一、引述
1、關于信息安全等級保護制度與網絡安全等級保護制度
在先期,隨著信息化時代的到來,我國一開始就堅定不移的推行信息安全等級保護制度。信息安全等級保護制度是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設健康發展的一項基本制度。實行信息安全等級保護制度,能夠充分調動國家、法人和其他組織及公民的積極性,發揮各方面的作用,達到有效保護的目的,增強安全保護的整體性、針對性和實效性,使信息系統安全建設更加突出重點、統一規范、科學合理,對促進我國信息安全的發展將起到重要推動作用。
在后來,2017年《中華人民共和國網絡安全法》正式頒布實施。為了配合《網絡安全法》的實施和落地,將信息安全等級保護制度改名為網絡安全等級保護制度。這是因為隨著信息技術的發展,等級保護對象已經從狹義的信息系統,擴展到網絡基礎設施、云計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統、采用移動互聯技術的系統等。網絡安全包含了信息安全。
欲詳細了解網絡安全等級保護制度內容介紹的請進入。
2、關于信息(網絡)安全等級保護制度的法律法規要求
1994年2月18日國務院頒布了《中華人民共和國計算機信息系統安全保護條例》(中華人民共和國國務院令第147號)。旨在進一步提高信息安全的保障能力和防護水平,維護國家安全、公共利益和社會穩定,保障和促進信息化建設的健康發展。該《條例》第九條明確規定:“計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。”
欲詳細了解《中華人民共和國計算機信息系統安全保護條例》的請進入。
2003 年9月中央辦公廳、國務院辦公廳轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003] 27 號)。該文件是中國信息安全保障工作的綱領性文件,因為它于2003年7月經國家信息化領導小組第三次會議專題討論通過,旨在提高中國信息安全保障工作的能力和水平,維護公眾利益和國家安全,促進信息化建設健康發展。該文件的內容共有七部分構成(詳見下表1-2-1),其中第二部分是“實行信息安全等級保護”,具體內容詳見下表1-2-2。
表 1-2-1:中辦發[2003] 27 號文件內容構成
表 1-2-2:中辦發[2003] 27 號文件第二部分的內容
2017年6月1日全國人大頒布《中華人民共和國網絡安全法》,其中第二十一條規定:“國家實行網絡安全等級保護制度,網絡運營者應當按照網絡安全等級保護制度的要求,履行安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。”
欲詳細了解《中華人民共和國網絡安全法》的請進入。
二、四部門《關于信息安全等級保護工作的實施意見》(公通字[2004] 66號)
1、概述
于是,根據上述黨中央、國務院文件的安排,公安部會同國家保密局、國家密碼管理局、國務院信息化工作辦公室,于2004年9月15日聯合印發了《關于信息安全等級保護工作的實施意見》(公通字[2004] 66號),該《實施意見》的重點是確立我國的信息安全等級保護制度及內容。實施信息安全等級保護制度,能夠有效地提高我國信息和信息系統安全建設的整體水平,并可實現下表2-1所述的五大利處。
表 2-1:實行信息安全等級保護制度的利處
該《實施意見》的內容是由六部分構成:開展信息安全等級保護工作的重要意義;信息安全等級保護制度的原則;信息安全等級保護制度的基本內容;信息安全等級保護工作職責分工;實施信息安全等級保護工作的要求;信息安全等級保護工作實施計劃。若要詳細了解該《實施意見》具體內容的請查閱下附件2。
附件2:《關于信息安全等級保護工作的實施意見》(公通字[2004] 66號)
2、《實施意見》的相關定義:
信息,是指在信息系統中存儲、傳輸、處理的數字化信息。信息系統是指由計算機及其相關和配套的設備、設施構成的,按照一定的應用目標和規則對信息進行存儲、傳輸、處理的系統或者網絡。信息安全等級保護,是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
3、信息安全等級保護的核心、原則與保護的重點
