近日,由公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合下发了《关于开展信息安全等级保护试点工作的通知》,这是继今年3月份正式实施《信息安全等级保护管理办法(试行)》后,国家在推进信息安全等级保护工作方面的又一项重大举措。8月18日,四部门在京召开信息安全等级保护试点工作会议,进一步落实通知精神,并联合推出信息安全等级保护试点工作实施方案,这标志着信息安全等级保护试点工作将全面展开。那么,国家为何如此关注此项政策的应用和实施呢?记者对此展开思考。
等级保护是什么?
从概念上说,等级保护是对涉及国计民生的信息网络和信息系统按其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,以保障信息系统安全正常运行和信息安全,提高信息安全综合防护能力,保障国家安全,维护社会秩序和稳定,保障并促进信息化建设健康发展,拉动信息安全和基础信息科学技术发展与产业化,进而推动经济发展,提高综合国力。
我国有关信息安全实施等级保护的问题从2002年即被提出,其间经过专家的反复论证研究,信息安全等级保护的相关制度不断得到细化和完善。2003年出台的《国家信息化领导小组关于加强信息安全保障工作的意见》明确提出三个方面的要求:
一是必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,建立信息安全等级保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。
二是要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。
三是对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护。
2004年出台的《关于信息安全等级保护工作的实施意见》进一步明确了信息安全等级保护制度的基本内容:
一是根据信息和信息系统在国家安全、社会秩序、公共利益、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,确定信息和信息系统的安全保护等级,共分五级。
二是国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。
三是国家对信息安全产品的使用实行分等级管理。
四是信息安全事件实行分等级响应、处置的制度。
2006年3月,国家《信息安全等级保护管理办法(试行)》开始正式实施。《信息安全等级保护管理办法(试行)》根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,将信息和信息系统的安全保护等级共分五级:
第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。
第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。
第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。
第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。
为什么要进行等级保护?
对信息系统分级实行保护是国际上通行的做法,西方国家已经对涉及到国家安全、社会稳定的重要部门实施强制监管,他们使用的操作系统必须有三级以上的信息安全保护。随着信息技术的高速发展和网络应用的迅速普及,我国国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。
近年来,党中央、国务院高度重视,各有关方面协调配合、共同努力,我国信息安全保障工作取得了很大进展。但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。
实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
等级保护将如何实施?
信息安全等级保护涉及政府机构中多个部门的职能,因此,其实施应当在国家网络与信息安全协调小组的领导下,地方各级人民政府、信息安全监管职能部门、信息系统的主管部门和运营、使用单位要明确各自的安全责任,建立协调配合机制,分别制定详细的实施方案,积极推进信息安全等级保护制度的建立,推动信息安全管理运行机制的建立和完善。开展信息安全等级保护工作要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责、谁运营谁负责的要求,明确主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任,分别落实等级保护措施。信息安全监管职能部门负责监督、检查、指导。
目前,公安部已经联合有关部门积极组织开展信息安全等级保护相关工作,并成立了由公安部张新枫副部长任组长,公安部、国家保密局、国家密码管理局和国务院信息化办公室有关局级领导为成员的国家信息安全等级保护协调小组,统一协调部署信息安全等级保护工作。
据初步计划,我国等级保护工作将分三个阶段推进完成:第一阶段,加强领导,落实责任;加快完善法律法规和标准体系;建设信息安全等级保护监督管理队伍和技术支撑体系;进一步做好等级保护试点工作;加强宣传、培训工作。第二阶段,在做好前期准备工作的基础上,在国家重点保护的涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统中实行等级保护制度;第三阶段,在试行工作的基础上,在全国全面推行信息安全等级保护制度。
结语
通过信息安全等级保护制度的制定与实施,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善。同时,信息安全等级保护制度实施后,我国信息安全厂商的相关产品也应针对等级划分进行有针对性的调整,对整个安全产业的未来发展,将有着重要的指导意义。
