公安部赵林:国家等级信息保护基本政策解读
发布时间:2011-03-29   作者:赵林

27号文件印发之后,国家在等级信息保护方面做了一些工作,对于等级信息安全的重大问题进行了协商。第二个是制定了管理办法,这是一个文件,因为我们考虑到等级保护的问题确实也比较复杂,那么目前立法的条件不成熟,所以我们以文件的形式印发。第三个是制定了等级保护系列的标准,大概有40到50个标准,这个也是属于比较艰巨的基础性工作。第四个就是开展了等级保护的基础调查工作,这个是由公安部和国信办在去年上半年在全国范围内组织的,这个对于我们全国了解我们国家各行业和各地区信息系统的分布情况有了一个初步的认识。第五个就是部署开展了等级保护的试点工作,这个是在去年的下半年,在13个省和 2、3个部委开始了非涉秘系统和涉秘系统的保护工作。通过系统我们对有关的管理模式和技术标准,还有相应实施的步骤方法得到了进一步的验证。第六项是我们去年年底开始筹备在全国开展信息系统定级工作,目前这项工作正在准备。

 

那么等级保护最近这些年有很多的专家、学者和单位都对等级保护有这样那样的认识,那么我谈一下我对等级保护最核心的认识。

 

第一就是等级保护是信息安全保障工作中国家意志的体现。为什么这么讲?在所有信息安全保障工作中,等级保护作为由公安机关牵头负责的工作,就一件普通的信息安全工作而言,通过国家机器来对工作进行组织实施和监督管理,应该说这个体现了等级保护有别于像灾难备份、风险评估等等相关的信息安全保障工作,这个里面体现了国家通过构建等级保护制度来实施信息安全保障这样的思想。

 

第二个是解决信息安全问题重要的方法之一。解决信息安全问题等级保护不是唯一的方法,也不是最有效的方法,它应该是众多的方法之一。特别是在等级保护里面也有很多包括我们的从整个IT生命周期全过程的管理的思想和内容,也有从制度到技术到人员管理等各方面的内容。应该说是一个渗透得比较全面的解决办法这样一个管理制度。

 

第三个是它承载信息安全保障政策和制度的基础。这是一个基本制度。那么在27号文件里面,对等级保护制度确定了基础的地位,特别是目前我们国家信息安全保障情况下,通过等级保护制度在政府监管下实施能够同时带动和推动像灾难备份、风险评估、应急处置等等一系列相关的工作。那么这个也可以从另外一个侧面看到,等级保护它的基础的作用。

 

那么等级保护的内容比较多,从核心的思想中,我觉得可以从三个方面理解。

 

第一个是从政府的角度。政府通过统一制定信息安全管理的一些政策、规范和标准,组织信息系统的运营使用单位和主管部门实施等级保护。同时,监督、检查和指导等级保护工作的落实情况。

 

第二个是从用户的角度。就是执行、落实有关的管理规范和技术标准,开展相应地信息系统的建设,包括自主的一些定级工作,自主的评估测评工作,自查的工作等等,这些都是用户自己来落实相应地安全职责。同时,服从政府的监督管理,保障信息系统和信息网络的安全。

 

第三个是社会的角度。需要在等级保护工作中提供社会化信息安全等级这方面的服务,这里面包括系统的定级,等级的测评,等级系统的建设等等一系列这方面的工作。同时作为第三方要纳入政府的监管体系。

 

那么第三个是关于等级的划分。等级的划分应该说是从99年划分就17859这个标准以后,前后出现了很多保护等级的概念。这个我们可以这么理解,就是17859是一个从最早我们提出来关于等级保护的技术方面的概念,那么在管理办法里面我们又从管理的角度又提出了一个概念,先不管是从技术角度还是角度,那么我们现在按照目前的划分是这么一个概念。就是在这个里面有一个侵害的对象是谁?侵害的程度是什么?这个是两个重要的要素,同时也要看它是一个什么样的系统。那么,如果是第三级的系统,那么这个里面所说的重要系统,就是涉及国家安全、社会秩序和公共利益的系统。如果造成了攻击、破坏后,它只是对社会秩序和公共利益造成了损害,或者是对国家安全造成了损害,这个就属于第三级的系统。那么国家对于这种系统,从政府的角度就是实行监督检查。一般的系统就是涉及到公民法人和其他法人的合法权益,或者是部分涉及到社会秩序和公共利益的系统,那么当这个合法权益受到了损害,或者是社会秩序和公共利益受到了损害,那么这个就属于第二级的系统,对于这个系统国家是采用指导的方式进行保护,还有其他的。那么这个就是我们目前对等级保护从法律政策上的界定,当然这个背后还隐含着大量的技术和标准方面的东西。