根據該《實施意見》,信息安全等級保護的核心是對信息安全分等級、按標準進行建設、管理和監督。信息安全等級保護制度遵循的基本原則包括:明確責任,共同保護;依照標準,自行保護;同步建設,動態調整;指導監督,重點保護。國家重點保護涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統,主要包括的系統詳見下表2-3。
表 2-3:國家重點保護的信息系統種類
4、信息安全等級保護制度的等級設置
根據信息和信息系統所呈現的3大因素(見下表2-4-1),將其安全保護等級設置為五級,從低到高依次為:自主保護級(第一級)、指導保護級(第二級)、監督保護級(第三級)、強制保護級(第四級)和專控保護級(第五級)。其具體釋義(包括其適用與危害程度等)詳見下表2-4-2。國家通過制定統一的管理規范和技術標準,組織行政機關、公民、法人和其他組織根據信息和信息系統的不同重要程度開展有針對性的保護工作,國家對不同安全保護級別的信息和信息系統實行不同強度的監管政策,具體詳見下表2-4-3。國家對信息安全產品的使用實行分等級管理。信息安全事件實行分等級響應、處置的制度。
表 2-4-1:信息安全等級保護的定級因素
表 2-4-2:信息安全等級保護的定級等級
表 2-4-3:信息安全等級保護的監管政策
欲詳細了解我國信息安全等級保護系列技術標準介紹的請進入。
5、信息安全等級保護制度的工作要求
信息安全等級保護工作要突出重點、分級負責、分類指導、分步實施,按照誰主管誰負責、誰運營誰負責的要求,明確主管部門以及信息系統建設、運行、維護、使用單位和個人的安全責任,分別落實等級保護措施。實施信息安全等級保護應當做好以下六個方面工作:完善標準,分類指導;科學定級,嚴格備案;建設整改,落實措施;自查自糾,落實要求;建立制度,加強管理;監督檢查,完善保護。
另外,該《實施意見》還安排了信息安全等級保護的工作三年實施計劃,經過三年的努力,逐步將信息安全等級保護制度落實到信息安全規劃、建設、評估、運行維護等各個環節,使我國信息安全保障狀況得到基本改善。
三、四部門《信息安全等級保護管理辦法》(公通字[2007] 43號)
依據《關于信息安全等級保護工作的實施意見》(公通字[2004] 66號)的要求,為了加強信息安全等級保護,規范信息安全等級保護管理,提高信息安全保障能力和水平,公安部曾聯合國家保密局、國家密碼管理局、國務院信息化工作辦公室,在2006年1月17日頒布了《信息安全等級保護管理辦法(試行)》(公通字[2006] 7號)。經過近一年多的試行,四部門于2007年6月22日發布了管理辦法的正式版,即《信息安全等級保護管理辦法》(公通字[2007] 43號)。該《管理辦法》的內容是由七章四十四條所構成。下表3-1簡要介紹了該《管理辦法》的基本內容;下表3-2列出了該《管理辦法》規定的信息系統的安全保護等級劃分要求與保護要求,同樣分為五級,與上述《實施意見》基本相同。若要詳細了解該《管理辦法》具體內容的請查閱下附件3。
表 3-1:《管理辦法》內容簡述
表 3-2:信息系統的安全保護等級的劃分與保護要求
附件 3:《信息安全等級保護管理辦法》(公通字[2007] 43號)
四、公安部《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》(公安部 [2020] 1960號)
2020年 7月22日,公安部印發了《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》(公安部 [2020] 1960號),旨在深入貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度,健全完善國家網絡安全綜合防控體系,有效防范網絡安全威脅,有力處置網絡安全事件,嚴厲打擊危害網絡安全的違法犯罪活動,切實保障國家網絡安全。
該《指導意見》是在《網絡安全法》頒布后,首次以網絡安全等級保護制度的名稱發布的管理文件,它進一步健全完善國家網絡安全綜合防控體系。《指導意見》一共有五部分內容所構成,如下表4所述;若要詳細了解該《指導意見》具體內容的請查閱下附件4;下附錄4是公安部對該《指導意見》的權威解讀。
表 4:公安部 [2020] 1960號《指導意見》的內容組成
附件 4:《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》(公安部 [2020] 1960號)
附錄 4:公安部 [2020] 1960號《指導意見》的權威解讀
欲進一步了解關于電信網和互聯網安全的等級劃分與等級防護的請進入。
