徐金寶

天津市電子政務(wù)信息與網(wǎng)絡(luò)中心

試論信息安全等級(jí)保護(hù)制度助力網(wǎng)絡(luò)安全和信息化法治建設(shè)

徐金寶

天津市電子政務(wù)信息與網(wǎng)絡(luò)中心

信息安全等級(jí)保護(hù)是國(guó)家法定制度和基本國(guó)策，是開(kāi)展信息安全保護(hù)工作的有效辦法。近幾年我國(guó)等級(jí)保護(hù)工作取得長(zhǎng)足發(fā)展，相關(guān)政策標(biāo)準(zhǔn)不斷完善，但同時(shí)也存在系統(tǒng)負(fù)責(zé)單位認(rèn)識(shí)不足、制度落實(shí)不到位等問(wèn)題，作者認(rèn)為四中全會(huì)政府提出依法治國(guó)是進(jìn)一步落實(shí)等級(jí)保護(hù)制度的大好機(jī)遇，等級(jí)保護(hù)制度也為網(wǎng)絡(luò)安全和信息化立法提供依據(jù)和參考，二者相輔相成。

等級(jí)保護(hù)；信息安全；法制建設(shè)

2014年2月27日，中共中央召開(kāi)網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議，指出網(wǎng)絡(luò)安全和信息化是事關(guān)國(guó)家安全和國(guó)家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問(wèn)題，要從國(guó)際國(guó)內(nèi)大勢(shì)出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)。2014年11月5日，中央網(wǎng)信辦組織召開(kāi)有關(guān)部委負(fù)責(zé)人、專(zhuān)家學(xué)者和企業(yè)負(fù)責(zé)人專(zhuān)題座談會(huì)，就如何貫徹落實(shí)四中全會(huì)精神，推進(jìn)信息化發(fā)展和保障國(guó)家網(wǎng)絡(luò)安全進(jìn)行專(zhuān)題研討，探討推進(jìn)網(wǎng)絡(luò)安全和信息化法治建設(shè)的具體措施。筆者認(rèn)為，十八屆四中全會(huì)作出全面推進(jìn)依法治國(guó)的重大決定，為我國(guó)的國(guó)家治理體系和治理能力現(xiàn)代化指明了方向，也為我國(guó)網(wǎng)絡(luò)空間治理提供了行動(dòng)指南，而進(jìn)一步落實(shí)信息安全等級(jí)保護(hù)制度將大大助力我國(guó)網(wǎng)絡(luò)安全和信息化法治建設(shè)。

開(kāi)展信息安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國(guó)家信息安全的根本保障，是信息安全保障工作中國(guó)家意志的體現(xiàn)[4]。實(shí)施信息安全等級(jí)保護(hù)，能夠有效地提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平，有利于在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)，有效控制信息安全建設(shè)成本[2]；有利于優(yōu)化信息安全資源的配置，對(duì)信息系統(tǒng)分級(jí)實(shí)施保護(hù)，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)的安全；有利于明確國(guó)家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)信息安全管理；有利于推動(dòng)信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的信息安全模式[3]。

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院令第147號(hào)）明確規(guī)定我國(guó)“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)”。依據(jù)國(guó)務(wù)院147號(hào)令要求制訂發(fā)布的強(qiáng)制性國(guó)家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）為計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)的劃分奠定了技術(shù)基礎(chǔ)[4]?！秶?guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）明確指出實(shí)行信息安全等級(jí)保護(hù)，“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度”?！蛾P(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)）和《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）確定了實(shí)施信息安全等級(jí)保護(hù)制度的原則、工作職責(zé)劃分、實(shí)施要求和實(shí)施計(jì)劃，明確了開(kāi)展信息安全等級(jí)保護(hù)工作的基本內(nèi)容、工作流程、工作方法等。上述信息安全等級(jí)保護(hù)相關(guān)法規(guī)、政策文件、國(guó)家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)的出臺(tái)，為信息安全等級(jí)保護(hù)工作的開(kāi)展提供了法律、政策、標(biāo)準(zhǔn)依據(jù)。2007年7月全國(guó)開(kāi)展重要信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作，標(biāo)志著信息安全等級(jí)保護(hù)工作在全國(guó)全面展開(kāi)[5]。到目前全國(guó)范圍內(nèi)的重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)、備案工作基本完成，成效顯著，各種政策標(biāo)準(zhǔn)體系日臻完善[6]。

