自7月20日全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話會(huì)議以來(lái)，重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作(以下簡(jiǎn)稱“定級(jí)工作”)在各部門、各單位積極部署開(kāi)展起來(lái)。近兩個(gè)月來(lái)，我受國(guó)家信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室的邀請(qǐng)，參加了對(duì)教育部、衛(wèi)生部等部委的調(diào)研、指導(dǎo)定級(jí)工作。同時(shí)，應(yīng)有關(guān)部委的邀請(qǐng)參加了奧組委、鐵道部、發(fā)改委等部門信息系統(tǒng)定級(jí)評(píng)審工作，與有關(guān)專家對(duì)相關(guān)部門的信息系統(tǒng)進(jìn)行分析、研究，并評(píng)審所確定的信息系統(tǒng)安全保護(hù)等級(jí)。

　　在上述工作過(guò)程中，我感到許多單位對(duì)定級(jí)工作高度重視，有些部委成立了由主要領(lǐng)導(dǎo)掛帥的等級(jí)保護(hù)領(lǐng)導(dǎo)(協(xié)調(diào))機(jī)構(gòu)，確定專門的責(zé)任部門牽頭負(fù)責(zé)此項(xiàng)工作，認(rèn)真研究部署，積極采取有力措施，結(jié)合行業(yè)實(shí)際，制定出臺(tái)了定級(jí)工作的指導(dǎo)意見(jiàn)或?qū)嵤┓桨福朔r(shí)間緊、任務(wù)重、工作新的不利因素，穩(wěn)步、扎實(shí)推進(jìn)定級(jí)工作。通過(guò)定級(jí)工作的開(kāi)展，許多信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門對(duì)信息安全等級(jí)保護(hù)工作的重要性、緊迫性有了充分認(rèn)識(shí)。同時(shí)，公安機(jī)關(guān)作為牽頭部門，積極發(fā)揮職能作用，不斷增強(qiáng)服務(wù)保障意識(shí)，與相關(guān)單位加強(qiáng)協(xié)調(diào)配合，不斷加強(qiáng)對(duì)定級(jí)工作的監(jiān)督、檢查和指導(dǎo)，為全面貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度提供了有力保障。

　　在調(diào)研、定級(jí)評(píng)審過(guò)程中，也發(fā)現(xiàn)當(dāng)前定級(jí)工作還存在少數(shù)部門信息系統(tǒng)定級(jí)不合理、不準(zhǔn)確問(wèn)題。結(jié)合工作中掌握的一些具體情況，我認(rèn)為主要有以下幾方面原因：一是有些部門未能站在國(guó)家安全、社會(huì)穩(wěn)定的高度統(tǒng)籌考慮信息系統(tǒng)等級(jí)，而僅從行業(yè)和信息系統(tǒng)自身安全角度考慮。二是有些部門認(rèn)為信息系統(tǒng)級(jí)別定高，要花費(fèi)更多的資金，單位負(fù)擔(dān)加重。三是有些部門對(duì)本行業(yè)下級(jí)單位定級(jí)指導(dǎo)不力，同類信息系統(tǒng)下級(jí)部門定級(jí)偏低，特別是一些重要行業(yè)地市級(jí)單位的系統(tǒng)級(jí)別偏低。四是少數(shù)部門領(lǐng)導(dǎo)對(duì)定級(jí)工作重視不夠，還有些部門以信息系統(tǒng)運(yùn)維單位為主進(jìn)行定級(jí)，業(yè)務(wù)單位參與定級(jí)不夠。

