從維護國家安全、社會秩序和公共利益的戰(zhàn)略高度來看，做好信息系統(tǒng)安全等級保護越來越重要，其制度的落實和實施不能虛有其表。

分級保護意義重大

當前信息系統(tǒng)安全保護等級的劃分共分為5 級，分別為自主保護級、指導保護級、監(jiān)督保護級、強制保護級以及?？乇Ｗo級。

實施信息安全等級保護意義重大，不僅有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設協(xié)調(diào)發(fā)展，而且為信息系統(tǒng)安全建設和管理提供了系統(tǒng)性、針對性、可行性的指導和服務，有效控制了信息安全建設成本。同時，信息安全等級保護對信息安全資源的配置進行了優(yōu)化，重點保障了關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全。需要重點提到的是，信息安全等級保護明確了國家、法人和其他組織、公民的信息安全責任，進一步加強了信息安全管理。

安全保障尚存問題

近幾年，針對我國基礎信息網(wǎng)絡和重要信息系統(tǒng)的違法犯罪持續(xù)上升，同時敵對勢力的入侵、攻擊和破壞也時有發(fā)生。這類違法犯罪事件主要包括：

1.病毒侵襲

信息化應用在社會生產(chǎn)中的作用日益凸顯，與之相對應的，針對于此的攻擊也越來越多，并越來越具有破壞性。舉例來說，2010年7月，震網(wǎng)病毒開始在中國、印度、俄羅斯等多個國家爆發(fā)，其也是世界上首個以直接破壞工業(yè)基礎設施為目標的蠕蟲病毒，被稱為網(wǎng)絡“超級武器”。據(jù)統(tǒng)計，當時全球約4.5 萬個網(wǎng)絡被該病毒感染。

2.系統(tǒng)漏洞

我國工控市場過度開放，國外產(chǎn)品占據(jù)大部分市場，如PLC(可編程邏輯控制器)國內(nèi)產(chǎn)品的市場占有率不到1%，衛(wèi)星導航芯片95%依賴進口。在現(xiàn)有的自動化系統(tǒng)中，國外產(chǎn)品在核心自動化控制部分仍占很大比例。而國外工業(yè)控制芯片和工業(yè)控制系統(tǒng)產(chǎn)品，在設計和配置上都可能存在漏洞，這些漏洞有可能為敵對勢力所利用，一旦得逞，所造成的后果難以估量。

3.黑客攻擊

在利益鏈條的驅(qū)動下，近年來，黑客入侵、后門植入等攻擊事件頻繁發(fā)生。2012年1月，Putty 等服務器遠程管理工具的漢化中文版被曝出存在后門，其可以將服務器的IP 地址、root 密碼、連接端口等信息發(fā)送給攻擊者，攻擊者可通過后門對服務器承載的重要數(shù)據(jù)進行拷貝、添加、刪除等操作。

4.外包隱患

2011年，某單位信息中心數(shù)據(jù)備份系統(tǒng)服務外包，磁盤陣列中使用的一塊磁盤丟失。安全專家進行安全事件后果分析，認為不排除重要信息被泄露的可能。

近幾年來，我國高度重視信息系統(tǒng)的風險防范，通過多種措施的制定和實施，信息安全保障工作取得了很大進展，但是從總體上看還存在一些問題。首先，信息安全工作不被重視，重要信息系統(tǒng)未落實關鍵安全保護技術措施; 其次，信息安全管理制度體系不完善，信息安全責任制落實不到位，重要信息系統(tǒng)保護不得力;第三、缺少應有的崗位設置，人員和資金投入不足;最后，我國信息技術產(chǎn)品與國外還存在一定差距，安全專業(yè)化服務力量薄弱。

謹防測評風險

隨著我國國民經(jīng)濟和社會信息化進程的全面加快，信息系統(tǒng)的基礎性、全局性作用日益顯現(xiàn)，保障信息安全已成為當前信息化發(fā)展中迫切需要解決的重大問題，信息系統(tǒng)安全等級保護的落實和實施勢在必行。

信息系統(tǒng)安全等級保護的核心，是對信息系統(tǒng)分等級和按標準進行建設、管理和監(jiān)督。要突出重點、分級負責、分類指導、分步實施，按照誰主管誰負責、誰運營誰負責、誰使用誰負責的要求，有效落實等級保護責任和措施。

1.科學定級，嚴格備案。信息系統(tǒng)的運營、使用單位必須按照等級保護的管理規(guī)范和技術標準，確定其信息系統(tǒng)的安全保護等級。對重要信息系統(tǒng)，其運營、使用單位及其主管部門應通過專家委員會的安全評審。安全保護等級在二級以上的信息系統(tǒng)，以及跨地域的信息系統(tǒng)應按要求向管轄公安機關備案。

2.建設整改，落實措施。對已有的信息系統(tǒng)，其運營、使用單位要根據(jù)已經(jīng)確定的信息安全保護等級，按照等級保護的管理規(guī)范和技術標準，采購和使用相應等級的信息安全產(chǎn)品，落實安全技術措施，完成系統(tǒng)整改。對新建、改建、擴建的信息系統(tǒng)，應當按照等級保護的管理規(guī)范和技術標準進行信息系統(tǒng)的規(guī)劃設計、建設施工。

3.自查自糾，落實要求。信息系統(tǒng)的運營、使用單位及其主管部門要按照等級保護的管理規(guī)范和技術標準，對已經(jīng)完成安全等級保護建設的信息系統(tǒng)，定期進行安全狀況檢測評估，及時消除安全隱患和漏洞，發(fā)現(xiàn)問題及時整改，不斷加強信息安全等級保護能力。

4.監(jiān)督檢查，完善保護。公安機關要按照等級保護的管理規(guī)范和技術標準的要求，重點對三級及以上安全等級的信息系統(tǒng)進行監(jiān)督檢查。發(fā)現(xiàn)安全保護不符合管理規(guī)范和技術標準的，要通知相關部門限期整改，確保信息安全等級保護的完善實施。

在實施過程中，信息系統(tǒng)的運營、使用單位要謹防測評風險。尤其是金融系統(tǒng)要加強風險管控，嚴防測評過程中突發(fā)事故和泄密事件的發(fā)生。各級金融企業(yè)、單位要按照中國人民銀行發(fā)布的有關標準要求，嚴格選擇符合資質(zhì)的測評機構和測評人員，同時要加強等級測評的資源管理和過程管理，做好測評設備和過程的隔離和封閉，確保測評過程在安全可控的前提下規(guī)范化實施。對等級測評中發(fā)現(xiàn)的問題，要及時采取防范措施加以防控或緩釋，并進一步制定和落實相應的整改方案，使信息系統(tǒng)的安全等級保護得以有效落實。