• 29

  2024-11

  ​关于开展“清朗·网络平台算法典型问题治理”专项行动的通知

  各省、自治区、直辖市党委网信办、通信管理局、公安厅（局）、市场监管局（厅、委），新疆生产建设兵团党委网信办、公安局、市场监管局： 《关于加强互联网信息服务算法综合治理的指导意见》（以下简称《指导意见》）《互联网信息服务算法推荐管理规定》等政策文件印发以来，各部门各地区加强组织推进，网站平台积极落实有关管理要求，算法应用生态日益规范，但仍存在一些需要持续加强治理的典型问题。为进一步深化互联网信息服务算法综合治理，现决定自即日起至2025年2月14日开展“清朗·网络平台算法典型问题治理”专项行动。有关工作方案如下： 一、主要任务 聚焦网民关切，重点整治同质化推送营造“信息茧房”、违规操纵干预榜单炒作热点、盲目追求利益侵害新就业形态劳动者权益、利用算法实施大数据“杀熟”、算法向上向善服务缺失侵害用户合法权益等重点问题，督促企业深入对照自查整改，进一步提升算法安全能力。 1.深入整治“信息茧房”、诱导沉迷问题。 构建“信息茧房”防范机制，提升推送内容多样性丰富性。严禁推送高度同质化内容诱导用户沉迷。不得强制要求用户选择兴趣标签，不得将违法和不良信息记入用户标签并据以推送信息，不得超范围收集用户个人信息用于内容推送。规范设置“不感兴趣”等负反馈功能。 2.提升榜单透明度打击操纵榜单行为。 全面公示热搜榜单算法原理，提升榜单透明度和可解释性。完善榜单日志留存，提高榜单算法原理可验证性。健全水军刷榜、水军账号等违规行为、账号检测识别技术手段，严管不法分子恶意利用榜单排序规则操纵榜单、炒作热点行为。 3.防范盲目追求利益侵害新就业形态劳动者权益。 严防一味压缩配送时间导致配送超时率、交通违章率、事故发生率上升等问题。详细公示时间预估、费用计算、路线规划等算法规则。搭建畅通的申诉渠道，及时受理劳动者因交通管制、交通事故、恶劣天气等不可控因素导致的配送超时等申诉。 4.严禁利用算法实施大数据“杀熟”。 严禁利用用户年龄、职业、消费水平等特征，对相同商品实施差异化定价行为。提升优惠促销透明度，清晰说明优惠券的领取条件、发放数量和使用规则等内容。客观如实说明优惠券领取失败原因，严禁以“来晚了”“擦肩而过”等提示词掩盖真实原因。 5.增强算法向上向善服务保护网民合法权益。 持续优化完善面向未成年人、老年人的算法推荐服务，便利未成年人、老年人获取有益身心健康的信息。建立健全算法在赋能优质内容传播、违法行为识别发现等方面的社会治理应用。持续提升生成合成信息检测识别能力，及时发现处理违法违规生成合成信息。 6.落实算法安全主体责任。 健全算法机制机理审核、数据安全的管理制度和技术措施。确保算法的训练数据具有合法来源，及时检测修复代码安全漏洞和算法逻辑缺陷，定期对算法模型的可用性、可控性、可解释性以及数据处理、模型训练、部署运行等环节开展安全评估。 二、工作目标 1.算法导向正确。 健全完善正能量优质内容池，优化算法推荐服务机制，积极传播正能量，促进算法应用向上向善；建立健全用于识别违法和不良信息的特征库，积极探索应用于识别违法和不良信息的算法、技术，防范和抵制传播不良信息。