郭啟全處長(zhǎng)

        一、近幾年來(lái)公安部牽頭實(shí)施信息安全等級(jí)保護(hù)制度開(kāi)展的具體工作

        按照《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》（國(guó)務(wù)院147號(hào)令）規(guī)定和《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）文件精神，公安部會(huì)同國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息辦開(kāi)展了如下工作。
        一是出臺(tái)了等級(jí)保護(hù)規(guī)范標(biāo)準(zhǔn)。2004年9月聯(lián)合出臺(tái)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)），2007年6月聯(lián)合出臺(tái)了《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)，以下簡(jiǎn)稱《管理辦法》），明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求，明確了信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門(mén)、監(jiān)管部門(mén)在信息安全等級(jí)保護(hù)工作中的職責(zé)、任務(wù)，為開(kāi)展信息安全等級(jí)保護(hù)工作提供了規(guī)范保障；制定了包括《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等50多個(gè)國(guó)標(biāo)和行標(biāo)，初步形成了信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系。
        二是開(kāi)展了等級(jí)保護(hù)基礎(chǔ)調(diào)查工作。2005年底，公安部和國(guó)務(wù)院信息化工作辦公室聯(lián)合印發(fā)了《關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查工作的通知》（公信安[2005]1431號(hào)）。2006年上半年，公安部會(huì)同國(guó)信辦在全國(guó)范圍內(nèi)開(kāi)展了信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查。通過(guò)基礎(chǔ)調(diào)查，基本摸清和掌握了全國(guó)信息系統(tǒng)特別是重要信息系統(tǒng)的基本情況，為制定信息安全等級(jí)保護(hù)政策奠定了堅(jiān)實(shí)的基礎(chǔ)。
        三是開(kāi)展了等級(jí)保護(hù)試點(diǎn)工作。2006年6月，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息辦聯(lián)合下發(fā)了《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)試點(diǎn)工作的通知》（公信安[2006]573號(hào)），在13個(gè)省區(qū)市和3個(gè)部委聯(lián)合開(kāi)展了信息安全等級(jí)保護(hù)試點(diǎn)工作。通過(guò)試點(diǎn)，完善了開(kāi)展等級(jí)保護(hù)工作的模式和思路，檢驗(yàn)和完善了開(kāi)展等級(jí)保護(hù)工作的方法、思路、規(guī)范標(biāo)準(zhǔn)，探索了開(kāi)展等級(jí)保護(hù)工作領(lǐng)導(dǎo)、組織、協(xié)調(diào)的模式和辦法，為全面開(kāi)展等級(jí)保護(hù)工作奠定了堅(jiān)實(shí)的基礎(chǔ)。
        四是部署開(kāi)展定級(jí)工作。2007年7月16日聯(lián)合出臺(tái)了《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安[2007]861號(hào)）。2007年7月20日，四部委在北京聯(lián)合召開(kāi)了“全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話會(huì)議”，部署在全國(guó)范圍內(nèi)開(kāi)展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作。國(guó)家信息安全等級(jí)保護(hù)協(xié)調(diào)小組組長(zhǎng)、公安部副部長(zhǎng)張新楓同志和國(guó)務(wù)院信息化工作辦公室副主任、國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室主任楊學(xué)山同志作了重要講話。國(guó)家信息安全職能部門(mén)、基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)主管部門(mén)、各省（區(qū)、市）公安廳（局）、保密局、國(guó)家密碼管理局、信息化領(lǐng)導(dǎo)小組辦公室和有關(guān)行業(yè)、部門(mén)的負(fù)責(zé)同志出席了會(huì)議。
        為加強(qiáng)信息安全等級(jí)保護(hù)工作的領(lǐng)導(dǎo)，公安部、國(guó)家保密局、國(guó)家密碼管理局聯(lián)合成立了由公安部張新楓副部長(zhǎng)任組長(zhǎng)的“國(guó)家信息安全等級(jí)保護(hù)協(xié)調(diào)小組”，辦公室設(shè)在公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局。

