赵林副局长在首届全国信息安全等级保护测评体系建设会议上的讲话(摘编)
发布时间:2011-08-16   作者:佚名

这次会议是信息安全等级保护工作全面深入开展过程中的一次重要会议。会议主要内容是,总结等级测评体系建设和测评工作经验,分析当前面临的形势和存在的主要问题,研究部署下一步工作,尽快实现等级测评和安全建设整改阶段既定工作目标。结合当前等级保护工作情况,我讲三点意见。


一、总结信息安全等级保护工作取得的成效,进一步增强信心


自2007年公安部会同有关部门在全国范围内部署开展信息安全等级保护定级工作以来,各地区、各部门高度重视,按照统一部署,先后组织开展了信息系统定级备案、安全建设整改、等级测评体系建设和等级测评、监督检查等重要工作,初步建立了具有中国特色的信息安全等级保护制度,有力促进了国家信息安全保障工作,有效提高了我国基础信息网络和重要信息系统的安全保护能力。

 

一是切实加强等级保护工作的组织领导,保证了等级保护工作顺利开展。公安部牵头成立了国家信息安全等级保护工作协调小组,建立了54个中央国家机关重点部门等级保护联络员制度,各省均成立等级保护协调(领导)小组。重点行业和部门成立了等级保护协调领导机构,电力、广电、银行、证券、水利、海关、税务、铁路、农业、国土资源、教育等20多个重点行业和部门把落实等级保护制度作为保障本行业重要信息系统安全最有效、最直接的方法和手段,以等级保护工作为抓手,全面系统地开展网络与信息安全工作,有效保护了重要行业的生产业务安全。等级保护对信息安全保障工作的基础性地位和抓手作用充分显现,将等级保护纳入信息安全工作中,将信息安全纳入信息化和单位安全生产管理体系中的思想越来越深入人心。

 

二是建立健全了等级保护政策体系和标准体系,为等级保护制度的贯彻落实提供了保障。几年来,公安部会同有关部门联合出台了《信息安全等级保护管理办法》等一系列政策文件;公安部网络安全保卫局就信息系统备案、等级测评、监督检查等具体工作,制定出台了实施细则或工作规范,形成了比较完备的等级保护政策体系。全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了等级保护所需的《等级划分准则》、《定级指南》、《基本要求》等30多个标准;公安部还指导电力、广电、银行、证券、水利等重点行业出台行业等级保护标准规范,共同形成了比较完备的等级保护标准体系。

 

三是组织开展等级保护定级备案工作,等级保护的重点对象基本明确。各单位、各部门按照“自主定级、专家评审、主管部门审批、公安机关监督”的原则,较好地完成了等级保护定级备案工作。从备案情况看,电信、广电、银行、铁道、海关、税务、民航、证券、电力、公安、国防工业、社会保障等行业第三级以上信息系统所占比例高达86%。其中,生产作业、调度指挥、管理控制等重要业务系统,占所有种类重要信息系统的70%以上,基本上摸清了重点保护的对象。同时,通过开展定级工作,各单位、各部门对信息安全工作的认识和重视程度也明显提高,为下一步工作开展奠定了重要基础。

 

四是积极稳妥地开展等级测评体系建设,为等级保护工作提供了一支可靠的专业技术支撑力量。截至目前,全国已有30个省区市111家测评机构申请单位通过了国家和省级信息安全等级保护工作协调(领导)小组办公室的初审,81家测评机构通过了公安部信息安全等级保护评估中心的测评能力评估,1793人参加了公安部信息安全等级保护评估中心举办的等级测评师培训和考试,其中1360人取得了等级测评师证书,国家信息安全等级保护工作协调小组办公室汇总发布了《全国信息安全等级保护测评机构推荐目录》,已向社会公布并推荐了70家测评机构,等级测评体系初步建立,为各单位、各部门开展等级测评工作奠定了坚实基础。

 

五是深入推进等级测评和安全建设整改工作,有效提高了重要信息系统的安全保护能力。公安部多次组织开展安全建设整改工作培训,树立了国家电网公司、国土资源部等安全建设整改工作典型,电力、海关、证券、教育、税务、广电等20多个重点行业纵向对等级测评和安全建设整改工作进行了阶段性的部署。通过开展等级测评和安全建设整改,及时发现并堵塞了一大批信息系统安全隐患、漏洞和薄弱环节,重要信息系统的安全保护能力得到了很大提高。

 

六是认真组织开展等级保护专项监督检查工作,有效推动了等级保护制度的贯彻落实。去年9月至12月,公安部组织部、省、市三级公安机关,集中对各单位、各部门开展了等级保护工作进行专项检查。通过检查,进一步完善了重要信息系统定级备案工作,纠正了一批系统漏定级、新建系统未定级和系统定级不准等问题;及时掌握了重要行业、部门开展等级保护的工作情况,发现了电力、水利、铁路等工作典型和成功经验,有力促进了等级保护工作的深入开展。同时,通过检查,公安机关初步掌握了重要信息系统安全保护状况,针对安全事件(事故)、应急处置等情况及时提出了整改意见,督促有关部门开展了整改工作。

