趙娟

《中華人民共和國網(wǎng)絡安全法》于2017年6月1日正式施行，該法第二十一條規(guī)定“？國家實行網(wǎng)絡安全等級保護制度。”這是網(wǎng)絡安全等級保護這個名詞第一次以法律形式出現(xiàn)，這也是中國從法律層面保障企事業(yè)單位計算機網(wǎng)絡免受干擾、破壞或者非法訪問，進而防止計算機網(wǎng)絡數(shù)據(jù)遭受泄露或者被竊取、篡改的一項強制性舉措?？墒?，全社會對于等級保護制度的認知認同和落實執(zhí)行情況卻不容樂觀，一些重點聯(lián)網(wǎng)單位負責人甚至計算機網(wǎng)絡管理人員對等級保護制度了解不深、執(zhí)行不力，在建設、維護計算機信息網(wǎng)絡的過程中不能自覺適用等級保護制度的規(guī)定和標準，造成單位內(nèi)部計算機信息網(wǎng)絡安全管理制度和安全技術措施不到位的現(xiàn)象屢見不鮮，這將嚴重危害我國的信息網(wǎng)絡安全。本文通過對中國等級保護制度的分析和研究，提出按照等級保護制度來開展單位內(nèi)部信息網(wǎng)絡安全管理的對策，為企事業(yè)單位內(nèi)部信息網(wǎng)絡安全管理工作提供政策指導。

一、等級保護制度的法律淵源

等級保護制度的法律形成分為三個階段，歷時23年。第一階段為提出階段。第一次提出等級保護制度是1994年2月18日發(fā)布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》，條例第九條規(guī)定“計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定?！睏l列出臺等級保護制度后，鑒于中國當時信息網(wǎng)絡處于比較落后狀態(tài)，并未真正出臺配套具體制度。第二階段為推行階段。2007年7月，四部委聯(lián)合出臺《信息安全等級保護管理辦法》，這一規(guī)章成為推動我國等級保護制度的起點。從2007年開始，國務院有關主管部門通力協(xié)作，先后出臺了具體的等級保護制度實施辦法、國家和行業(yè)標準，全國開始在重點聯(lián)網(wǎng)單位推行等級保護制度。第三階段是強制階段?！吨腥A人民共和國網(wǎng)絡安全法》于2017年6月1日正式施行，等級保護制度寫進法律，等級保護制度成為全社會強制性義務。中國在網(wǎng)絡安全制度上開啟新局面。

二、等級保護制度的主要內(nèi)容

第一，等級劃分。計算機信息系統(tǒng)安全保護等級分為五級，劃分的標準是信息系統(tǒng)受到各種破壞后造成后果的嚴重性，信息系統(tǒng)遭受破壞后危及國家安全、社會秩序和公共利益的程度越大，劃分的級別越高。比如說，某單位的計算機網(wǎng)絡信息系統(tǒng)或者網(wǎng)絡工作服務平臺受到破壞后，可能對社會秩序或者公共利益造成嚴重損害，一般定級為三級以上。這種劃分標準不是量化的。

第二，工作原則。我國的信息安全等級保護堅持自主定級、自主保護的原則。各單位內(nèi)部的計算機信息系統(tǒng)建成后，根據(jù)系統(tǒng)的重要性、安全性與國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的關聯(lián)程度，自主定級、自主保護，自覺履行等級保護制度各項規(guī)定和要求。

第三，監(jiān)督管理。依據(jù)法律規(guī)定，國家網(wǎng)信部門、國務院電信主管部門、公安部門等負責網(wǎng)絡安全保護和監(jiān)督管理工作，這三大部門也是等級保護制度的監(jiān)督管理部門。