　　信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保障的基本制度，而定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)和關(guān)鍵環(huán)節(jié)，定級(jí)不準(zhǔn)，系統(tǒng)備案、建設(shè)、整改、等級(jí)測(cè)評(píng)等后續(xù)工作都會(huì)失去意義，信息系統(tǒng)安全就沒(méi)有保證。定級(jí)時(shí)應(yīng)主要考慮信息系統(tǒng)破壞后對(duì)國(guó)家安全、社會(huì)穩(wěn)定的影響。確定為三級(jí)以上的信息系統(tǒng)，均屬于國(guó)家的重要信息系統(tǒng)，是國(guó)家要保護(hù)的重點(diǎn)，國(guó)家財(cái)政、有關(guān)部門要投入財(cái)力、物力、人力，保證其安全。重要信息系統(tǒng)屬于國(guó)家關(guān)鍵基礎(chǔ)設(shè)施，需要運(yùn)營(yíng)使用單位、主管部門真正承擔(dān)起安全責(zé)任，同時(shí)，信息安全監(jiān)管部門代表國(guó)家對(duì)重要信息系統(tǒng)的安全進(jìn)行監(jiān)督、檢查、指導(dǎo)。在重要信息系統(tǒng)安全方面，運(yùn)營(yíng)使用單位和主管部門是第一責(zé)任部門，負(fù)主要責(zé)任，信息安全監(jiān)管部門是第二責(zé)任部門，負(fù)監(jiān)管責(zé)任。運(yùn)營(yíng)使用單位、主管部門和信息安全監(jiān)管部門密切配合，共同承擔(dān)責(zé)任，才能保護(hù)好國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。

　　結(jié)合有些單位在定級(jí)工作中存在的問(wèn)題，我就信息系統(tǒng)定級(jí)談幾點(diǎn)意見(jiàn)。

　　(一)準(zhǔn)確確定定級(jí)對(duì)象。在定級(jí)工作中，如何科學(xué)、合理地確定定級(jí)對(duì)象是最關(guān)鍵的問(wèn)題。這里首先要明確一個(gè)概念，信息系統(tǒng)包括起支撐、傳輸作用的基礎(chǔ)信息網(wǎng)絡(luò)和各類應(yīng)用系統(tǒng)。具體工作中，應(yīng)按如下原則確定定級(jí)對(duì)象：

　　一是起支撐、傳輸作用的基礎(chǔ)信息網(wǎng)絡(luò)要作為定級(jí)對(duì)象。但不是將整個(gè)網(wǎng)絡(luò)作為一個(gè)定級(jí)對(duì)象，而是要從安全管理和安全責(zé)任的角度將基礎(chǔ)信息網(wǎng)絡(luò)劃分成若干個(gè)最小安全域或最小單元去定級(jí)。

　　二是專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)等網(wǎng)絡(luò)系統(tǒng)(包括網(wǎng)管系統(tǒng))要作為定級(jí)對(duì)象。同基礎(chǔ)信息網(wǎng)絡(luò)一樣，也不能將整個(gè)網(wǎng)絡(luò)系統(tǒng)作為一個(gè)定級(jí)對(duì)象，而是要從安全管理和安全責(zé)任的角度將網(wǎng)絡(luò)系統(tǒng)劃分成若干個(gè)最小安全域或最小單元去定級(jí)。

　　三是各單位網(wǎng)站要作為獨(dú)立的定級(jí)對(duì)象。如果網(wǎng)站的后臺(tái)數(shù)據(jù)庫(kù)管理系統(tǒng)安全級(jí)別高，也要作為獨(dú)立的定級(jí)對(duì)象。網(wǎng)站上運(yùn)行的信息系統(tǒng)(例如對(duì)社會(huì)服務(wù)的報(bào)名考試系統(tǒng))也要作為獨(dú)立的定級(jí)對(duì)象。

　　四是用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮、辦公等目的的各類應(yīng)用系統(tǒng)，要按照不同業(yè)務(wù)類別單獨(dú)確定為定級(jí)對(duì)象，不以系統(tǒng)是否進(jìn)行數(shù)據(jù)交換、是否獨(dú)享設(shè)備為確定定級(jí)對(duì)象條件。不能將某一類信息系統(tǒng)作為一個(gè)定級(jí)對(duì)象去定級(jí)。