不得设置诱导用户沉迷、过度消费等的算法模型。不得利用算法干预信息呈现，实施影响网络舆论或者规避监督管理行为。 2.算法公平公正。 不得利用算法实施垄断和不正当竞争行为。保护劳动者合法权益，完善平台订单分配、报酬构成及支付、工作时间、奖惩等相关算法。保护消费者公平交易的权利，不得利用算法在交易价格等条件上实施不合理的差别待遇。 3.算法公开透明。 优化检索、排序、推送等规则的透明度和可解释性，预防和减少争议纠纷。以适当方式公示算法推荐服务的基本原理、目的意图、主要运行机制等，确保简单、清晰、可理解。 4.算法自主可控。 关闭算法推荐服务的选项操作便捷、功能有效。向用户提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能，便利用户自主选择兴趣领域。 5.算法责任落实。 建立健全算法安全管理制度和技术措施。定期审核、评估、验证算法机制机理、模型、数据和应用结果等，常态化开展算法安全自评估。算法“应备尽备”，备案信息发生变更的及时办理变更或者注销手续。 三、工作安排 专项行动自即日起至2025年2月14日，具体安排如下： 1.组织企业自查自纠（即日起至2024年12月31日）。 通过下发通知、召开专题会议等形式，部署属地重点网站平台对照重点任务，举一反三排查安全风险问题，简单问题立即整改，复杂问题明确整改举措和期限。 2.核验企业自查情况（2025年1月1日至2025年1月31日）。 积极落实属地管理责任，对照《算法专项治理清单指引》（附件），对企业自查自纠情况进行深入评估。对自查不认真、整改不彻底的企业，及时组织技术力量进行核查并督促整改。 3.深入评估治理成效（2025年2月14日前完成）。 各地网信部门会同有关部门，总结专项行动实施成效，结合专项行动开展情况，全面评估《指导意见》印发以来的算法治理举措及取得的积极成效，深入分析难点问题，制定今后一段时期的务实举措。 4.开设举报受理渠道（专项行动期间）。 各地网信部门在专项行动期间要及时公开算法问题举报渠道。对网民举报线索进行监测核实，督促存在问题的网站平台及时整改，并向网民反馈整改结果。 四、工作要求 1.抓好组织落实。 各地网信部门要发挥统筹协调作用，牵头开展专项行动。加强与属地电信、公安、市场监管等相关部门联动，细化工作分工，压实工作责任。运用好央地各方有效技术支撑力量，积极有效推动各项任务落实，确保取得工作成效。 2.依法依规处置。 要依法依规对违反有关法律法规的网站平台进行处置处罚，精准区分违法违规情形、影响、性质，实现宽严相济、过罚相当、有力有效。 3.压实平台责任。 要督促相关企业落实算法安全主体责任，认真梳理风险隐患，排查问题漏洞，客观真实反映存在的问题，及时深入开展整改。 4.推动长效治理。 要常态化开展算法服务安全风险监测防范工作，及时发现网站平台违规问题线索，并综合运用督促整改、现场检查、处置处罚等措施，提升算法常态化治理水平。 中央网络安全和信息化委员会办公室秘书局 工业和信息化部办公厅 公安部办公厅 国家市场监督管理总局办公厅 2024年11月12日