第四，法律責任。雖然等級保護制度堅持自主定級、自主保護的原則，但是法律責任依然存在?！吨腥A人民共和國網(wǎng)絡安全法》第五十九條規(guī)定，？網(wǎng)絡運營者不履行等級保護制度相關安全保護義務的，由有關主管部門對相關單位和直接責任人作出行政處罰?！吨腥A人民共和國計算機信息系統(tǒng)安全保護條例》第二十條規(guī)定，違反計算機信息系統(tǒng)安全等級保護制度，危害計算機信息系統(tǒng)安全的，由公安機關處以警告或者停機整頓。此外，《中華人民共和國刑法修正案九》第二十八條規(guī)定，網(wǎng)絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務，經(jīng)監(jiān)管部門責令采取改正措施而拒不改正、情節(jié)嚴重的將追究刑事責任。

三、單位內(nèi)部信息網(wǎng)絡安全等級保護對策

等級保護制度既是單位內(nèi)部網(wǎng)絡安全建設和管理的指針，也是衡量單位內(nèi)部網(wǎng)絡安全保護能力的標準。無論是單位內(nèi)部的辦公、生產(chǎn)的計算機信息系統(tǒng)還是對外的網(wǎng)站、各類網(wǎng)絡宣傳、服務、交易平臺，在網(wǎng)絡安全管理上都應當以等級保護制度為依據(jù)來開展相關工作，既能保障合法又能保障安全，特別是定級為三級以上的計算機信息系統(tǒng)更要定期按照等級保護制度要求實施網(wǎng)絡安全管理。

（一）系統(tǒng)建設中的網(wǎng)絡安全保護措施

企事業(yè)單位在計算機信息系統(tǒng)建設的立項、評估、招標等環(huán)節(jié)，應當同步考慮網(wǎng)絡安全建設，國家等級保護制度出臺了一些列標準，企事業(yè)單位的建設、運營、管理相關人員要熟知并執(zhí)行這些標準，有關標準名錄如下表。

（二）自主定級和備案

計算機信息系統(tǒng)建設完成后，要按照等級保護制度開展定級備案工作。按照規(guī)定，已運營（運行）的第二級以上計算機信息系統(tǒng)，應當在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。新建第二級以上的計算機信息系統(tǒng)，應當在投入運行后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。定級備案工作的有關詳細流程和規(guī)定參見《信息系統(tǒng)安全等級保護實施指南》（GB/T 25058-2010）。定級的要素和等級的關系如下表。

（三）信息系統(tǒng)安全等級保護測評

第三級以上計算機信息系統(tǒng)在定級備案后，應當開展信息系統(tǒng)安全等級保護測評工作。測評工作有關要求參照《信息安全技術 信息系統(tǒng)安全等級保護測評要求》（GB/T 28448-2012）、《信息安全技術 信息系統(tǒng)安全等級保護測評過程指南》（GB/T28449-2012）。信息系統(tǒng)安全等級保護測評分為安全技術測評和安全管理測評兩大類。

（四）網(wǎng)絡安全體系

按照等級保護制度，企事業(yè)單位網(wǎng)絡安全體系主要是安全管理和安全技術兩大方面。

安全管理包括安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理。網(wǎng)絡安全管理的主要內(nèi)容具體包括有主要領導負責的逐級安全保護責任制，配備專職或者兼職的安全管理員，；明確運行和使用部門或者安全崗位的責任，建立完善的安全管理規(guī)章制度；全員開展網(wǎng)絡安全知識和法律法規(guī)教育培訓，對重點崗位的安全管理人員進行專門培訓和考核；采取必要的安全技術措施；對安全保護工作記錄日志、保全檔案；制定網(wǎng)絡安全應急計劃和應急措施；定期進行安全檢測和風險分析，及時整改安全隱患。

安全技術包括物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復。安全技術的主要內(nèi)容有防干擾防火防盜防災等實體安全技、身份認證、安全審計、漏洞掃描、入侵監(jiān)測檢測、防火墻、病毒防治、安全操作系統(tǒng)和安全數(shù)據(jù)庫、加密保密、信息內(nèi)容過濾等，網(wǎng)絡安全技術是不可窮盡的，是一個動態(tài)防護。