我經(jīng)常在和人探討等級保護(hù)時會注意區(qū)別等級保護(hù)制度和等級保護(hù)測評之間的關(guān)系。因?yàn)?，社會上或者說市場上，大家把等級保護(hù)測評等同于等級保護(hù)的人太多了，所以在這里有必要再做一次區(qū)分。

首先，我們要知道等級保護(hù)制度是以公安機(jī)關(guān)為主導(dǎo)的一項(xiàng)國家基本國策，而在1.0時代，我們知道關(guān)于等級保護(hù)相關(guān)政策文件，都是以國信辦、公安部、國家密碼管理、國家保密局四家單位聯(lián)合發(fā)布。《信息安全等級保護(hù)管理辦法》中也明確了，等級保護(hù)涵蓋三個大方向的內(nèi)容，即公安機(jī)關(guān)監(jiān)管的非涉密信息系統(tǒng)、國家保密局監(jiān)管的涉密信息系統(tǒng)以及國家密碼管理監(jiān)管的密碼方向。所以，在1.0時代這三者共同組成了我們的1.0時代的等級保護(hù)。

而到了2.0時代，《網(wǎng)絡(luò)安全法》第二十一條明確了國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。在歷史沿革中，我們常常用信息安全，經(jīng)《網(wǎng)絡(luò)安全法》確定后“信息安全”屬于上改為“網(wǎng)絡(luò)安全”，有歷史原因，但是這二者是同質(zhì)異名，而網(wǎng)絡(luò)安全的范疇更廣了。網(wǎng)絡(luò)安全法對該制度的名稱作了調(diào)整，改為網(wǎng)絡(luò)安全等級保護(hù)制度，對其主要內(nèi)容作了規(guī)定。國務(wù)院有關(guān)部門應(yīng)當(dāng)根據(jù)本法完善相關(guān)配套規(guī)定，確保網(wǎng)絡(luò)安全等級保護(hù)制度落到實(shí)處。

回到今天的主題，其實(shí)大家接觸密碼評估是近兩年的事情，很多朋友對這個的理解和前幾年對等級保護(hù)的理解是一樣的，總認(rèn)為這事情是突然一聲炸雷一下，蹦出來的事務(wù)。其實(shí)不然，在《信息安全等級保護(hù)管理辦法》是2007年6月22日發(fā)布，而國家密碼管理局同年11月27日發(fā)布了《信息安全等級保護(hù)商用密碼管理辦法》，而這個管理辦法的制定依據(jù)是《信息安全等級保護(hù)管理辦法》《商用密碼管理?xiàng)l例》，再次以文件的形式明確密碼管理是等級保護(hù)的一部分，當(dāng)然也再次否定所謂做測評就是過等級保護(hù)這個誤解。

等級保護(hù)工作要求“三同步”，在規(guī)劃之初就需要考慮滿足等級保護(hù)相關(guān)政策和標(biāo)準(zhǔn)要求，大家在落實(shí)等級保護(hù)過程中，是落實(shí)等級保護(hù)制度要求，所以在這里需要考慮滿足非涉密系統(tǒng)(以非涉密系統(tǒng)為例)的技術(shù)和管理要求，所以需要在規(guī)劃之初考慮《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》等國家標(biāo)準(zhǔn)，根據(jù)要求依據(jù)對應(yīng)的技術(shù)標(biāo)準(zhǔn)考慮如何實(shí)現(xiàn)對應(yīng)的要求，在方案里予以明確，依據(jù)國家標(biāo)準(zhǔn)進(jìn)行安全建設(shè)。