 

关于几个部门在这个里面的职责分工,公安机关是负责等级保护工作的监督检查指导。那么国家保密部门是负责在等级保护工作中保密的管理。密码管理部门是负责在等级保护工作中涉及密码事项的管理。那么信息办,从国务院信息办和其他的领导小组负责有关工作的协调。行业主管部门应该说是实际上落实等级保护制度非常重要的角色,它是负责组织、实施所管辖信息系统等级保护系统的工作,然后检查它落实的情况。那么运行使用单位应该是信息系统直接的责任者,负着直接的责任,他是具体负责等级保护制度责任的主体。当然还有其他的相关部门,这个是根据职能承担相应的职能。

 

第五个是关于等级保护工作的流程。这个应该是我们目前构造等级保护制度基本的内容。第一步就是自主定级和审批,这是什么概念呢?就是信息系统的运行使用单位,要按照办法和有关的定级指南确定保护等级。如果有上级主管部门的,要经过上级主管部门的审批,这个为什么要确定上级主观呢?就是一个系统的重要程度要把一个系统的等级,可能本级的人员不一定能知道它的重要性,所以他的上级可以对他的重要程度有一个更准确的认识。同时,当这个系统处于跨省或者是全国运行的系统,那么如果是从某一个局部来定位这个系统是不合理的。所以,我们在这个里面,赋予了上级主管部门必要的职能。同时,对于跨省和电信部门的运营,是由上级主管部门统一确定安全保护等级。比如说像铁道部全国运行的系统,就是铁道部统一确定保护等级。

 

第二个就是评审。因为在定级的过程中,有可能出现定级单位对定级并不是很准。可能包括信息安全的这些主管部门、职能部门、专家、学者他们对定级有见解,所以我们安排了评审的阶段。那么通过这个评审来达到一个主管部门、运行使用单位和信息安全的职能部门能够对定级做出一个更加客观、准确的结果。如果这几个,包括公安部、公安机关,如果职能部门、专家和主管部门对等级意见不一致,以主管部门的意见为准。也就是说,在所有确定等级里面,专家也好、职能部门也好,都是起到一个辅助决策的作用,真正在这个里面起到核心决策作用的是主管部门。所以我们在这个里面也是觉得,通过体现自主定级的精神,同时也把用户在这个里面的,以及用户的主管部门在等级保护工作中的这种责任,能够更加具体、更加明确。

 

第三个步骤是关于系统的建设。这个应该说是等级保护里面最耗时费力的一项工作,而且周期可能会很长。那么这个我想也是等级保护,甚至整个信息安全工作最应该在这个方面去下功夫的。

 

那么等级保护建设工作里面涉及到工程、安全等等的问题,但是这个也是能够把我们很多个企业、研究机构融入到等级保护里面。那么在这个过程中是相当相当重要的环节。包括我们测评、定级的工作,一系列安全保障制度性的工作,最终都要体现在你这个系统是否得到了有效的改善,是否最后达到了更进一步的安全,这个我想是我们信息安全最本质的东西。

 

第四个步骤就是关于测评。这个测评应该说是在对系统的安全状况能够有一个清晰的了解,那么需要产生这样一个测评。那么测评里面实际上和风险评估的有些理念还是基本一致的,就是也包括与用户对系统进行自己的测评,也包括你这个行业自行组织的,甚至行业有测评机构的这样的测评。同时,也包括社会第三方的测评机构的测评。甚至还有靠近政府的说不清楚是第几方的机构的测评。那么这些都是测评的领域的范畴,不管他的身份是什么,他的目的是什么,就是要系统的安全问题要找回来,为系统的改进、建设打下基础。但是测评问题引发了一个问题,你是否具有让用户可信的测评的能力。那么这个目前我们正在积极地研究,有关对测评单位的发展和管理方面的切实可行的做法。不管怎么样,我们在这个方面我们还是倾向于对用户在选择测评单位的时候,更多地还是应该强调用户在这个里面的责任,不能够把这个测评的单位的审查的责任都推给政府。那么这个我觉得政府分担一部分,用户分担一部分,还可能从行业自律方面承担一部分,共同来完成这样一项工作。单位如果今后国家出台有关的行政法规,如果有一些新的政策出台以后,按新的政策来。

 