 

二、认清形势、找准问题,切实增强做好信息安全等级保护工作的责任感和使命感


在各地区、各部门、各单位的共同努力下,等级保护工作取得了一些成绩,令人鼓舞,但是我们也应该看到,国内外信息安全形势日益严峻复杂,等级保护在贯彻落实过程中还存在很多问题和困难。

 

一是对重要信息系统重要性的认识不够。虽然通过等级保护定级工作,各单位对自身信息系统重要性有了一定的认识,定级也基本准确。但是,由于各单位的视角不同,很少会从全国、全社会乃至全球的角度去看待信息系统的重要性,很难把信息系统安全上升到国家安全、社会稳定的高度去分析,对信息系统受到破坏后产生的影响没有充分估计,在定级过程缺乏风险分析和关键性分析,缺乏从系统到部门、部门到行业、行业到领域以及领域之间的相互依赖分析,以及对系统被破坏概率及后果的详细分析,导致一些用户自身对重要信息系统重要性的认识不高,直接影响了开展等级保护工作的自觉性和主动性。

 

二是对等级保护理论和技术的研究还不够。近十多年来,美国等发达国家在关键基础设施保护(CIP)和关键信息基础设施保护(CIIP)方面作了大量研究探索,新观念、新方法、新实践不断出现,极大地丰富了国际关键信息基础设施保护的政策、理论、技术和方法。这些理论和实践,与我国信息安全等级保护制度存在广泛的一致性或相似性,为我国全面审视等级保护工作走过的历程与得失,不断丰富和完善我国等级保护制度的内涵和外延,缩短与国外的差距,提供了十分宝贵的借鉴意义。但我们对这方面的最新发展还缺乏全面、及时、深入、系统地研究,研究方向和重点还不明确,研究力量还比较匮乏,致使等级保护进一步发展后劲不足。

 

三是等级测评和安全建设整改进展还比较缓慢。自信息系统等级保护定级工作基本完成以来,等级测评和安全建设整改工作虽然取得了一些成效,但进展不尽如人意。究其原因,主要是一些备案单位对等级保护制度缺乏深刻认识,对其重要信息系统的重要性缺乏全面深刻认识,后续开展等级测评和安全建设整改的主动性不强,也有部分单位在经费和预算上存在一定困难。同时,测评机构的重要作用发挥不充分,信息安全企业对等级保护安全建设整改工作的认识不到位,公安机关的主动工作能力和服务保障意识不强,相关政府职能部门对等级保护工作的理解和支持还不够,行业主管部门的作用还没有充分发挥,专家组、产学研等社会力量的组织工作及其作用的发挥也不够,加之重要信息系统自身的复杂性等原因,也在一定程度导致等级测评和安全建设整改工作整体进展比较缓慢。

 

四是等级保护未来发展还有许多需要研究解决的问题。《国民经济和社会发展第十二个五年规划纲要》已将实施信息安全等级保护制度列入其中,应从国家政策层面出台有关等级保护发展战略和中长期规划,指导未来等级保护工作的开展。同时,如何进一步完善公安、保密、密码、工信等职能部门分工协作机制,发挥各级发改委、科技、财政、国资委等部门的职能作用;如何加强职能部门与重要信息系统主管部门、运营使用单位之间的战略合作关系,发挥等级保护联络员机制的作用,最大限度地发挥主管部门的职能作用等等,都是我们需要研究解决的问题。


三、积极探索、加倍努力,认真落实信息安全等级保护下一步重点工作


一是进一步提高对信息安全等级保护工作的认识。借鉴有关国家关键信息基础设施保护的先进经验,进一步深化备案单位对其重要信息系统重要性的认识。各级公安机关网安部门要引导备案单位从信息系统到其单位、从单位到行业、从行业到领域,由小到大,由低到高,由微观到宏观,认真分析系统的特征和影响,并从多个层次进行相互依赖性分析。在关键部门分析和相互依赖性分析基础上,探索将风险分析引入定级过程,更加准确地确定重要信息系统的安全保护等级。各测评机构要积极研究探索这方面的做法,总结经验,更好地为备案单位提供技术支撑服务。

 

二是重点推动中央企业开展等级保护工作。按照公安部和国资委《关于进一步推进中央企业信息安全等级保护工作的通知》要求,各地公安机关要主动与本地国资监管部门沟通交流,建立公安、国资监管、有关行业主管部门共同参加的协调配合机制,督促本地中央企业和国有企业高度重视等级保护工作,将等级保护工作纳入企业信息化工作同步推进。近期,公安部将会同国资委举办中央企业等级保护工作培训班,各地公安机关要以此为契机,切实加强等级保护制度的宣传培训,并将定级工作放到首位,全面提高各企业对等级保护工作的认识,全面部署各项工作。

 

