近年来，我国通过立法手段颁布了多项网络安全领域的重要法律法规。有力的推动我国的网信事业快速发展，并取得历史性成就。网络安全行业处处在讲“三保一评”，很多人都听过这个热门词汇，但对于其具体概念却是模糊的。“三保一评”在多数人心中，是那位“最熟悉的陌生人”。我们希望能通过阅读此篇文章，为大家做好基础科普，理清底层逻辑。

什么是等保？

等保，即网络安全等级保护，是指国家通过制定统一的安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护。根据《信息安全技术 网络安全等级保护基本要求》，等保定级分为5级。

为什么要做等保？

其一，网络安全法明确“国家实行网络安全等级保护制度”（第21条）、“国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国际民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”（第31条）。

其二，等级保护工作是保障我国网络安全的基本动作，目前各单位需按照所在行业及保护对象重要程度，依据网络安全法及相关部门要求，按照“同步规划、同步建设、同步使用”的原则，开展等级保护工作。

等保包含哪些内容？

等保包括安全通用要求和安全扩展要求。安全通用要求细分为技术要求和管理要求，其中技术要求包括“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”；管理要求包括“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”、“安全运维管理”。

安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。

等保工作就是做个测评吗？

等级保护工作包括系统定级、备案、测评、建设整改、监督审查，测评只是其中一项。测评不是等保工作的结束，重要的是通过测评查漏补缺，不断改进提升安全防护能力，降低安全风险。等保的工作流程如下：

定级：定级是首要环节，步骤如下：确定定级对象，初步确认定级对象，专家评审，主管部门审核、公安机关备案审查。

备案：备案是核心，运营单位持定级报告和备案表到当地公安机关网安部门进行备案。

建设整改：建设整改是关键，依据信息系统当前等级要求和标准，对信息系统进行整改加固。

等级测评：等级测评是评价方法，委托具备测评资质的测评机构对信息系统进行等级测评，形成正式的测评报告。

监督检查：监督检查是保障，运营单位向当地公安机关网安部门提交测评报告，配合完成对信息安全等级保护实施情况的检查。公安机关网安部门的监督检查工作贯穿等保工作的全流程。

等保的测评周期为：二级信息系统每两年测评一次；三级信息系统每年测评一次；四级信息系统每半年测评一次。

什么是分保？

分保，即涉密信息系统分级保护，是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全。

为什么要做分保？

《中华人民共和国保守国家秘密法》第二十三条规定：存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照涉密程度实行分级保护。《涉及国家秘密的信息系统分级保护管理办法》（国保发[2005]16号）也提到了相关要求。

分保包含哪些内容？

分保工作按照《涉及国家秘密的信息系统分级保护管理规范》BMB20-2007和《涉及国家秘密的信息系统分级保护技术要求》BMB17-2006的相关要求进行。

分级保护定级分3个等级：涉密信息系统应根据所处理信息的最高密级，由低到高划分为秘密、机密、绝密三个等级。分别与等级保护对应，秘密级对应等保三级、机密级对应等保四级、绝密级对应等保五级。

秘密级、机密级信息系统需每两年进行一次分级保护评测，绝密级信息系统每年进行一次分级保护评测。

什么是关保？

关保，全称关键信息基础设施保护。关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。所以关保就是关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。

为什么要做关保？

其一，政策要求。国家市场监督管理总局批准发布《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022），该标准将于2023年5月1日正式实施。

其二，关键信息基础设施一旦遭到攻击破坏或数据泄漏，将严重危害国家安全、国计民生、经济发展。关保在落实网络安全等级保护制度为基础上实施关键信息基础设施保护，与我国的网络安全整体形势以及键信息基础设施安全需求相适应，推动我国网络安全保护工作的发展。

关保包含哪些内容？ 

《关键信息基础设施安全保护条例》第五条规定：国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动。

关保的流程主要包括：识别认定、安全防护、检测评估、监测预警和事件处置五个环节。

识别认定：运营者配合安全保护工作部门，开展关键信息基础设施识别和认定活动，围绕关键信息基础设施承载的关键业务，开展风险识别。

本环节是开展安全防护、检测评估、监测预警、事件处置等环节工作的基础。

安全防护：运营者根据已识别的安全风险，在规划、人员、数据、供应链等方面制定和实施适当的安全防护措施，确保关键信息基础设施的运行安全。

本环节在认定关键信息基础设施及识别其安全风险的基础上制定安全防护措施。

检测评估：为检验安全防护措施的有效性，发现网络安全风险隐患，运营者制定相应的检测评估制度，确定检测评估的流程及内容等要素，并分析潜在安全风险可能引起的安全事件。

监测预警：为检验安全防护措施的有效性，运营者制定并实施网络安全监测预警和信息通报制度，针对即将发生或正在发生的网络安全事件或威胁，提前或及时发出安全警示。

事件处置：对网络安全事件进行处置，并根据检测评估、监测预警环节发现的问题，运营者制定并实施适当的应对措施，恢复由于网络安全事件而受损的功能或服务。

什么是密评？

密评，全称商用密码应用安全性评估，指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。

为什么要做密评？

其一，开展密评，是国家网络安全和密码相关法律法规提出的明确要求，是法定责任和义务。

《网络安全法》第十条规定，建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，维护网络数据的完整性、保密性和可用性。

《密码法》第二十七条：法律、行政法规和国家有关规定要求使用密码进行保护的关键信息基础设施，其运营者应当使用密码进行保护，自行或者委托密码检测机构开展密码应用安全性评估。

《商用密码应用安全性评估管理办法(试行)》第十条规定，关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。

其二，密评是系统安全维护的必然要求，密码应用是否合规、正确、有效，涉及密码算法、协议、产品、技术体系、密钥管理、密码应用多个方面。因此，需委托专业机构、专业人员，采用专业工具和专业手段，对系统整体的密码应用安全进行专项测试和综合评估，形成科学准确的评估结果，以便及时掌握密码安全现状，采取必要的技术和管理措施。

密评包含哪些内容？

商用密码应用安全性评估包括两部分内容：信息系统规划阶段对密码应用方案进行评审/评估和建设完成后对信息系统开展的实际测评。

密码应用方案评估包括密码应用解决方案评估、实施方案评估和应急处置方案评估。

对建设完成后的信息系统开展的实际测评内容包括：物理和环境测评、网络和通信测评、设备和计算测评、应用和数据测评、密钥管理测评、安全管理测评。

密评怎么开展？

密评的工作流程如下：

确定评估对象➡开展测评工作➡输出密码测评报告➡密评结果上报。

三保一评的联系

三保一评的区别