我國(guó)的信息安全等級(jí)保護(hù)工作近些年做了大量卓有成效的工作，取得了長(zhǎng)足進(jìn)步，但同時(shí)我們也發(fā)現(xiàn)了一些實(shí)際問(wèn)題，比如：

1.各級(jí)信息系統(tǒng)的負(fù)責(zé)人對(duì)等保工作認(rèn)識(shí)不足，導(dǎo)致定級(jí)偏低或分類(lèi)不準(zhǔn)，工作流于形式，導(dǎo)致很多制度標(biāo)準(zhǔn)落地難[7]。

2.信息系統(tǒng)安全等保防護(hù)措施不科學(xué)，防護(hù)措施不到位的“弱保護(hù)”現(xiàn)象以及經(jīng)費(fèi)與資源浪費(fèi)“過(guò)保護(hù)”現(xiàn)象嚴(yán)重[8]。

3.信息系統(tǒng)安全工作缺少科學(xué)規(guī)劃，專(zhuān)業(yè)化服務(wù)力量薄弱，人員和資金投入不足。

我們必須認(rèn)識(shí)到，對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)是國(guó)家法定制度和基本國(guó)策，是開(kāi)展信息安全保護(hù)工作的有效辦法，是信息安全保護(hù)工作的發(fā)展方向[9]，同時(shí)落實(shí)這一制度又需要一個(gè)不斷完善，動(dòng)態(tài)調(diào)整、循序漸進(jìn)、因地制宜的過(guò)程[10]。目前，我國(guó)正面臨等級(jí)保護(hù)工作的大好機(jī)遇，既有此前若干年的經(jīng)驗(yàn)積累優(yōu)勢(shì)，也有客觀環(huán)境和政策支持優(yōu)勢(shì)。四中全會(huì)決定中對(duì)“科學(xué)立法、嚴(yán)格執(zhí)法、公正司法、全民守法”進(jìn)行了系統(tǒng)布局，對(duì)網(wǎng)絡(luò)空間和信息化領(lǐng)域立法勢(shì)在必行。信息安全等級(jí)保護(hù)制度與網(wǎng)絡(luò)安全和信息化法制建設(shè)相輔相成，信息安全等級(jí)保護(hù)制度為網(wǎng)絡(luò)安全和信息化立法提供依據(jù)和參考，同時(shí)規(guī)范的網(wǎng)絡(luò)安全和信息化法治環(huán)境又能進(jìn)一步促進(jìn)信息安全等級(jí)保護(hù)制度的開(kāi)展和落實(shí)。我們必須運(yùn)用法治思維和法治方式，全面推進(jìn)網(wǎng)絡(luò)安全和信息化發(fā)展，發(fā)揮法治對(duì)網(wǎng)絡(luò)安全和信息化建設(shè)的引領(lǐng)和規(guī)范作用，全方位推進(jìn)網(wǎng)絡(luò)安全和信息化法治進(jìn)程，為建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)提供強(qiáng)大的法治保障。

[1]范紅，信息安全風(fēng)險(xiǎn)管理評(píng)估規(guī)范國(guó)家標(biāo)準(zhǔn)理解和實(shí)施，中國(guó)國(guó)家標(biāo)準(zhǔn)出版社，2007

[2]DoD，Trust computer system evaluation criteria（orange book），26 December 1985

[3]《信息安全等級(jí)保護(hù)管理辦法》（公通字【2007】43號(hào)），公安部，2007

[4]《信息安全等級(jí)保護(hù)的實(shí)施意見(jiàn)》（公信安【2007】861號(hào)），公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)和國(guó)家信息辦，2007

[5]郭啟全，《充分借鑒北京奧運(yùn)網(wǎng)絡(luò)安全保衛(wèi)成功經(jīng)驗(yàn)深入推進(jìn)信息安全等級(jí)保護(hù)工作》，2008

[6]蔡皖東，網(wǎng)絡(luò)與信息安全，西北工業(yè)大學(xué)出版社，2004，53（3）：1～7

[7]國(guó)家信息安全工程技術(shù)研究中心，電子政務(wù)總體設(shè)計(jì)與技術(shù)實(shí)現(xiàn)，北京：電子工業(yè)出版社，1977.58～62

[8]《如何理解信息安全等級(jí)保護(hù)與分級(jí)保護(hù)》；電信科學(xué)技術(shù)第十研究所；2010

[9]《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》；國(guó)務(wù)院；1994

[10]《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)標(biāo)準(zhǔn)劃分準(zhǔn)則》（GB17859-1999）