徐金宝

天津市电子政务信息与网络中心

试论信息安全等级保护制度助力网络安全和信息化法治建设

徐金宝

天津市电子政务信息与网络中心

信息安全等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法。近几年我国等级保护工作取得长足发展，相关政策标准不断完善，但同时也存在系统负责单位认识不足、制度落实不到位等问题，作者认为四中全会政府提出依法治国是进一步落实等级保护制度的大好机遇，等级保护制度也为网络安全和信息化立法提供依据和参考，二者相辅相成。

等级保护；信息安全；法制建设

2014年2月27日，中共中央召开网络安全和信息化领导小组第一次会议，指出网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。2014年11月5日，中央网信办组织召开有关部委负责人、专家学者和企业负责人专题座谈会，就如何贯彻落实四中全会精神，推进信息化发展和保障国家网络安全进行专题研讨，探讨推进网络安全和信息化法治建设的具体措施。笔者认为，十八届四中全会作出全面推进依法治国的重大决定，为我国的国家治理体系和治理能力现代化指明了方向，也为我国网络空间治理提供了行动指南，而进一步落实信息安全等级保护制度将大大助力我国网络安全和信息化法治建设。

开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现[4]。实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本[2]；有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式[3]。

《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）明确规定我国“计算机信息系统实行安全等级保护”。依据国务院147号令要求制订发布的强制性国家标准《计算机信息系统安全保护等级划分准则》（GB17859-1999）为计算机信息系统安全保护等级的划分奠定了技术基础[4]。《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出实行信息安全等级保护，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度”。《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划，明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。上述信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台，为信息安全等级保护工作的开展提供了法律、政策、标准依据。2007年7月全国开展重要信息系统等级保护定级工作，标志着信息安全等级保护工作在全国全面展开[5]。到目前全国范围内的重要信息系统安全等级保护定级、备案工作基本完成，成效显著，各种政策标准体系日臻完善[6]。

我国的信息安全等级保护工作近些年做了大量卓有成效的工作，取得了长足进步，但同时我们也发现了一些实际问题，比如：

1.各级信息系统的负责人对等保工作认识不足，导致定级偏低或分类不准，工作流于形式，导致很多制度标准落地难[7]。

2.信息系统安全等保防护措施不科学，防护措施不到位的“弱保护”现象以及经费与资源浪费“过保护”现象严重[8]。

3.信息系统安全工作缺少科学规划，专业化服务力量薄弱，人员和资金投入不足。

我们必须认识到，对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向[9]，同时落实这一制度又需要一个不断完善，动态调整、循序渐进、因地制宜的过程[10]。目前，我国正面临等级保护工作的大好机遇，既有此前若干年的经验积累优势，也有客观环境和政策支持优势。四中全会决定中对“科学立法、严格执法、公正司法、全民守法”进行了系统布局，对网络空间和信息化领域立法势在必行。信息安全等级保护制度与网络安全和信息化法制建设相辅相成，信息安全等级保护制度为网络安全和信息化立法提供依据和参考，同时规范的网络安全和信息化法治环境又能进一步促进信息安全等级保护制度的开展和落实。我们必须运用法治思维和法治方式，全面推进网络安全和信息化发展，发挥法治对网络安全和信息化建设的引领和规范作用，全方位推进网络安全和信息化法治进程，为建设网络强国提供强大的法治保障。

[1]范红，信息安全风险管理评估规范国家标准理解和实施，中国国家标准出版社，2007

[2]DoD，Trust computer system evaluation criteria（orange book），26 December 1985

[3]《信息安全等级保护管理办法》（公通字【2007】43号），公安部，2007

[4]《信息安全等级保护的实施意见》（公信安【2007】861号），公安部、国家保密局、国家密码管理委员会和国家信息办，2007

[5]郭启全，《充分借鉴北京奥运网络安全保卫成功经验深入推进信息安全等级保护工作》，2008

[6]蔡皖东，网络与信息安全，西北工业大学出版社，2004，53（3）：1～7

[7]国家信息安全工程技术研究中心，电子政务总体设计与技术实现，北京：电子工业出版社，1977.58～62

[8]《如何理解信息安全等级保护与分级保护》；电信科学技术第十研究所；2010

[9]《中华人民共和国计算机信息系统安全保护条例》；国务院；1994

[10]《计算机信息系统安全等级标准划分准则》（GB17859-1999）