国家信息安全等级保护制度的贯彻与实施
一、我国在信息安全保障工作中为什么要实行等级保护制度
随着我国国民经济和社会发展信息化进程的全面加快,我国信息化的程度越来越高,关系国计民生的重要领域信息系统已经成为国家的关键基础设施。这些基础信息网络和重要信息系统安全,已经严重关系国家安全和社会稳定,关系广大人民群众切身利益。当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节,维护国家信息安全的任务十分艰巨、繁重。一是针对基础信息网络和重要信息系统的违法犯罪持续上升。不法分子利用一些安全漏洞,使用病毒、木马、网络钓鱼等技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪,对我国的经济秩序、社会管理秩序和公民的合法权益造成严重侵害。二是基础信息网络和重要信息系统安全隐患严重。由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口,在操作系统、专用芯片和大型应用软件等方面不能自主可控,给我国的信息安全带来了深层的技术隐患。三是我国的信息安全保障工作基础还很薄弱。信息安全意识和安全防范能力薄弱,信息系统安全建设、监管缺乏依据和标准,安全保护措施和安全制度不落实,监管措施不到位。
面对当前信息安全面临的复杂、严峻形势,基础信息网络和重要信息系统一旦出现大的信息安全问题,不仅仅影响本单位、本行业,而是直接威胁国家安全、社会稳定、经济发展,影响党
的“十七大”和北京奥运会的胜利召开。1994年《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
实行信息安全等级保护是国际上通行的做法。
二、实行信息安全等级保护制度能够解决哪些主要问题
信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作不仅是实现国家对重要信息系统重点保护的重大措施,也是一项事关国家安全、社会稳定、党的“十七大”胜利召开和北京奥运会成功举办的政治任务。通过开展信息安全等级保护工作,可以有效解决我国信息安全面临的威胁和存在的主要问题,充分体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高我国信息安全保障工作的整体水平。
信息安全等级保护是当今发达国家保护关键信息基础设施,
保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。实施信息安全等级保护,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配臵,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
三、国家、有关部门和企业在信息安全等级保护工作中各自的责任和义务是什么
国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
信息安全监管部门(包括公安机关、保密部门、国家密码工作部门)组织制定等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统实行分等级安全保护,对等级保护工作的实施进行监督、管理。
信息系统主管部门依照《信息安全等级保护管理办法》及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
信息系统运营使用单位按照国家有关等级保护的管理规范和
技术标准开展等级保护工作,建设安全设施、建立安全制度、落实安全责任,接受公安机关、保密部门、国家密码工作部门对信息安全等级保护工作的监督、指导,保障信息系统安全。
信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评估等安全服务机构,依据国家有关管理规定和技术标准,开展技术服务、技术支持等工作,并接受信息安全监管部门的监督管理。
四、近几年来公安部牵头实施信息安全等级保护制度,开展了哪些具体工作
按照《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定和《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)文件精神,公安部会同国家保密局、国家密码管理局和国务院信息办开展了如下工作。
一是出台了等级保护规范标准。2004年9月联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),2007
(公通字[2007]43年6月联合出台了《信息安全等级保护管理办法》
号,以下简称《管理办法》),明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。制定了包括《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要
求》等50多个国标和行标,初步形成了信息安全等级保护标准体系。
二是开展了等级保护基础调查工作。2005年底,公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号)。2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。
三是开展了等级保护试点工作。2006年6月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试点,完善了开展等级保护工作的模式和思路,检验和完善了开展等级保护工作的方法、思路、规范标准,探索了开展等级保护工作领导、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。
四是部署开展定级工作。2007年7月16日联合出台了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)。2007年7月20日,四部委在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。国家信息安全等级保护协调小组组长、公安部副部长张新枫同志和国务院信
