信息|《关键信息基础设施安全保护条例》发布,对密评有何影响?

通过上一篇“关基条例”解读文章——“《关键信息基础设施安全保护条例》发布 , 等保单位该怎么做?” , 相信读者已经了解到关键信息基础设施等保工作该如何开展 。 那么《关键信息基础设施安全保护条例》(以下简称《条例》)发布后对商用密码应用安全性评估(以下简称密评)工作有什么影响呢?本文将从读者关心的《条例》发布后密评工作该如何开展进行解答 。
Q1:关键信息基础设施需要开展的测评工作有哪些?
《条例》第十七条明确规定:运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估 。
此外 , 《条例》还要求 , 在网络安全等级保护的基础上 , 保障关键信息基础设施安全稳定运行 。 等级保护制度作为我国信息安全保障的基本制度 , 对于关键信息基础设施同样适用 。
但关键信息基础设施仅仅开展网络安全检测、风险评估、等级保护工作仍然不够 。 《条例》第六章附则中提出 , “关键信息基础设施中的密码使用和管理 , 还应当遵守相关法律、行政法规的规定” 。 这一条说的是 , 2020年1月1日起施行的《密码法》中的规定:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施 , 其运营者应当使用商用密码进行保护 , 自行或者委托商用密码检测机构开展商用密码应用安全性评估 。 ”
也就是说 , 对关键信息基础设施 , 在开展等级保护测评工作、关键信息基础设施安全检测评估和风险评估的基础上 , 其运营者还需开展商用密码应用安全性评估 。 这三个方面的安全测评共同保障关键信息基础设施的安全 。
Q2:等级保护测评与密评的关系是什么?
等级测评是测评机构依据国家信息安全等级保护制度规定 , 按照有关管理规范和技术标准(GB/T 22239-2019信息安全技术网络安全等级保护基本要求) , 对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动 , 是信息系统安全等级保护工作的重要环节 。
商用密码应用安全性评估 , 指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估 。
等级保护与密评相互衔接、相互映照、相辅相成 。 从内容上看 , 密评中的部分评估内容来自等级保护基本要求中关于密码相关的要求项;从关键信息基础设施的定级来看 , 密评是参照等级保护对象应具备的安全保护能力要求 , 提出密码保障能力逐级增强的要求 , 一般来说 , 等级保护和密评的保护对象等级是一致的 。
【信息|《关键信息基础设施安全保护条例》发布,对密评有何影响?】

推荐阅读