一. 等级保护工作概述
1.1 等级保护发展概况
早在1994年国务院147号令中就明确提出国家计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定;随后发布了以《计算机信息系统安全保护等级划分准则》(GB17859-1999)为核心的一系列标准,并围绕这些标准进行了一系列研究活动。
随着信息以及信息安全技术的发展,2003年7月提出了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)文件,明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”;2004年9月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,这个文件对信息等级保护工作做了更加具体的明确。这里明确指出,等级保护制度是国家信息安全的基本制度,首先要根据信息系统的重要性以及遭到破坏以后对国计民生造成的危害性,以及信息系统必须达到的安全保护水平的程度来确定信息安全的保护等级。明确规定分成五个等级,同时进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提
出了更高的要求。作为过渡文件,2006年1月份还发布了《信息安全等级保护管理办法(试行)》(公通字[2006]7号)文件。
2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发了《信息安全等级保护管理办法》(公通字[2007]43号)。将去年年初发布的《信息安全等级保护管理办法(试行)》(公通字[2006]7号)由试行文件转为正式文件,与2006年7号文相比,43号文无论从内容上还是结构上都作了比较大的调整。43号文是今年等级保护工作发布的一项重要文件,它很可能是最近几年等级保护工作主要依据文件,从文件内容看,虽然作为一个管理办法,它还没有真正解决等级保护工作中所一个管理办法应该解决的问题,也没有从根本上解决等级保护所面临的主要矛盾。但它从等级划分、等级保护的实施与管理 、涉及国家秘密信息系统的分级保护管理 、信息安全等级保护的密码管理、法律责任等方面对等级保护工作中所涉及的各项工作如等级定义、定级、等级建设所依据的文件、等级测评、四个部门的职责做了描述和规定,内容涵盖了等级保护工作的方方面面。
为贯彻落实43号文件精神,四部门又联合下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),要求在2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作。
1.2 安全保护等级的划分及监管
43号文中对信息系统的安全保护等级以及建设监管作了明确规定,下表是原有等级与43号文中等级定义的对比以及各等级建设、监管强度表:
级别划分 43号文件等级定义 原来等级定义 自主保护级,适用于一般的信息系统,其受到破建设、监督管理 信息系统运营、使用单位或者个信息系统受到破坏后,会对公民、法人和其他组织的合法权益第一级 造成损害,但不损害国家安全、社会秩序和公共利益 坏后,会对公民、法人和其他组织的合法权益产人可以依据国家管理规范和技术生损害,但不损害国家安全、社会秩序和公共利标准进行保护。 益。 信息系统运营、使用单位应当依信息系统受到破坏后,会对公民、法人和其他组织的合法权益第二级 产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全 指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。 据国家管理规范和技术标准进行保护。必要时,国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。 监督保护级,适用于涉及国家安全、社会秩序和信息系统受到破坏后,会对社会秩序和公共利益造成严重损第三级 害,或者对国家安全造成 损害 国家安全、社会秩序和公共利益造成损害。 公共利益的重要信息系统,其受到破坏后,会对信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部