徐金寶

天津市電子政務信息與網絡中心

試論信息安全等級保護制度助力網絡安全和信息化法治建設

徐金寶

天津市電子政務信息與網絡中心

信息安全等級保護是國家法定制度和基本國策，是開展信息安全保護工作的有效辦法。近幾年我國等級保護工作取得長足發(fā)展，相關政策標準不斷完善，但同時也存在系統(tǒng)負責單位認識不足、制度落實不到位等問題，作者認為四中全會政府提出依法治國是進一步落實等級保護制度的大好機遇，等級保護制度也為網絡安全和信息化立法提供依據和參考，二者相輔相成。

等級保護；信息安全；法制建設

2014年2月27日，中共中央召開網絡安全和信息化領導小組第一次會議，指出網絡安全和信息化是事關國家安全和國家發(fā)展、事關廣大人民群眾工作生活的重大戰(zhàn)略問題，要從國際國內大勢出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國建設成為網絡強國。2014年11月5日，中央網信辦組織召開有關部委負責人、專家學者和企業(yè)負責人專題座談會，就如何貫徹落實四中全會精神，推進信息化發(fā)展和保障國家網絡安全進行專題研討，探討推進網絡安全和信息化法治建設的具體措施。筆者認為，十八屆四中全會作出全面推進依法治國的重大決定，為我國的國家治理體系和治理能力現代化指明了方向，也為我國網絡空間治理提供了行動指南，而進一步落實信息安全等級保護制度將大大助力我國網絡安全和信息化法治建設。

開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障，是信息安全保障工作中國家意志的體現[4]。實施信息安全等級保護，能夠有效地提高我國信息和信息系統(tǒng)安全建設的整體水平，有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協(xié)調；有利于為信息系統(tǒng)安全建設和管理提供系統(tǒng)性、針對性、可行性的指導和服務，有效控制信息安全建設成本[2]；有利于優(yōu)化信息安全資源的配置，對信息系統(tǒng)分級實施保護，重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全；有利于明確國家、法人和其他組織、公民的信息安全責任，加強信息安全管理；有利于推動信息安全產業(yè)的發(fā)展，逐步探索出一條適應社會主義市場經濟發(fā)展的信息安全模式[3]。

《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院令第147號）明確規(guī)定我國“計算機信息系統(tǒng)實行安全等級保護”。依據國務院147號令要求制訂發(fā)布的強制性國家標準《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）為計算機信息系統(tǒng)安全保護等級的劃分奠定了技術基礎[4]。《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）明確指出實行信息安全等級保護，“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度”?！蛾P于信息安全等級保護工作的實施意見》（公通字[2004]66號）和《信息安全等級保護管理辦法》（公通字[2007]43號）確定了實施信息安全等級保護制度的原則、工作職責劃分、實施要求和實施計劃，明確了開展信息安全等級保護工作的基本內容、工作流程、工作方法等。上述信息安全等級保護相關法規(guī)、政策文件、國家標準和公共安全行業(yè)標準的出臺，為信息安全等級保護工作的開展提供了法律、政策、標準依據。2007年7月全國開展重要信息系統(tǒng)等級保護定級工作，標志著信息安全等級保護工作在全國全面展開[5]。到目前全國范圍內的重要信息系統(tǒng)安全等級保護定級、備案工作基本完成，成效顯著，各種政策標準體系日臻完善[6]。

我國的信息安全等級保護工作近些年做了大量卓有成效的工作，取得了長足進步，但同時我們也發(fā)現了一些實際問題，比如：

1.各級信息系統(tǒng)的負責人對等保工作認識不足，導致定級偏低或分類不準，工作流于形式，導致很多制度標準落地難[7]。

2.信息系統(tǒng)安全等保防護措施不科學，防護措施不到位的“弱保護”現象以及經費與資源浪費“過保護”現象嚴重[8]。

3.信息系統(tǒng)安全工作缺少科學規(guī)劃，專業(yè)化服務力量薄弱，人員和資金投入不足。

我們必須認識到，對信息系統(tǒng)實行等級保護是國家法定制度和基本國策，是開展信息安全保護工作的有效辦法，是信息安全保護工作的發(fā)展方向[9]，同時落實這一制度又需要一個不斷完善，動態(tài)調整、循序漸進、因地制宜的過程[10]。目前，我國正面臨等級保護工作的大好機遇，既有此前若干年的經驗積累優(yōu)勢，也有客觀環(huán)境和政策支持優(yōu)勢。四中全會決定中對“科學立法、嚴格執(zhí)法、公正司法、全民守法”進行了系統(tǒng)布局，對網絡空間和信息化領域立法勢在必行。信息安全等級保護制度與網絡安全和信息化法制建設相輔相成，信息安全等級保護制度為網絡安全和信息化立法提供依據和參考，同時規(guī)范的網絡安全和信息化法治環(huán)境又能進一步促進信息安全等級保護制度的開展和落實。我們必須運用法治思維和法治方式，全面推進網絡安全和信息化發(fā)展，發(fā)揮法治對網絡安全和信息化建設的引領和規(guī)范作用，全方位推進網絡安全和信息化法治進程，為建設網絡強國提供強大的法治保障。

[1]范紅，信息安全風險管理評估規(guī)范國家標準理解和實施，中國國家標準出版社，2007

[2]DoD，Trust computer system evaluation criteria（orange book），26 December 1985

[3]《信息安全等級保護管理辦法》（公通字【2007】43號），公安部，2007

[4]《信息安全等級保護的實施意見》（公信安【2007】861號），公安部、國家保密局、國家密碼管理委員會和國家信息辦，2007

[5]郭啟全，《充分借鑒北京奧運網絡安全保衛(wèi)成功經驗深入推進信息安全等級保護工作》，2008

[6]蔡皖東，網絡與信息安全，西北工業(yè)大學出版社，2004，53（3）：1～7

[7]國家信息安全工程技術研究中心，電子政務總體設計與技術實現，北京：電子工業(yè)出版社，1977.58～62

[8]《如何理解信息安全等級保護與分級保護》；電信科學技術第十研究所；2010

[9]《中華人民共和國計算機信息系統(tǒng)安全保護條例》；國務院；1994

[10]《計算機信息系統(tǒng)安全等級標準劃分準則》（GB17859-1999）