  MORE
• 

• 

• 22

  2024-11

  国家密码管理局发布《关键信息基础设施商用密码使用管理规定（征求意见稿）》

  关键信息基础设施商用密码使用管理规定 （征求意见稿） 第一条【目的依据】为了规范关键信息基础设施商用密码使用，保护关键信息基础设施安全，根据《中华人民共和国密码法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《商用密码管理条例》和《关键信息基础设施安全保护条例》、《网络数据安全管理条例》等有关法律、行政法规，制定本规定。 第二条【适用范围】依据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等法律、行政法规和国家有关规定认定的关键信息基础设施的商用密码使用管理，适用本规定。 第三条【管理部门职责】国家密码管理部门会同国家网信部门、国务院公安部门负责规划、指导和监督全国的关键信息基础设施商用密码使用管理工作，建立关键信息基础设施商用密码使用管理信息共享机制。 县级以上地方各级密码管理部门会同网信部门、公安机关负责指导和监督本行政区域的关键信息基础设施商用密码使用管理工作。 第四条【保护工作部门职责】关键信息基础设施保护工作部门（以下简称保护工作部门）在职责范围内负责监督管理本行业、本领域关键信息基础设施商用密码使用工作，单独编制本行业、本领域商用密码使用规划或者纳入本行业、本领域的关键信息基础设施安全规划并组织实施，指导本行业、本领域关键信息基础设施运营者（以下简称运营者）做好商用密码相关制度、人员、经费等保障。 保护工作部门应当于每年3月31日前向国家密码管理部门、国家网信部门、国务院公安部门报告上一年度本行业、本领域关键信息基础设施商用密码使用管理情况。 关键信息基础设施发生涉及商用密码的重大网络安全事件或者发现涉及商用密码的重大网络安全威胁时，保护工作部门应当及时向国家密码管理部门报告。 第五条【运营者总体责任】运营者应当按照相关法律、行政法规和国家有关规定，遵循国家商用密码管理、网络安全等级保护、关键信息基础设施安全保护等制度要求，使用商用密码保护关键信息基础设施，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。 运营者应当于每年1月31日前向所属的保护工作部门报告上一年度关键信息基础设施商用密码使用情况。第六条【制度保障】运营者应当加强关键信息基础设施商用密码使用制度保障，建立商用密码使用、应急处置、重大事件报告等关键信息基础设施商用密码使用管理制度。运营者的主要负责人对关键信息基础设施商用密码使用管理负总责，负责关键信息基础设施商用密码使用和涉及商用密码的重大网络安全事件处置工作。第七条【人员保障】运营者应当加强关键信息基础设施商用密码使用人员保障，配备取得密码相关专业学历或者密码相关国家职业技能等级认定证书的专业人员分别承担密钥管理员、密码操作员等职责，配备具有安全审计专业能力的人员承担密码安全审计员职责。运营者应当对密码相关专业人员进行安全背景审查，并定期组织其参加密码相关业务技能培训，提高密码相关专业人员的商用密码使用能力。第八条【经费保障】运营者应当加强关键信息基础设施商用密码使用和应用安全性评估经费保障，将商用密码使用和应用安全性评估经费纳入网络安全和信息化经费安排。第九条【商用密码技术、产品、服务使用要求】关键信息基础设施使用的商用密码产品、服务应当经检测认证合格，使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。为关键信息基础设施提供的商用密码服务，其商用密码使用要求应当不低于其服务的关键信息基础设施。运营者采购涉及商用密码的网络产品和服务，影响或者可能影响国家安全的，应当按照《网络安全审查办法》进行网络安全审查。第十条【数据安全保护、个人信息保护要求】关键信息基础设施应当按照国家数据安全保护、个人信息保护有关要求，使用商用密码对其存储、使用、传输的核心数据、重要数据和个人信息进行保护。第十一条【规划阶段要求】关键信息基础设施规划阶段，其运营者应当依照相关法律、行政法规和标准规范，根据商用密码应用需求，制定商用密码应用方案，规划商用密码保障系统并纳入关键信息基础设施安全规划统筹部署。运营者应当自行或者委托商用密码检测机构对商用密码应用方案进行商用密码应用安全性评估。商用密码应用方案未通过商用密码应用安全性评估的，不得作为商用密码保障系统的建设依据。第十二条【建设阶段要求】关键信息基础设施建设阶段，其运营者应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施，落实商用密码安全防护措施，建设商用密码保障系统。建设过程中需要调整商用密码应用方案的，应当重新开展商用密码应用安全性评估，评估通过后方可按照调整后的商用密码应用方案继续建设。 关键信息基础设施运行前，其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。关键信息基础设施未通过商用密码应用安全性评估的，运营者应当进行改造，改造期间不得投入运行。