那么最后就是关于备案和监督检查。备案我们在设计上采用了一个和以往不同的,由于这个等级保护里面有一部分是这种全程全网的全国运行的系统,就面临着这个备案怎么备?那么我们现在采用了一个这种全程全网的全国运行的系统,由行业主管部门统一向公安部备案。但是,它各地的分支机构向当地市级以上公安机关备案,实际上这里面由公安机关负主要的责任,但是将来包括各地都要采用这个方法,所以我们采用了两级备案的方式。那么将来还要按照这个进行相应的监督检查,那么对于我们的等级系统在检查上有一定的标准。

 

关于政策体系这个就是老生常谈了,从过去的历史到我们最近的几个文件,那么目前我们在信息安全管理办法实行的基础上,我们又搞了一个新的关于等级保护的办法,这个还是一个规范性的文件。


关于标准体系我简单给大家介绍一下,因为我们所有涉及到等级保护的标准数量非常多,而且非常复杂。那么在这些年有很多人士都在问这个是什么关系,我简单给大家介绍一下。就是99年搞的17859的标准,应该是一个等级保护的基础的标准,虽然它实现起来不是一个短时间的问题,但是它是重要的基础标准。那么在实施保护的过程中,指导用户、社会、政府来实施保护。第三个是目标类的,也就是说目前出台的一系列的国标和行标,它应该是我们等级保护工作中建立在 17859这个体系下面的一套上限标准。那么这些标准有一部分的内容在实施起来有一定的问题,有一定的困难,就是跟我们国家信息化的发展,整个产业的发展,达不到这个水平,或者我提出这么一个标准,目前实施起来、实现起来有困难的情况下,那么我们就把这部分姑且定做上限的标准。那么,同时我们又搞了一个叫做基本要求的,这个是一个基限的标准,也就是说它在我们所有的标准里面,这是一个下限,你只要实施本地保护,上限达不到可以,但是下限达不到不行,这个是最基础的。那么这个基限的标准和上限的标准应该说总体的结构是差不多的,在个别的要求上可能有些松动或者是调整。考虑到等级保护目前要实施,对于目前我们国家绝大多数的系统要考虑到在标准方面的适应性。所以,我们在这个里面做了一个下限的规定。那么这样就产生了一个制度两层标准。那么这个我想也是符合目前我们国家实际的,要有一个基本的标准、要求,同时也要给不同层次的发展方向。那么在两个层次里面,实际上我们确定了上限和下限中间的空间,是给今后的一些行业主管部门根据上限的标准,和在下限标准的基础上,能够制定符合本行业特点的这些一些行业的等级保护的规范,来更好地指导每一个行业的开展。因为这些都是属于通用标准,可能具体到某一个重要系统、行业,这个标准不一定100%的能够很直接地去指导。那么对于行业来讲,需要解决真正落地的问题。

 

还有一些产品的技术要求和检测的标准,那么这个是目前我们认为是标准体系大致的构成。

 

另外还有一个等级保护里面涉及大量专业的问题,那么我们在这里面引入了包括国务院信息办成立了等级保护的专家评审委员会,对三级以上重要系统等级进行测评,对一些重大的政策、技术问题进行指导,有这么一个机构,那么各地也在纷纷成立这样的专家机构。那么专家里面也吸收着很多的企业专家人员参加。

 

第二个是关于测评机构。这个测评机构目前在我们国家的发展还是比较慢的。有一些原来做软件测评、计算机测评等等的,但是如何做系统保护测评,这既是对计算机机构提出的要求,也是对用户以后如何选择测评机构提一个要求。

 

第三个就是产品厂商,这是最具生产力的代表。企业在产品保护里面如何找到自己的定位发挥了很大的作用。那么我想从整个产品的设计、研发这个角度要考虑国家现行的标准,要考虑在这个方面如何相适应。不一定是相一致的概念,但是要相适应,要保持一定的关系。那么在系统的定级的过程中,要充分地去发表和参与这个方面的意见,在系统的建设过程中系统配合用户做自查,甚至有一些做第三方的测评机构也有可能从企业中产生。我觉得这个将来会随着形势的发展,企业的作用会越来越大。

 

那么下一步我们准备在今年近期就发布管理办法,然后要组织全国范围内4个部门开展等级保护的定级工作,这个是一个全国性的工作。也就意味这定级工作的开展,就是等级保护工作的全面启动。所以,定级完成了以后,我们后面的几套程序要陆陆续续开始。那么到年底的时候,我们要组织一项专项的检查,看等级保护目前落实的情况。

文章来源:中计在线
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号