CC认证、等级保护及评测是我国网络安全领域重要的概念,它们之间既有区别又存在一定的联系,以下为你详细介绍:
区别
- 概念含义
- CC认证:CC即“信息技术安全评估通用准则(Common Criteria for Information Technology Security Evaluation)”,它是国际上广泛认可的信息技术安全评估标准,CC认证是依据该准则,对信息技术产品和系统进行安全性评估和认证的过程,旨在确定产品或系统是否满足特定的安全要求。
- 等级保护:全称为信息安全等级保护,是我国在国家层面推动的一项信息安全保障制度,它根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,将信息系统划分为不同的安全保护等级,并采取相应的安全保护措施。
- 评测:通常指网络安全评测,是一个较为宽泛的概念,它可以基于各种标准和要求,对网络系统、设备、应用等进行安全性能、功能等方面的测试和评估,以发现安全隐患和漏洞,评测可以依据等级保护标准、CC标准,也可以根据其他特定的行业规范或企业自身需求来开展。
- 适用范围
- CC认证:主要适用于信息技术产品,如操作系统、防火墙、路由器等,侧重于产品的安全性评估,以满足国际市场或特定行业对产品安全的要求。
- 等级保护:适用于我国境内的所有信息系统,包括政府部门、金融、能源、电信等各个行业的信息系统,涵盖了从基础网络到应用系统的各个层面。
- 评测:适用范围更为广泛,可以针对信息系统、产品、项目等进行全面的安全评估,既可以是对遵循等级保护要求的信息系统进行评测,也可以是对准备进行CC认证的产品进行预评估等。
- 标准依据
- CC认证:依据国际通用的《信息技术安全评估通用准则》(ISO/IEC 15408),该准则为安全评估提供了一个通用的框架和方法。
- 等级保护:依据我国的《信息安全等级保护管理办法》《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》等一系列国家标准和规范。
- 评测:评测的标准依据可以多样化,可能会根据不同的评测目的和对象,选择等级保护标准、CC标准、行业特定标准或企业内部标准等。
- 实施主体
- CC认证:通常由专门的认证机构进行,这些机构需要经过国家相关部门的认可,具备相应的评估资质和能力。
- 等级保护:由信息系统运营、使用单位按照国家相关要求自主开展定级、备案、建设整改、测评等工作,公安机关对等级保护工作进行监督、检查和指导。
- 评测:可以由专业的评测机构、企业内部的安全团队或第三方安全服务提供商来实施。
联系
- 目标一致:三者的最终目标都是为了提高信息系统和信息技术产品的安全性,保护国家、企业和个人的信息安全,无论是CC认证、等级保护还是评测,都是通过对系统和产品进行评估和改进,降低安全风险,保障信息系统的稳定运行。
- 相互补充:CC认证为信息技术产品提供了国际认可的安全评估标准和方法,等级保护则是我国根据国情制定的信息安全保障制度,两者可以相互补充,在实际工作中,对于一些涉及国际业务或对产品安全性有较高国际标准要求的企业,可以在实施等级保护的基础上,考虑进行CC认证,评测则可以作为等级保护和CC认证过程中的重要手段,通过评测发现问题,为系统和产品的安全改进提供依据。
- 评测为认证和等级保护服务:评测工作可以为CC认证和等级保护的实施提供技术支持,在CC认证过程中,需要对产品进行严格的评测,以确定其是否符合CC标准的要求;在等级保护工作中,测评是重要的环节之一,通过对信息系统进行测评,评估其是否达到相应等级的安全要求,为等级保护的合规性提供依据。
