企业安全—三保一评

0x00 前言

本篇主要是讲解三保一评的基础知识，以及对为什么要进行这些内容的原因进行总结。

0x01 整体

1.概述

三保分别是，分保，等保，关保。
分保就是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，简称涉密信息系统分级保护
等保就是指网络安全等级保护，是指国家通过制定统一的安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护。根据《信息安全技术 网络安全等级保护基本要求》，等保定级分为5级。常听到的就是一级不用保，五级保不了。
关保是指：国家通过制定统一的关税保护管理规范和法规，对跨境贸易进行监管和保护。
一评指的密评，对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估，简称商用密码应用安全评估。

2.四者之间的关系

来看这一张图，这张图是从网上抄的，侵权的话联系我删除。从这张图可以很好的看出来，三保一评的关系。

3.四者之间的对比

0x01 分保概述

针对涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护的简称。与此有关的法律法规主要有《关于加强信息安全保障工作中保密管理的若干意见》《涉及国家秘密的信息系统分级保护管理办法》以及《国家保密法》。

1.等级划分

涉密信息系统按照所处理信息的最高密级，由低到高分为秘密，机密，绝密三个等级

2.相关部门

国家保密工作部门〔国家保密局、各省保密局、各地市市保密局〕

国务院主管全国保密工作的职能部门。1988年4月国务院机构改革，国务院设立国家保密局，为国务院部委归口管理的国家局，是主管全国保密工作的职能部门。

主要任务是加强保密工作方针、政策和理论的研究；不断完善各项保密法规，逐步建立起完备的保密法规体系；抓好全国保密工作的宏观管理、指导、检查、组织、协调等工作，维护国家的安全和利益，保障改革开放和社会主义建设事业的顺利进行。

中央和国家机关：主管和指导

建设使用单位：具体实施

3.频率

秘密级和机密级两年一次
绝密级一年一次

0x02 等保概述

国家通过制定统一的安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护。与此有关的法律法规主要有《中华人民共和国计算机信息系统安全保护条例》、《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等。

1.等级划分

1-5级别，比较常见的是2，或者3级。

2.相关部门

1.公安机关：负责信息安全等级保护工作的监督、检查、指导。
2.国家保密工作部门：负责等级保护工作中有关保密工作的监督、检查、指导。
3.国家密码管理部门：负责等级保护工作中有关密码工作的监督、检查、指导。
4.国务院信息化工作办公室及地方信息化领导小组办事机构：负责信息安全等级保护工作中部门间的协调。
5.信息系统的主管部门：依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

3.频率

二级，两年一次
三级，一年一次
四级，半年一次

0x03 关保

面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统、工业控制系统等关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护的简称。与此有关的法律法规主要有《中华人民共和国网络安全法》《中华人民共和国密码法》《关键信息基础设施安全保护条例》等。

1.等级

保护等级分为一级、二级和三级，一级保护是指对国家安全、社会秩序、公共利益等方面具有特别严重危害后果的关键信息基础设施实施的保护；二级保护是指对重要领域或区域的重要信息基础设施实施的保护；三级保护是指对一般领域或区域的信息基础设施实施的保护。

2.相关部门

1.国家网信部门：统筹协调国家关键信息基础设施安全保护工作。
2.国务院公安部门：负责指导监督关键信息基础设施安全保护工作。
3.国务院电信主管部门和其他有关部门：依照相关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
4.省级人民政府有关部门：依据各自职责对关键信息基础设施实施安全保护和监督管理。

3. 频率

每年一次

0x04 密评

对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估的简称。与此有关的法律法规主要有《中华人民共和国密码法》《国家政务信息化项目建设管理办法》等。

1. 等级划分

1-5个等级

2.相关部门

国家密码管理局：根据《中华人民共和国密码法》的规定，国家密码管理局是负责指导和监督商用密码应用和管理工作的机关。
商用密码应用安全性评估试点机构：这些机构负责执行商用密码应用安全性评估工作，并对使用和管理商用密码的单位或组织进行评估和监督。

3.频率

每年一次

其他知识

企业安全是指保护企业资源免受内部和外部威胁的一系列措施。这些资源可能包括人员、设备、数据、网络、资金、知识产权和声誉等。企业安全包括物理安全、网络安全、信息安全、风险管理、应急响应等各个方面。企业需要建立健全的安全战略，培训员工，采用适当的技术和措施来保护其财产和知识产权，并遵守相关的法律法规，以提高其安全的水平。企业安全是保障企业稳定与发展的重要组成部分，关系到企业的经济效益、声誉和社会形象。