本文主要内容

一、什么是“3保1评”

二、等保（网络安全等级保护）简介

三、分保（涉密信息系统分级保护）简介

四、关保（关键信息基础设施保护）简介

五、密评（商用密码应用安全评估）简介

六、3保1评的联系与区别一什么是“3保1评”

什么是“3保1评”

等保、分保、关保、密评是安全领域所指的“3保1评”。

等保：网络安全等级保护。指国家通过制定统一的安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护。

分保：涉密信息系统分级保护。指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护。

关保：关键信息基础设施保护。针对面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统、工业控制系统等关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

密评：商用密码应用安全评估。指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行泙估。二等保（网络安全等级保护）简介01什么是等保

“等保”是指网络安全等级保护。

《中华人民共和国网络安全法》（2017年6月1日起实施）第二十一条规定：国家实行网络安全等级保护制度。02等保的发展

等保1.0：

2007年6月，公安部发布《信息安全等级保护管理办法》（公通字[2007]43号），标志着等级保护1.0的正式启动。

等级保护1.0的主要标准是：

·《信息系统安全等级保护基本要求 GB/T22239-2008》

·《信息系统等级保护安全设计要求 GB/T25070-2010》

·《信息系统安全等级保护测评要求 GB/T28448-2012》

等保2.0：

2019年5月13日，国家市场监督管理总局、国家标准化管理委员会发布了3个网络安全领域的国家标准（2019年12月1日起实施）：

·《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）

·《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070-2019）

·《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）

标志着我国进入等级保护2.0时代。03等保的级别

根据信息系统受到破坏后，对公民、法人和其他组织的合法权益，以及对公共利益、社会秩序和国家安全的损害程度，等级保护分为五级：

第一级：自主保护级

第二级：指导保护级

第三级：监督保护级

第四级：强制保护级

第五级：专控保护级

04等保2.0与等保1.0的差异

05等保工作流程

三分保（涉密信息系统分级保护）简介01什么是分保

“分保”是指涉密信息系统分级保护。

《中华人民共和国保守国家秘密法》（2010年4月29日修订，2010年10月1日起实施）第二十三条规定：存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照涉密程度实行分级保护。02分保的发展

涉密信息系统的分级保护依据《保守国家秘密法》《涉及国家秘密的信息系统分级保护管理办法》（国保发[2005]16号）等法律法规开展。03相关法律法规

《关于加强信息安全保障工作中保密管理的若干意见》（中保委发【2004】7号)

《涉及国家秘密的信息系统分级保护管理办法》（国保发【2005】16号）

《国家保密法》（2010年）

《网络安全等级保护条例（征求意见稿）》04分保的级别

涉密信息系统的等级分为秘密级、机密级、绝密级三个级别。

秘密级、机密级信息系统：应每两年至少进行一次安全保密测评或保密检查；

绝密级信息系统：应每年至少进行一次安全保密测评或保密检查。

《保守国家秘密法》第九条规定：下列涉及国家安全和利益的事项，泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的，应当确定为国家秘密：

(一) 国家事务重大决策中的秘密事项;

(二) 国防建设和武装力量活动中的秘密事项;

(三) 外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;

(四) 国民经济和社会发展中的秘密事项;

(五) 科学技术中的秘密事项;

(六) 维护国家安全活动和追查刑事犯罪中的秘密事项;

(七) 经国家保密行政管理部门确定的其他秘密事项。

政党的秘密事项中符合前款规定的，属于国家秘密。

《保守国家秘密法》第十三条规定：中央国家机关、省级机关及其授权的机关、单位可以确定绝密级、机密级和秘密级国家秘密；设区的市、自治州一级的机关及其授权的机关、单位可以确定机密级和秘密级国家秘密。

四关保（关键信息基础设施保护）简介01什么是关保

“关保”是指关键信息基础设施保护。

《网络安全法》第三十一条：国家对提供公共通信、广播电视传输等服务的基础信息网络，能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统，军事网络，设区的市级以上国家机关等政务网络，用户数量众多的网络服务提供者所有或者管理的网络和系统（以下称关键信息基础设施），实行重点保护。关键信息基础设施安全保护办法由国务院制定。

《关键信息基础设施安全保护条例》（2021年7月30日国务院令第745号公布，2021年9月1日起施行）第二条规定：本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