三是继续加强等级测评体系建设工作。各地要根据在当地备案的信息系统数量和规模,科学构建测评机构建设布局。等级测评的本质是安全服务,测评机构要树立良好形象,取信于用户,要在提高测评机构服务能力、服务质量、服务水平上下功夫,合理收费,不搞恶意竞争。要充分发挥测评机构等级保护政策和专业技术优势,在不违反测评机构有关规定的前提下,积极参与等级保护宣传教育、定级咨询、信息安全规划和安全建设整改方案制定、安全监理、安全监测、应急响应技术支持等各环节的工作。测评机构要及时掌握备案系统的安全状况,定期汇总分析信息系统安全态势和共性薄弱环节,加强等级测评乃至整个等级保护政策理论和技术的研究,形成专门报告,报送当地公安机关网安部门。凡列入《全国信息安全等级保护测评机构推荐目录》中测评机构的测评活动不受行业、地区限制,各地、各行业不得以各种理由排斥。各级公安机关要加强对测评机构的监督管理,并在工作中严格遵守党风廉政各项规定。

 

四是加快推动等级测评和安全建设整改工作。各地要充分发挥各级等级保护协调领导小组及其办公室的作用,公安机关要与保密、密码、工信等职能部门及行业主管部门协同作战,并及时向当地发改委、财政等部门通报等级保护工作情况,取得他们对备案单位等级测评和安全建设整改工作的理解和支持。要建立健全重要行业和单位的联络员机制,加强横向交流,相互促进。要突出工作重点,重点督促电力、电信、广电、银行、税务、工商、证券、铁路、海关、民航、教育、卫生、社会保障、军工等重点部门的工作,尽快取得规模效应。要通过网络安全典型案件和事件分析等方法,提高备案单位开展等级保护工作的自觉性。要鼓励和引导广大信息安全企事业单位和研究机构,研究探索安全建设整改技术,研发有关产品,尽快满足各备案单位安全建设整改工作的迫切需要。测评机构要通过检测工具和测评辅助管理平台,提高测评效率,完善服务模式,降低测评成本,最大限度地减轻备案单位负担。

 

五是加强监督检查工作。各级公安机关要认真总结去年开展等级保护专项检查的经验,结合本地等级保护工作实际情况,重点围绕备案单位信息安全责任制落实情况、对已备案第三级(含)以上重要信息系统重要性的认识情况、等级测评和安全建设整改开展情况、去年检查存在问题的整改情况等几个方面,部署今年的监督检查工作任务。对所有被检查单位,要以公安厅(局)的名义反馈检查意见,督促其加快开展等级保护各项工作。

 

赵林副局长在会议结束时结合会议讨论的内容,重点强调了几个问题一是关于信息系统定级的问题。要进一步强化信息系统定级备案工作,增加《信息系统重要性分析报告》(以下简称《分析报告》),将关键部门分析、关键资产分析、相互依赖性分析、威胁评价、脆弱性评价、风险分析、影响分析等内容,从宏观层面进行分析,通过《分析报告》使用户建立起对所属信息系统重要性的全面认识,正确确定信息系统安全保护等级,加快开展等级测评和安全建设整改工作。

 

二是关于等级测评工作中的几个问题。相对于《分析报告》,《信息系统等级测评报告》就应当是系统安全性分析报告,要进一步丰富报告内容,注重与《分析报告》的衔接。对于测评报告结论,要探索利用安全性指数标识或分数等形式,量化测评结果,给用户一个客观、公正、直观的结论。同时,要利用测评综合管理平台,加强对测评过程和测评工具的管理和规范。

 

三是对测评机构性质的认识。测评机构从事等级测评工作是按照《管理办法》要求开展的具有公正第三方性质的工作,而测评机构开展的定级咨询、安全建设整改方案制定等其它安全服务是属于乙方性质的安全服务,测评机构要按照不同的服务性质,在第三方与乙方角色间准确转换,即便是第三方的服务内容,也要保持服务心态,通过安全、可靠、优质的服务树立良好的形象。

 

四是关于开展等级保护政策理论和技术研究的问题。这次会议的专题报告题材广泛、很多专题内容是大家在测评实践中遇到问题并探索解决问题的最佳实践,具有很强的指导意义和实用价值。下一步要加强对国际关键信息基础设施保护(CIIP)与等级保护、风险管理与等级保护等方面的研究,探索将标准中要求的安全监测、应急处置等内容纳入等级保护政策层面,丰富等级保护政策内容,推动理论创新。测评机构之间要畅通交流渠道,丰富交流内容,加强对新技术、新应用、新产品、新服务的研究,共同探索,共同提高。五是关于廉政问题。要加强对等级测评体系建设过程中的监督,建立举报机制。公安部网络安全保卫局、公安部信息安全等级保护评估中心以及各省、区、市都要建立举报机制,公布举报电话,严格纪律,坚决杜绝在测评机构审核推荐等工作中出现违法违纪行为。

文章来源:中国信息安全等级保护网
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号