楊德保

摘要：文章闡述了信息系統(tǒng)等級保護的依據(jù)，各級安全等級信息系統(tǒng)的保護能力和建設(shè)標準，黨政機關(guān)信息系統(tǒng)定級的原則及等級保護實施步驟等。就目前黨政機關(guān)信息系統(tǒng)定級問題，結(jié)合自己的工作體會，提出了黨政機關(guān)信息系統(tǒng)等級保護工作應(yīng)該注意的事項。文章旨在提高黨政機關(guān)領(lǐng)導(dǎo)對于信息系統(tǒng)安全等級保護認識的重要性，促進等級保護工作在信息化建設(shè)中的全面開展，提高黨政機關(guān)信息安全保障水平，同時對從事信息安全人員有一定的借鑒作用。

關(guān)鍵詞：定級；等級保護；等級測評；系統(tǒng)測評；系統(tǒng)運維；系統(tǒng)漏洞

1引言

信息系統(tǒng)安全實行等級保護是在吸納國外先進經(jīng)驗之上，結(jié)合我國信息化建設(shè)實際情況，創(chuàng)立的適合我國信息安全保障基本制度。多年來，在我國信息安全專家的努力下，以引進、消化、吸收、創(chuàng)新為手段，建立了我國信息安全等級保護技術(shù)和管理體系。國務(wù)院第147號令明確要求黨政機關(guān)信息系統(tǒng)必須實行定級備案、等級劃分及等級保護的安全制度。隨后國家有關(guān)部門先后出臺了幾十個有關(guān)等級保護的國家和行業(yè)規(guī)范化文件，這些技術(shù)規(guī)范在我國信息安全等級保護工作中發(fā)揮了極其重要的作用，是我們開展黨政機關(guān)信息系統(tǒng)安全等級保護工作的依據(jù)。

2黨政機關(guān)信息系統(tǒng)等級保護

2.1等級保護三要素

對具有存儲、傳輸、處理信息功能的信息系統(tǒng)實行安全等級保護；對信息和信息系統(tǒng)使用分等級進行管理；對信息安全事件分等級響應(yīng)和處置。確定安全等級即定級是進行等級保護的首要要求。

2.2等級保護責(zé)任

定級是信息系統(tǒng)實行等級保護的重中之重。如果定級不準，那么后續(xù)的等保備案和測評等都將失去作用，無法保證信息及系統(tǒng)的安全。確定為三級以上的信息系統(tǒng)，均屬于國家重要信息系統(tǒng)，是國家相關(guān)部門進行信息系統(tǒng)保護工作的重點，需要運維和主管部門共同承擔(dān)起信息安全責(zé)任，信息安全監(jiān)管部門要經(jīng)常性進行監(jiān)督、檢查和指導(dǎo)。在重要信息系統(tǒng)安全方面，運維單位和主管部門是第一責(zé)任人，信息安全監(jiān)管部門是第二責(zé)任人。無論是哪個等級的信息系統(tǒng)，第一責(zé)任人和第二責(zé)任人要密切配合，共同承擔(dān)責(zé)任，才能做好信息系統(tǒng)等級保護工作。

2.3信息系統(tǒng)安全定級

根據(jù)公安部66號文，將信息系統(tǒng)從低到高定為五個安全等級。單位領(lǐng)導(dǎo)應(yīng)根據(jù)本部門信息系統(tǒng)重要程度合理定級。

2.3.1定級原則

（1）堅持重點保護原則。對事關(guān)社會安定團結(jié)、人民正常生活等重要政務(wù)信息系統(tǒng)要重點保護，要確定為三級以上的重要信息系統(tǒng)，必須集中力量優(yōu)先進行安全建設(shè)。

（2）堅持主管和運維共同負責(zé)原則。要貫徹主管和運行維護共同負責(zé)的原則。按國家標準確定合適的安全等級實施安全保障。

（3）堅持建設(shè)和安全并舉的原則。系統(tǒng)在升級、擴容等應(yīng)當(dāng)同步考慮安全設(shè)施建設(shè)，保持系統(tǒng)安全與信息化水平一致。

（4）堅持等保變更原則。由于信息技術(shù)的不斷進步，黨政機關(guān)信息化社會服務(wù)類型的豐富和服務(wù)水平的不斷提升，信息技術(shù)處于不斷發(fā)展之中，因此安全保護等級應(yīng)該適時變更定級，以適應(yīng)新的系統(tǒng)安全要求。

3黨政機關(guān)信息系統(tǒng)安全定級準則

黨政機關(guān)信息系統(tǒng)安全定級時，要堅持實事求是的原則，不可過高，也不要過低，要合理安全等級。結(jié)合自己等保工作的體會，建議按以下原則定級。

第一級信息系統(tǒng)：一般適用于鄉(xiāng)鎮(zhèn)和縣級機關(guān)內(nèi)部單位一般的政務(wù)信息系統(tǒng)。

第二級信息系統(tǒng)：一般適用于縣級重要系統(tǒng)，地市級機關(guān)單位內(nèi)部一般的信息系統(tǒng)。

第三級信息系統(tǒng)：一般適用于地市級以上機關(guān)單位內(nèi)部重要的信息系統(tǒng)。如電子政務(wù)網(wǎng)、門戶網(wǎng)站等。

第四級和第五級信息系統(tǒng)，一般適用于國家重要部門和中極端重要系統(tǒng)。4等級保護實施過程

黨政機關(guān)信息系統(tǒng)確定等級保護后，需報請公安機關(guān)申請定級審批備案。本單位要組織具有測評資質(zhì)的信息系統(tǒng)等級保護測評單位進行等級測評。完成信息系統(tǒng)測評和整改后，三十日內(nèi)向公安機提交等級保護備案、系統(tǒng)定級情況、等級保護測評等表格，公安機關(guān)驗收后發(fā)給等級保護備案證明書。

5結(jié)語

黨政機關(guān)信息系統(tǒng)是國家安全設(shè)施的重要組成部分，必須按照國家法規(guī)和行業(yè)標準搞好信息安全保障工作，保障和促進信息化健康發(fā)展的基本策略。同時信息安全等級保護是—項經(jīng)常性的工作，必須根據(jù)信息化發(fā)展水平的不同和人們對信息系統(tǒng)的安全需求的高低，建設(shè)具有相應(yīng)保護能力的黨政機關(guān)信息等級保護系統(tǒng)。