　　五是確認(rèn)負(fù)責(zé)定級(jí)的單位是否對(duì)所定級(jí)系統(tǒng)負(fù)有業(yè)務(wù)主管責(zé)任。也就是說(shuō)，業(yè)務(wù)部門應(yīng)主導(dǎo)對(duì)業(yè)務(wù)信息系統(tǒng)定級(jí)，運(yùn)維部門(例如信息中心、托管方)可以協(xié)助定級(jí)并按照業(yè)務(wù)部門的要求開(kāi)展后續(xù)安全保護(hù)工作。

　　六是具有信息系統(tǒng)的基本要素。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件(如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等)作為定級(jí)對(duì)象。

　　(二)科學(xué)、合理、準(zhǔn)確確定信息系統(tǒng)安全保護(hù)等級(jí)。信息系統(tǒng)的安全保護(hù)等級(jí)是信息系統(tǒng)本身的客觀自然屬性，不應(yīng)以已采取或?qū)⒉扇∈裁窗踩Ｗo(hù)措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的安全等級(jí)。

　　針對(duì)不同的信息系統(tǒng)，建議參考以下原則定級(jí)。

　　第一級(jí)信息系統(tǒng)：一般適用于鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級(jí)某些單位中一般的信息系統(tǒng)、小型私營(yíng)、個(gè)體企業(yè)、中小學(xué)的信息系統(tǒng)。

　　第二級(jí)信息系統(tǒng)：一般適用于縣級(jí)某些單位中的重要信息系統(tǒng)，地市級(jí)以上國(guó)家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。

　　第三級(jí)信息系統(tǒng)：一般適用于地市級(jí)以上國(guó)家機(jī)關(guān)、重要企事業(yè)單位內(nèi)部重要的信息系統(tǒng)。例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)，重要領(lǐng)域、重要部門跨省、跨市或全國(guó)(省)聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮等方面的重要信息系統(tǒng)，跨省或全國(guó)聯(lián)網(wǎng)運(yùn)行的重要信息系統(tǒng)在省、地市的分支系統(tǒng)，中央各部委、省(區(qū)、市)門戶網(wǎng)站和重要網(wǎng)站，跨省聯(lián)接的網(wǎng)絡(luò)系統(tǒng)等。

　　第四級(jí)信息系統(tǒng)：一般適用于國(guó)家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。例如全國(guó)鐵路、民航、電力等部門的調(diào)度系統(tǒng)，銀行、證券、保險(xiǎn)、稅務(wù)、海關(guān)等幾十個(gè)重要行業(yè)、部門中的涉及國(guó)計(jì)民生的核心系統(tǒng)。

　　第五級(jí)信息系統(tǒng)：一般適用于國(guó)家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。

　　(三)系統(tǒng)等級(jí)的確定與審批?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)，可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)。其中：由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一安全保護(hù)策略的全國(guó)聯(lián)網(wǎng)系統(tǒng)，應(yīng)由行業(yè)主管部門統(tǒng)一對(duì)下各級(jí)系統(tǒng)分別確定等級(jí);由各行業(yè)統(tǒng)一規(guī)劃、分級(jí)建設(shè)、全國(guó)聯(lián)網(wǎng)的信息系統(tǒng)，應(yīng)由部、省、地市分別確定系統(tǒng)等級(jí)，但各行業(yè)主管部門應(yīng)對(duì)該類系統(tǒng)提出定級(jí)意見(jiàn)，避免出現(xiàn)同類系統(tǒng)下級(jí)定級(jí)比上級(jí)高的現(xiàn)象。對(duì)于該類系統(tǒng)的等級(jí)，下級(jí)確定后需報(bào)上級(jí)主管部門審批。此外，需特別注意的是，同類信息系統(tǒng)的安全保護(hù)等級(jí)不能隨著部、省、市行政級(jí)別的降低而降低，例如地市級(jí)的重要行業(yè)的重要系統(tǒng)不應(yīng)定為一級(jí)或二級(jí)。

　　聲明：本文來(lái)自網(wǎng)絡(luò)安全等級(jí)保護(hù)網(wǎng)，原文發(fā)布時(shí)間：2017-09-11，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)，不代表本站立場(chǎng)，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請(qǐng)聯(lián)系刪除。