第十三条【运行阶段要求】关键信息基础设施建成运行后，其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估，确保关键信息基础设施商用密码的正确使用和商用密码保障系统的有效运行。关键信息基础设施未通过商用密码应用安全性评估的，运营者应当进行改造，并在改造期间采取必要措施保证关键信息基础设施运行安全。第十四条【过渡安排】本规定施行前正在建设的关键信息基础设施，其运营者应当加强商用密码应用方案编制论证，建设完善商用密码保障系统，并按照本规定第十二条开展商用密码应用安全性评估。 本规定施行前已经投入运行的关键信息基础设施，其运营者应当按照本规定第十三条开展商用密码应用安全性评估。第十五条【商用密码应用安全性评估要求】开展关键信息基础设施商用密码应用安全性评估，应当符合《商用密码应用安全性评估管理办法》有关规定。 关键信息基础设施商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评加强衔接，避免重复评估、测评。第十六条【商用密码运行安全管理】国家密码管理部门负责建设和管理国家关键信息基础设施商用密码运行安全管理基础设施，统筹保护工作部门建设本行业、本领域关键信息基础设施商用密码运行安全管理基础设施，会同国家网信部门、国务院公安部门分析研判关键信息基础设施商用密码运行安全态势，协同做好重大商用密码运行安全威胁应对措施。第十七条【商用密码使用情况监督检查】密码管理部门应当定期组织开展关键信息基础设施商用密码使用情况监督检查。保护工作部门应当定期对本行业、本领域关键信息基础设施商用密码使用情况进行检查并提出改进措施，必要时可以自行或者委托商用密码检测机构等专业机构进行商用密码应用安全性评估。运营者对密码管理部门和保护工作部门开展的关键信息基础设施商用密码使用情况监督检查应当予以配合，根据监督检查意见及时进行整改并向保护工作部门报告整改情况，保护工作部门应当将整改情况向国家密码管理部门报告。开展关键信息基础设施商用密码使用情况监督检查应当加强协同配合、信息沟通，避免不必要的检查和交叉重复检查。监督检查不得收取费用，不得要求被监督检查单位购买、使用指定单位或者指定品牌的商用密码产品、服务。第十八条【保密义务】密码管理部门、有关部门、商用密码检测机构及其工作人员对其在履行职责中知悉的国家秘密、商业秘密和个人隐私承担保密义务，不得泄露或者非法向他人提供。第十九条【违反商用密码使用要求罚则】运营者违反《中华人民共和国密码法》、《中华人民共和国网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例》和本规定有关条款，有下列情形之一的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：（一）未按照要求使用商用密码保护关键信息基础设施，同步规划、同步建设、同步运行商用密码保障系统的；（二）关键信息基础设施使用的商用密码产品、服务未经检测认证合格的；（三）关键信息基础设施使用的密码算法、密码协议、密钥管理机制等商用密码技术未通过国家密码管理部门审查鉴定的；（四）关键信息基础设施规划阶段，未制定商用密码应用方案，或者未对商用密码应用方案进行商用密码应用安全性评估的；（五）关键信息基础设施建设阶段，未按照通过商用密码应用安全性评估的商用密码应用方案建设商用密码保障系统的；（六）关键信息基础设施运行前，未开展商用密码应用安全性评估，或者未通过商用密码应用安全性评估且未进行改造的；（七）关键信息基础设施建成运行后，未定期开展商用密码应用安全性评估，或者未通过定期开展的商用密码应用安全性评估且未进行改造的。第二十条【违反安全审查要求罚则】运营者违反《中华人民共和国密码法》、《中华人民共和国网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例》和本规定第九条，使用未经安全审查或者安全审查未通过的涉及商用密码的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额1倍以上10倍以下罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。第二十一条【违反监督管理配合义务罚则】运营者违反《中华人民共和国密码法》、《中华人民共和国网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例》和本规定第十七条，无正当理由拒不接受、不配合或者干预、阻挠密码管理部门、有关部门的商用密码监督管理的，由密码管理部门、有关部门责令改正，给予警告；拒不改正或者有其他严重情节的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节特别严重的，责令停业整顿。