        二、信息安全等級(jí)保護(hù)工作的主要流程及基本要求

        等級(jí)保護(hù)的主要流程包括六項(xiàng)內(nèi)容：一是自主定級(jí)與審批。信息系統(tǒng)運(yùn)營(yíng)使用單位按照等級(jí)保護(hù)管理辦法和定級(jí)指南，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)。有上級(jí)主管部門(mén)的，應(yīng)當(dāng)經(jīng)上級(jí)主管部門(mén)審批?？缡』蛉珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由其主管部門(mén)統(tǒng)一確定安全保護(hù)等級(jí)。二是評(píng)審。在信息系統(tǒng)確定安全保護(hù)等級(jí)過(guò)程中，可以組織專家進(jìn)行評(píng)審。對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)使用單位或主管部門(mén)應(yīng)當(dāng)邀請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審。三是備案。第二級(jí)以上信息系統(tǒng)定級(jí)單位到所在地區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。四是系統(tǒng)安全建設(shè)。信息系統(tǒng)安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)使用單位按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，選擇管理辦法要求的信息安全產(chǎn)品，建設(shè)符合等級(jí)要求的信息安全設(shè)施，建立安全組織，制定并落實(shí)安全管理制度。五是等級(jí)測(cè)評(píng)。信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)使用單位選擇符合管理辦法要求的檢測(cè)機(jī)構(gòu)，對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。六是監(jiān)督檢查。公安機(jī)關(guān)依據(jù)信息安全等級(jí)保護(hù)管理規(guī)范，定期對(duì)第三級(jí)以上的信息系統(tǒng)進(jìn)行安全檢查。運(yùn)營(yíng)使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)提供有關(guān)材料。
        開(kāi)展等級(jí)保護(hù)工作的基本要求是：各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門(mén)，按照“準(zhǔn)確定級(jí)、嚴(yán)格審批、及時(shí)備案、認(rèn)真整改、科學(xué)測(cè)評(píng)”的要求完成等級(jí)保護(hù)的定級(jí)、備案、整改、測(cè)評(píng)等工作。