02关保的发展

2017年7月10日，国家互联网信息办公室发布《关键信息基础设施安全保护条例（征求意见稿）》；

2019至2021年，《关键信息基础设施安全保护条例》连续三年纳入国家立法计划；

2021年4月27日，经国务院第133次常务会议通过；

2021年7月30日，国务院总理李克强签署中华人民共和国国务院令第745号公布，自2021年9月1日起施行。03相关法律法规

《中华人民共和国网络安全法》

《中华人民共和国密码法》

《关键信息基础设施安全保护条例(征求意见稿）》04关保的内容

《关键信息基础设施安全保护条例》第五条规定：国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动。

“关保”由国家网信部门统筹协调；国务院公安部门负责指导监督关键信息基础设施安全保护工作；国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作；省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

05关键信息基础设施安全防护能力等级

关键信息基础设施安全防护能力依据5个能力域完成程度的高低进行分级评估，包括3个能力等级，从能力等级1到能力等级3，逐级增高，能力等级之间为递进关系，高一级的能力要求包括所有低等级能力要求。

06关保工作流程

识别认定➡安全防护➡检测评估➡监测预警➡应急处置五密评（商用密码应用安全评估）简介01什么是密评

“密评”是指商用密码应用安全性评估。

《中华人民共和国密码法》（2020年1月1日起实施）所述的密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

商用密码用于保护不属于国家秘密的信息。

《中华人民共和国密码法》第二十七条规定：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

02密评的发展

《商用密码应用安全性评估管理办法（试行）》（2017年4月22日起施行）

《信息系统密码应用基本要求》（GM/T 0054-2018 ）03密评相关法律法规

《中华人民共和国密码法》

《国家政务信息化项目建设管理办法》04密评的对象

商用密码应用安全性评估的对象包括：

· 基础信息网络：电信网、广播电视网、互联网；

· 涉及国计民生和基础信息资源的重要信息系统：能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等信息系统；

· 重要工业控制系统：核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统；

· 面向社会服务的政务信息系统：党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。

关键信息基础设施、网络安全等级保护第三级及以上的信息系统，密码应用安全性评估每年至少一次。05密评的内容

对采用商用密码技术、产品和服务集成建设的网络和信息系统，对其密码应用的合规性、正确性、有效性进行评估。

密码应用合规性：

·使用的密码算法、密码技术符合法律法规和国家标准、行业标准的有关要求；

·使用的密码产品、密码模块通过国家密码管理部门核准；

·使用的密码服务符合国家密码管理要求；

密码应用正确性：

·密码算法、密码协议、密钥管理、密码产品和服务使用正确；

·系统中采用标准的密码算法、协议、密钥管理，按照国家和行业标准进行正确的设计和实现；

·自定义密码协议、密钥管理机制的设计和实现正确，符合标准要求；

·密码保障系统建设改造过程中密码产品和服务的部署和应用正确；

密码应用有效性：

系统中采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制设计合理，在系统运行过程中能够发挥密码作用，保障信息的机密性、完整性、真实性、不可否认性。

商用密码应用安全性评估主要从：总体要求、物理和环境、网络和通信、设备和计算、应用和数据、密钥管理以及安全管理七个方面进行评估。

06密评工作流程

确定评估对象➡开展测评工作➡输出密码测评报告➡密评结果上报六3保1评的联系与区别

013保1评的联系

等级保护涵盖公安、保密、密码三个管理部门监管的三个方向，《网络安全法》第二十一条国家实行网络安全等级保护制度。等保、分保、密评共同组成《网络安全法》中要求的“网络安全等级保护制度”，才能真正履行网络安全等级保护制度。

分保是国家的重要组成部分，是等保在涉密领域的具体体现。等保是关保的基础，关键信息基础设施是等级保护的重点防护对象。商用密码应用安全是保障网络和信息系统安全的一项防护措施，也是保障关键基础设施安全的重要手段，关键基础设施必须按照密评相关标准、规定，开展密评工作。

等保是支撑国家网络安全的基本制度和开展关保和密评的基础，若无法将等级保护制度落实到位，则很难实现关保到位，密评工作也无法顺利进行。

023保1评的区别

等保、分保、关保、密评都是网络安全运营者应履行的责任和义务。没有哪一个重要、哪一个不重要的区别，他们之间只是在安全防护力度、角度存在一定差异。

/ 专业等保服务商