第二十二条【违反商用密码保障责任罚则】运营者违反本规定，有下列情形之一的，由密码管理部门、有关部门依据职责责令改正：（一）未按照要求报告上一年度关键信息基础设施商用密码使用情况的；（二）未建立关键信息基础设施商用密码使用管理制度的；（三）未按照要求配备密钥管理员、密码操作员、密码安全审计员的；（四）未保障关键信息基础设施商用密码使用和应用安全性评估经费的。第二十三条【监督管理人员罚则】从事关键信息基础设施商用密码使用监督管理工作的人员滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的，依法给予处分。第二十四条【激励措施】国家密码管理部门会同国家网信部门、国务院公安部门、保护工作部门定期通报表扬关键信息基础设施商用密码使用先进单位和突出事迹。第二十五条【制度衔接】属于国家政务信息系统的关键信息基础设施，除应当遵守本规定以外，还应当按照《国家政务信息化项目建设管理办法》（国办发〔2019〕57号）等有关规定要求开展商用密码使用管理工作。第二十六条【施行日期】本规定自××××年××月××日起施行。关于《关键信息基础设施商用密码使用管理规定（征求意见稿）》的说明 现就《关键信息基础设施商用密码使用管理规定（征求意见稿）》作如下说明。 一、制定的必要性 （一）制定《规定》是贯彻落实党中央、国务院关于商用密码管理决策部署的必然要求。《中华人民共和国密码法》提出了“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估”的要求。《商用密码管理条例》进一步明确关键信息基础设施“同步规划、同步建设、同步运行商用密码保障系统”，以及依法依规使用商用密码技术、产品、服务等要求。《关键信息基础设施安全保护条例》明确“关键信息基础设施中的密码使用和管理，还应当遵守相关法律、行政法规的规定”。有必要制定《规定》，按照商用密码依法管理要求，细化关键信息基础设施商用密码使用管理要求。 （二）制定《规定》是保护关键信息基础设施安全的重要举措。目前，关键信息基础设施运营者已经开始开展商用密码相关建设，但由于缺乏管理法规制度的具体指导和约束，部分网络与信息系统建设未深入分析商用密码使用需求并体系化加以解决，机械堆叠商用密码产品，或者简单实施外挂式、补丁式改造，商用密码应用的合规性、正确性、有效性难以保证；个别网络与信息系统仍然使用未经检测认证合格的商用密码产品、服务或者未经审查鉴定的商用密码技术，存在较大安全隐患。有必要制定《规定》，规范关键信息基础设施商用密码使用，保护关键信息基础设施安全。 （三）制定《规定》是进一步满足关键信息基础设施安全保护需求的实践需要。关键信息基础设施保护工作部门指导关键信息基础设施运营者按照密码管理相关法律法规要求开展商用密码使用工作的过程中，结合实践提出了一系列意见建议，包括进一步明确制度、人员、经费保障等方面的依据，规划、建设、运行等各阶段的要求，运行安全管理、监督检查等职责，与网络安全等级保护、关键信息基础设施安全保护、数据安全保护、个人信息保护等工作的关系等。有必要制定《规定》，明确法规依据、细化制度规定，推进有关工作要求更加精准落地实施。 二、起草过程 2023年修订后的《商用密码管理条例》颁布实施以来，国家密码管理局、国家互联网信息办公室、公安部联合开展《规定》制定工作，经过深入研究论证、反复修改完善，于2024年6月形成征求意见稿，先后面向关键信息基础设施保护工作部门、国家有关部门以及各省（区、市）密码管理部门征求意见。根据征求意见情况，对征求意见稿作了进一步修改完善，形成公开征求意见稿。 三、制定的主要思路 （一）坚持依法管理原则。严格依据《中华人民共和国密码法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《商用密码管理条例》和《关键信息基础设施安全保护条例》、《网络数据安全管理条例》等有关法律、行政法规中关键信息基础设施商用密码使用相关要求，制定关键信息基础设施商用密码使用管理各项措施，并做好与相关政策法规的衔接协调。 （二）明确划分各方职责。关键信息基础设施商用密码使用管理涉及单位多，其中，密码管理部门、网信部门、公安机关为管理部门，保护工作部门为行业领域监督管理部门，运营者为直接责任主体，明确划分各方权力、义务和责任。 （三）科学规范监管制度。针对关键信息基础设施商用密码管理涉及的商用密码技术、产品、服务等内容，围绕规划、建设、运行等各阶段，提出具体规范要求，并明确运行安全管理、监督检查、保密义务等管理事项。 四、主要内容 征求意见稿共26条。第1条至第4条规定了起草目的依据、适用范围，管理部门和保护工作部门的职责。第5条至第8条强化运营者责任，包括运营者总体责任以及制度保障、人员保障、经费保障。第9条至第15条明确了商用密码使用具体要求，包括商用密码技术、产品、服务使用要求，数据安全保护、个人信息保护要求，规划、建设、运行等阶段要求以及过渡安排，商用密码应用安全性评估要求。第16条至第23条为监督检查和法律责任，包括运行安全管理、监督检查、保密义务，以及相关违法情形与法律责任。第24条至第26条规定了激励措施、制度衔接和施行日期。 五、发布形式 由国家密码管理局、国家互联网信息办公室、公安部发布部门联合规章。 来源：国家密码管理局

