息基礎設施與等級保護對象的關系
關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的網絡設施、信息系統。
等級保護對象是指網絡安全等級保護工作直接作用的對象,主要包括信息系統、通信網絡設施和數據資源。
關系分析:等級保護對象是針對邊界明確、可獨立定級和明確保護措施的信息系統、通信網絡設施和數據資源,而關鍵信息基礎設施是由支撐關鍵業務及其關聯業務穩定運行、相互關聯、相互影響的網絡設施和信息系統構成。在《網絡安全法》中要求將關鍵信息基礎設施納入等級保護中,因此關鍵信息基礎設施是等級保護對象的一部分,是等級保護的重點保護對象。
關鍵信息基礎設施認定與等級保護對象定級的關系
識別認定流程:
關鍵信息基礎設施識別認定流程大致可概括為:
定級流程:
網絡安全等級保護定級流程大致可概括為:
關系分析:關鍵信息基礎設施認定與等級保護對象定級分別作為開展等級保護和關鍵信息基礎設施保護確定保護對象的重要手段,是開展等保、關保工作的前提。二者在資產識別、梳理層面存在一定的相似性,但卻是兩項不同的工作內容,而等級保護對象的識別梳理、定級邊界確定、定級對象關聯資產分析為關鍵信息基礎設施識別認定提供了堅實的基礎。
關鍵信息基礎設施檢測評估與等級測評的關系
關鍵信息基礎設施檢測評估通過合規檢查、技術檢測和分析評估完成,具體評估流程為:評估工作準備(調研、方案制定)、工作實施、工作總結(風險研判、報告編制、結果反饋);
等級保護測評包括測評準備、方案編制、現場測評、測評結論分析、測評報告編制。
關系分析:
第三級以上的等級保護定級對象每年至少一次等級測評,對于關鍵信息基礎設施,運營者可自行或委托網絡安全服務機構對CII地風險隱患每年至少一次檢測評估。關鍵信息基礎設施檢測評估與等級測評的目標對象和檢測力度存在著一定差異,因此檢測評估與等級測評不能混為一談,但關鍵信息基礎設施開展等級測評的情況是關鍵信息基礎設施檢測評估工作的一部分內容。
關鍵信息基礎設施保護制度和網絡安全等級保護制度的關系
落實關鍵信息基礎設施保護制度的目標是保障業務整體安全,即業務連續性與安全可控性;落實網絡安全等級保護制度的目標是有效發現、解決網絡和信息系統安全面臨的威脅和存在的主要問題。
網絡安全等級保護制度是關鍵信息基礎設施保護的基礎,關鍵信息基礎設施是等級保護的重點,兩者相輔相成、不可分割。對于重點行業、重點領域的運營者而言,應當對網絡和信息系統進行合理的邊界劃分,確定定級對象,開展等級保護(定級、備案、建設整改、等級測評、監督檢查)工作,針對關鍵的業務系統,確定支撐其穩定運行的關鍵信息基礎設施,并進行重點防護,開展關鍵信息基礎設施保護(識別認定、安全防護、檢測評估、監測預警、事件處置)工作。
基于等保:等級保護是基礎,即baseline,“關保”的保護對象是等級保護對象的一部分;是在等保對象的基礎上進行細化梳理,“關保”的安全防護是在等保的安全建設整改的基礎上開展;“關保”的檢測評估內容包括等級保護的等級測評、安全建設情況等。
高于等保:“關保”的安全防護、監測預警、事件處置環節從技術到管理、從過程到方法都有所細化、提升,在技術層面更加強化,管理層面更加明確;安全要求力度要求高于等級保護,增加動態風控相關要求,更加注重網絡安全實戰化、體系化、常態化。
無論是等級保護還是關鍵信息基礎設施保護,其終極目標都是保障國家網絡安全,提升網絡安全綜合防控能力。