一、引述
1、关于信息安全等级保护制度与网络安全等级保护制度
在先期,随着信息化时代的到来,我国一开始就坚定不移的推行信息安全等级保护制度。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
在后来,2017年《中华人民共和国网络安全法》正式颁布实施。为了配合《网络安全法》的实施和落地,将信息安全等级保护制度改名为网络安全等级保护制度。这是因为随着信息技术的发展,等级保护对象已经从狭义的信息系统,扩展到网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。网络安全包含了信息安全。
欲详细了解网络安全等级保护制度内容介绍的请进入。
2、关于信息(网络)安全等级保护制度的法律法规要求
1994年2月18日国务院颁布了《中华人民共和国计算机信息系统安全保护条例》(中华人民共和国国务院令第147号)。旨在进一步提高信息安全的保障能力和防护水平,维护国家安全、公共利益和社会稳定,保障和促进信息化建设的健康发展。该《条例》第九条明确规定:“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”
欲详细了解《中华人民共和国计算机信息系统安全保护条例》的请进入。
2003 年9月中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27 号)。该文件是中国信息安全保障工作的纲领性文件,因为它于2003年7月经国家信息化领导小组第三次会议专题讨论通过,旨在提高中国信息安全保障工作的能力和水平,维护公众利益和国家安全,促进信息化建设健康发展。该文件的内容共有七部分构成(详见下表1-2-1),其中第二部分是“实行信息安全等级保护”,具体内容详见下表1-2-2。
表 1-2-1:中办发[2003] 27 号文件内容构成
表 1-2-2:中办发[2003] 27 号文件第二部分的内容
2017年6月1日全国人大颁布《中华人民共和国网络安全法》,其中第二十一条规定:“国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”
欲详细了解《中华人民共和国网络安全法》的请进入。
二、四部门《关于信息安全等级保护工作的实施意见》(公通字[2004] 66号)
1、概述
于是,根据上述党中央、国务院文件的安排,公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室,于2004年9月15日联合印发了《关于信息安全等级保护工作的实施意见》(公通字[2004] 66号),该《实施意见》的重点是确立我国的信息安全等级保护制度及内容。实施信息安全等级保护制度,能够有效地提高我国信息和信息系统安全建设的整体水平,并可实现下表2-1所述的五大利处。
表 2-1:实行信息安全等级保护制度的利处
该《实施意见》的内容是由六部分构成:开展信息安全等级保护工作的重要意义;信息安全等级保护制度的原则;信息安全等级保护制度的基本内容;信息安全等级保护工作职责分工;实施信息安全等级保护工作的要求;信息安全等级保护工作实施计划。若要详细了解该《实施意见》具体内容的请查阅下附件2。
附件2:《关于信息安全等级保护工作的实施意见》(公通字[2004] 66号)
2、《实施意见》的相关定义:
信息,是指在信息系统中存储、传输、处理的数字化信息。信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。信息安全等级保护,是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
3、信息安全等级保护的核心、原则与保护的重点
根据该《实施意见》,信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安全等级保护制度遵循的基本原则包括:明确责任,共同保护;依照标准,自行保护;同步建设,动态调整;指导监督,重点保护。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括的系统详见下表2-3。
表 2-3:国家重点保护的信息系统种类
4、信息安全等级保护制度的等级设置
根据信息和信息系统所呈现的3大因素(见下表2-4-1),将其安全保护等级设置为五级,从低到高依次为:自主保护级(第一级)、指导保护级(第二级)、监督保护级(第三级)、强制保护级(第四级)和专控保护级(第五级)。其具体释义(包括其适用与危害程度等)详见下表2-4-2。国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作,国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策,具体详见下表2-4-3。国家对信息安全产品的使用实行分等级管理。信息安全事件实行分等级响应、处置的制度。
表 2-4-1:信息安全等级保护的定级因素
表 2-4-2:信息安全等级保护的定级等级
表 2-4-3:信息安全等级保护的监管政策
欲详细了解我国信息安全等级保护系列技术标准介绍的请进入。
5、信息安全等级保护制度的工作要求
信息安全等级保护工作要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责、谁运营谁负责的要求,明确主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任,分别落实等级保护措施。实施信息安全等级保护应当做好以下六个方面工作:完善标准,分类指导;科学定级,严格备案;建设整改,落实措施;自查自纠,落实要求;建立制度,加强管理;监督检查,完善保护。
另外,该《实施意见》还安排了信息安全等级保护的工作三年实施计划,经过三年的努力,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善。
三、四部门《信息安全等级保护管理办法》(公通字[2007] 43号)
依据《关于信息安全等级保护工作的实施意见》(公通字[2004] 66号)的要求,为了加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,公安部曾联合国家保密局、国家密码管理局、国务院信息化工作办公室,在2006年1月17日颁布了《信息安全等级保护管理办法(试行)》(公通字[2006] 7号)。经过近一年多的试行,四部门于2007年6月22日发布了管理办法的正式版,即《信息安全等级保护管理办法》(公通字[2007] 43号)。该《管理办法》的内容是由七章四十四条所构成。下表3-1简要介绍了该《管理办法》的基本内容;下表3-2列出了该《管理办法》规定的信息系统的安全保护等级划分要求与保护要求,同样分为五级,与上述《实施意见》基本相同。若要详细了解该《管理办法》具体内容的请查阅下附件3。
表 3-1:《管理办法》内容简述
表 3-2:信息系统的安全保护等级的划分与保护要求
附件 3:《信息安全等级保护管理办法》(公通字[2007] 43号)
四、公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公安部 [2020] 1960号)
2020年 7月22日,公安部印发了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公安部 [2020] 1960号),旨在深入贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度,健全完善国家网络安全综合防控体系,有效防范网络安全威胁,有力处置网络安全事件,严厉打击危害网络安全的违法犯罪活动,切实保障国家网络安全。
该《指导意见》是在《网络安全法》颁布后,首次以网络安全等级保护制度的名称发布的管理文件,它进一步健全完善国家网络安全综合防控体系。《指导意见》一共有五部分内容所构成,如下表4所述;若要详细了解该《指导意见》具体内容的请查阅下附件4;下附录4是公安部对该《指导意见》的权威解读。
表 4:公安部 [2020] 1960号《指导意见》的内容组成
附件 4:《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公安部 [2020] 1960号)
附录 4:公安部 [2020] 1960号《指导意见》的权威解读
欲进一步了解关于电信网和互联网安全的等级划分与等级防护的请进入。
