旧话重提,一直以来,我们不断强调“等级保护”制度是我国的网络安全领域的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。
什么是等级保护或安全等级保护?在谈等级保护过程中,我们此前也常常被信息安全等级保护和网络安全等级保护这两个术语困扰,以前的信息安全等级保护与现在谈到的网络安全等级保护是不是一回事?那么如何区分呢?在谈论等级保护之前,我们有必要把这个问题先解答一下,这是众多运营者曾经在《网络安全法》颁布不久比较疑惑的地方,甚至是很多做等级测评工作的机构人员与单位也曾经疑惑的地方。“安全等级保护”这个关键词,我们可以到1994年发布的《计算机信息系统安全保护条例》去寻找,该条例在2011年根据《国务院关于废止和修改部分行政法规的决定》做了一次修订。这是公开文件中,Zui具quanweiZui早的描述“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”在2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)中明确“实行信息安全等级保护”。提出了要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南,要重视信息安全风险评估工作等要求。在2004年公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)中,是这样描述的:信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。这是第一次对等级保护有个较为全面的描述,此时公安部门已经出台多个GA标准支撑等级保护工作,如《计算机信息系统安全等级保护操作系统技术要求》GA/T388-2002、《计算机信息系统安全等级保护管理要求》GA/T391-2002等标准。此时,国家标准还未体系性的建设起来。
我们工作讨论Zui多的是《信息安全等级保护管理》(公通字〔2007〕43号),其实有关66号对等级保护已经做了许多安排,以“信息安全等级保护”的描述看其实是在给这个制度下定义,其对信息系统分等级实行安全保护,对信息安全产品的使用实行分等级管理,信息安全事件实行分等级响应、处置的制度。
这样我们发现,从信息系统、安全产品、安全事件三个维度去开展工作,当然这里又会延伸出不同部门和不同级别的事权,在此暂不做讨论。在66号文中,有句话“依据标准,自行保护”,那么在落实“三同步”时,其实只要有对应标准,则都需要依据标准去开展设计、建设、运行,而从信息系统、安全产品、安全事件三个维度考虑,其实我们现行的网络安全相关标准,都在支撑等级保护工作。
而“安全等级保护”前面置换了三次分别是:计算机信息系统、信息系统、网络。而这三次置换,其工作涵盖范围不断扩大和加深,又是我国网络安全工作体系一脉相承的。
网络安全等级保护制度是我国现行网络安全领域的一项重要制度。1994年国务院制定的《计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法由公安部会同有关部门制定。2007年公安部等部门制定的《信息安全等级保护管理办法》规定,信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级,从第一级至第五级的保护要求渐次提高,并规定了每个等级的范围、信息系统运营者的义务及应对措施等。公安部和标准化主管部门制定了相关标准,明确了网络安全等级定级标准、程序以及各个方面的具体要求。网络安全法对该制度的名称作了调整,改为网络安全等级保护制度,对其主要内容作了规定。国务院有关部门应当根据本法完善相关配套规定,确保网络安全等级保护制度落到实处。将“信息安全等级保护制度”调整为“网络安全等级保护制度”。因根据历史客观事实,介绍“信息安全等级保护制度”“网络安全等级保护制度”及“网络”“信息系统”“计算机信息系统”,称谓不同,但本质是一致的。
等级保护1.0时代教程对其定义
等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
等级保护2.0时代教程对其定义
网络安全等级保护是指对网络(含信息系统、数据,下同)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。
“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。
计算机信息系统
是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
信息系统
指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
网络
指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。
网络安全等级保护制度是国家网络安全的基本制度、基本国策网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。网络安全等级保护制度是国家网络安全工作的基本制度,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。是网络运营者促进网络安全的重要指标和抓手。