  MORE

• 01

  2024-08

  【安全资讯】8月1日正式施行！一图读懂《网络暴力信息治理规定》

  来源：公安部网安局

  MORE
• 

• 

• 18

  2024-07

  【安全资讯】解读网络安全“3保1评”

  什么是“3保1评”？ 等保、分保、关保、密评是安全领域所指的“3保1评”。 等保：网络安全等级保护。指国家通过制定统一的安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护。 分保：涉密信息系统分级保护。指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护。 关保：关键信息基础设施保护。针对面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统、工业控制系统等关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。密评：商用密码应用安全评估。指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行泙估。 等保工作简介 1 等保的发展 等保1.0：2007年6月，公安部发布《信息安全等级保护管理办法》（公通字[2007]43号），标志着等级保护1.0的正式启动。 等保2.0：2019年5月13日，国家市场监督管理总局、国家标准化管理委员会发布了3个网络安全领域的国家标准（2019年12月1日起实施）： •《信息安全技术 网络安全等级保护基本要求》（GBT 22239-2019） •《信息安全技术 网络安全等级保护安全设计技术要求》（GBT 25070-2019） •《信息安全技术 网络安全等级保护测评要求》（GBT 28448-2019） 标志着我国进入等级保护2.0时代。 2 相关法律法规 《中华人民共和国计算机信息系统安全保护条例》（国务院147号今，1994年） 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发【2003】27号） 《关于信息安全等级保护工作的实施意见》（公通宇【2004】66号 《信息安全等级保护管理办法》（公通字【2007】43号） 〈关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安【2007】861号） 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技【2008】2071号 《网络安全法》2016年 2019年5月13日正式发布等级保护2.0版本《信息安全技术网络安全等级保护基本要求》 3 等保的级别 根据信息系统受到破坏后，对公民、法人和其他组织的合法权益，以及对公共利益、社会秩序和国家安全的损害程度，等级保护分为五级： 第一级：自主保护级 第二级：指导保护级 第三级：监督保护级 第四级：强制保护级 第五级：专控保护级 4 等保工作流程定级➡备案➡安全建设整改➡等级测评➡监督检查。 分保工作简介 1 分保的发展 涉密信息系统的分级保护依据《保守国家秘密法》《涉及国家秘密的信息系统分级保护管理办法》（国保发[2005]16号）等法律法规开展。 2 相关法律法规 《关于加强信息安全保障工作中保密管理的若干意见》（中保委发【2004】7号 《涉及国家秘密的信息系统分级保护管理办法》（国保发【2005】16号） 《国家保密法》（2010年） 《网络安全等级保护条例（征求意见稿）》 3 分保的级别 秘密级、机密级信息系统：应每两年至少进行一次安全保密测评或保密检查； 绝密级信息系统：应每年至少进行一次安全保密测评或保密检查。 4 分保工作流程系统定级➡方案设计➡工程实施➡系统测评➡系统审批➡日常管理➡测评与检查➡系统废止。 关保工作简介 1 关保的发展 2017年7月10日，国家互联网信息办公室发布《关键信息基础设施安全保护条例（征求意见稿）》； 2019至2021年，《关键信息基础设施安全保护条例》连续三年纳入国家立法计划； 2021年4月27日，经国务院第133次常务会议通过； 2021年7月30日，国务院总理李克强签署中华人民共和国国务院令第745号公布，自2021年9月1日起施行。 2 相关法律法规 《中华人民共和国网络安全法》 《中华人民共和国密码法》 《关键信息基础设施安全保护条例征求意见稿）》 3 关键信息基础设施安全防护能力等级 关键信息基础设施安全防护能力依据5个能力域完成程度的高低进行分级评估，包括3个能力等级，从能力等级1到能力等级3，逐级增高，能力等级之间为递进关系，高一级的能力要求包括所有低等级能力要求。 4 关保工作流程识别认定➡安全防护➡检测评估➡监测预警➡应急处置。 密评工作简介 1 密评的发展 《商用密码应用安全性评估管理办法（试行）》（2017年4月22日起施行） 《信息系统密码应用基本要求》（GMT 0054-2018 ） 2 相关法律法规 《中华人民共和国密码法》 《国家政务信息化项目建设管理办法》 3 密评内容 对采用商用密码技术、产品和服务集成建设的网络和信息系统，对其密码应用的合规性、正确性、有效性进行评估。 4 密评工作流程确定评估对象➡开展测评工作➡输出密码测评报告➡密评结果上报 3保1评的联系与区别 联系 等级保护涵盖公安、保密、密码三个管理部门监管的三个方向，《网络安全法》第二十一条国家实行网络安全等级保护制度。等保、分保、密评共同组成《网络安全法》中要求的“网络安全等级保护制度”，才能真正履行网络安全等级保护制度。 分保是国家的重要组成部分，是等保在涉密领域的具体体现。等保是关保的基础，关键信息基础设施是等级保护的重点防护对象。商用密码应用安全是保障网络和信息系统安全的一项防护措施，也是保障关键基础设施安全的重要手段，关键基础设施必须按照密评相关标准、规定，开展密评工作。 等保是支撑国家网络安全的基本制度和开展关保和密评的基础，若无法将等级保护制度落实到位，则很难实现关保到位，密评工作也无法顺利进行。 区别 等保、分保、关保、密评都是网络安全运营者应履行的责任和义务。没有哪一个重要、哪一个不重要的区别，他们之间只是在安全防护力度、角度存在一定差异。 来源：twt企业IT社区，本转载内容仅供读者交流学习，版本归原作者所有。

  MORE