"四位一体"安全体系建设通过顶层设计,将等保、关保、密评、数评四项措施整合规划实施,实现安全合规工作的统筹规划、统一实施、协同运维,有效降低合规成本,提升整体安全防护水平

五大安全合规详解

深入理解各项安全制度的核心要求与适用范围

分保(涉密信息系统分级保护)

定义:依据《中华人民共和国保守国家秘密法》及其实施条例,对处理国家秘密的信息系统,按照涉密等级(秘密、机密、绝密)实施差异化、强制性的安全保密防护措施。

对象:各级党政机关、军队、国防科技工业单位、中央企业等涉密资质单位建设或使用的涉密信息系统。

核心要求:

  • 系统须实现物理隔离(不得接入互联网或非涉密网络)
  • 严格执行最小授权、三员分立(系统管理员、安全保密管理员、安全审计员)
  • 采用经国家密码管理局批准的密码产品(如SM系列算法)进行数据加密与身份认证
  • 定期开展安全保密测评:秘密级、机密级系统每2年一次,绝密级系统每年一次
  • 测评由国家保密行政管理部门授权机构实施,未通过者不得运行

等保(网络安全等级保护)

定义:我国网络安全基础性制度,依据《网络安全法》第21条、第31条建立,对非涉密网络与信息系统按其在国家安全、经济建设、社会生活中的重要程度,划分为五个安全保护等级(一级至五级,三级为关键门槛)。

对象:覆盖所有在中国境内运营的网络运营者,包括企业、事业单位、政务平台等;等保2.0(GB/T 22239-2019)将云计算、物联网、工业控制系统、大数据平台、移动互联等纳入保护范围。

核心要求:

  • 实施"定级→备案→建设整改→等级测评→监督检查"全流程闭环管理
  • 第三级及以上系统须每年开展一次等级测评,并向属地公安机关备案
  • 强调"一个中心、三重防护"技术架构,融合可信计算、安全审计、集中管控
  • 云服务模式下,云平台与租户责任共担,双方均需履行等保义务

关保(关键信息基础设施安全保护)

定义:在等保基础上,对关键信息基础设施(CII)实施更高强度、更精细化的动态防护,防范重大网络安全事件对国家安全、国计民生、公共利益造成严重危害。

对象:能源、金融、交通、水利、卫生健康、教育、电信、广播电视、公共服务等重要行业和领域中,一旦遭到破坏、丧失功能或数据泄露可能造成严重后果的核心业务系统(如电网调度系统、银行支付清算系统、民航运行控制系统)。

核心要求:

  • 遵循《关键信息基础设施安全保护条例》及GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》
  • 建立"分析识别→安全防护→检测评估→监测预警→主动防御→事件处置"六环节动态防护体系
  • 优先采购安全可信的网络产品和服务,落实供应链安全管理
  • 运营者须设立专门安全管理机构,主要负责人负总责,每年至少组织一次应急演练
  • 接受国家网信部门统筹协调和行业主管部门监督管理

密评(商用密码应用安全性评估)

定义:依据《密码法》第26条,对使用商用密码技术保护网络与信息系统的安全性、合规性、有效性进行系统性评估。

对象:

  • 关键信息基础设施
  • 等保第三级及以上信息系统
  • 政务信息系统
  • 法律、行政法规或国家网信部门规定的其他重要系统

核心要求:

  • 依据GB/T 39786-2021《信息安全技术 信息系统商用密码应用基本要求》开展
  • 从物理和环境、网络和通信、设备和计算、应用和数据四个层面评估密码应用
  • 评分结构:技术部分70分 + 管理部分30分,总分≥60分且无高风险项方可通过
  • 实行年度评估制度,新建系统应在上线前完成密评
  • 密码产品须具备国家密码管理局核准的型号证书(如支持SM2/SM3/SM4/SM9)

数评(数据安全评估)

定义:基于《数据安全法》《个人信息保护法》,对组织在数据全生命周期(采集、存储、使用、加工、传输、提供、公开、删除)中的安全管理能力进行合规性与有效性评估。

对象:

  • 处理重要数据或100万人以上个人信息的平台
  • 跨境传输数据的企业
  • 政务、金融、医疗、互联网等重点行业数据处理者

核心要求:

  • 建立数据分类分级制度,绘制数据资产地图
  • 落实数据安全管理制度(含风险评估、应急响应、审计追溯)
  • 对重要数据实施加密、脱敏、访问控制、行为审计
  • 向境外提供数据前,须通过数据出境安全评估(依据《数据出境安全评估办法》)
  • 参照GB/T 45988-2025《信息安全技术 数据安全能力成熟度模型》(2025年实施)提升数据治理水平

四位一体建设价值

统筹推进“四位一体”安全体系建设带来的核心价值

避免重复建设

通过顶层设计,统一规划安全防护体系,避免因多头管理导致的重复投资和资源浪费。

降低合规成本

整合评估流程,减少重复评估工作,显著降低企业在合规方面的时间与资金投入。

提升防护水平

通过多层次、全方位的安全防护体系,构建纵深防御,有效应对复杂网络威胁。

满足监管要求

全面符合国家法律法规和行业监管要求,降低企业合规风险和法律风险。

四位一体实施路径

分阶段推进四位一体安全体系建设

第一阶段:现状评估与差距分析

全面梳理现有信息系统资产,评估当前安全防护水平,对照等保、关保、密评、数评要求进行差距分析,明确建设重点和优先级。

输出物:信息系统资产清单、安全现状评估报告、合规差距分析报告。

第二阶段:顶层设计与规划

基于差距分析结果,制定四位一体安全体系建设总体规划,明确建设目标、技术路线、实施步骤和资源投入。

输出物:四位一体安全体系建设总体规划、分项建设方案、实施路线图。

第三阶段:分步实施与建设

按照规划分阶段实施四位一体安全体系建设,优先解决高风险和合规刚需问题,同步推进管理制度和技术防护措施落地。

输出物:安全管理制度体系、技术防护体系、安全运维体系。

第四阶段:持续优化与改进

建立常态化安全运营机制,定期开展安全评估和应急演练,持续优化安全防护措施,适应业务发展和威胁变化。

输出物:安全运营体系、应急响应机制、持续改进计划。

数字客服