        三、重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的主要步驟

        信息系統(tǒng)定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)，是開(kāi)展信息系統(tǒng)備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查等工作的重要基礎(chǔ)。信息系統(tǒng)安全級(jí)別定不準(zhǔn)，系統(tǒng)備案、建設(shè)整改、等級(jí)測(cè)評(píng)等工作都失去了針對(duì)性。定級(jí)工作的主要步驟是：
        第一步：開(kāi)展摸底調(diào)查。按照《定級(jí)工作通知》確定的定級(jí)范圍，各單位、各部門(mén)可以組織開(kāi)展對(duì)所屬信息系統(tǒng)進(jìn)行摸底調(diào)查，摸清信息系統(tǒng)底數(shù)，掌握信息系統(tǒng)（包括信息網(wǎng)絡(luò)）的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，為下一步明確要求、落實(shí)責(zé)任奠定基礎(chǔ)。
        第二步：確定定級(jí)對(duì)象。在全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作（以下簡(jiǎn)稱“定級(jí)工作”）中，如何科學(xué)、合理地確定定級(jí)對(duì)象是最關(guān)鍵、最復(fù)雜的問(wèn)題。信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門(mén)按如下原則確定定級(jí)對(duì)象：一是應(yīng)用系統(tǒng)應(yīng)按照不同業(yè)務(wù)類別單獨(dú)確定定級(jí)對(duì)象，不以系統(tǒng)是否進(jìn)行數(shù)據(jù)交換、是否獨(dú)享設(shè)備為確定定級(jí)對(duì)象條件。起傳輸作用的基礎(chǔ)網(wǎng)絡(luò)要作為單獨(dú)的定級(jí)對(duì)象。二是確認(rèn)負(fù)責(zé)定級(jí)的單位是否對(duì)所定級(jí)系統(tǒng)具有安全管理責(zé)任。三是具有信息系統(tǒng)的基本要素。
        第三步：初步確定信息系統(tǒng)等級(jí)。信息系統(tǒng)的安全保護(hù)等級(jí)是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo(hù)措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的安全保護(hù)等級(jí)。既要防止個(gè)別單位片面追求絕對(duì)安全而定級(jí)過(guò)高，也要防止忽視安全定級(jí)偏低。信息網(wǎng)絡(luò)的安全等級(jí)可以參照在其上運(yùn)行的信息系統(tǒng)的等級(jí)、網(wǎng)絡(luò)的服務(wù)范圍和自身的安全需求確定適當(dāng)?shù)谋Ｗo(hù)等級(jí)，不以在其上運(yùn)行的信息系統(tǒng)的最高等級(jí)或最低等級(jí)為標(biāo)準(zhǔn)。
        跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)，可以由主管部門(mén)統(tǒng)一確定安全保護(hù)等級(jí)。由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一安全保護(hù)策略的信息系統(tǒng)，應(yīng)由各部委統(tǒng)一確定一個(gè)級(jí)別；由各部委統(tǒng)一規(guī)劃、分級(jí)建設(shè)、運(yùn)行的信息系統(tǒng)，應(yīng)由部、省、地市分別確定系統(tǒng)等級(jí)，但各行業(yè)應(yīng)對(duì)該類系統(tǒng)提出定級(jí)意見(jiàn)，避免出現(xiàn)同類系統(tǒng)定級(jí)出現(xiàn)較大偏差的問(wèn)題。
        第四步：信息系統(tǒng)等級(jí)評(píng)審。在信息系統(tǒng)安全保護(hù)等級(jí)確定過(guò)程中，可以聘請(qǐng)專家進(jìn)行咨詢?cè)u(píng)審，并出具定級(jí)評(píng)審意見(jiàn)。對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)使用單位或者主管部門(mén)應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審，出具評(píng)審意見(jiàn)。
        第五步：信息系統(tǒng)等級(jí)的最終確定與審批。信息系統(tǒng)運(yùn)營(yíng)使用單位參考專家定級(jí)評(píng)審意見(jiàn)，最終確定信息系統(tǒng)等級(jí)；形成《定級(jí)報(bào)告》。如果專家評(píng)審意見(jiàn)與運(yùn)營(yíng)使用單位意見(jiàn)不一致時(shí)，由運(yùn)營(yíng)使用單位自主決定系統(tǒng)等級(jí)，信息系統(tǒng)運(yùn)營(yíng)使用單位有上級(jí)主管部門(mén)的，應(yīng)當(dāng)經(jīng)上級(jí)主管部門(mén)對(duì)安全保護(hù)等級(jí)進(jìn)行審核批準(zhǔn)。主管部門(mén)一般是指行業(yè)的上級(jí)主管部門(mén)或監(jiān)管部門(mén)。如果是跨地域聯(lián)網(wǎng)運(yùn)營(yíng)使用的信息系統(tǒng)，則必須由其上級(jí)主管部門(mén)審批，確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級(jí)的一致性。
        第六步：備案。第二級(jí)以上信息系統(tǒng)，在安全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門(mén)統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門(mén)向公安部辦理備案手續(xù)?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。定級(jí)工作的結(jié)果是以備案完成為標(biāo)志。
        第七步：備案審核。受理備案的公安機(jī)關(guān)要公布備案受理地點(diǎn)、備案聯(lián)系方式等。在受理備案時(shí)，應(yīng)對(duì)提交的備案材料進(jìn)行完整性審核和定級(jí)準(zhǔn)確性審核。對(duì)符合等級(jí)保護(hù)要求的，應(yīng)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明。發(fā)現(xiàn)定級(jí)不準(zhǔn)的，通知備案單位重新審核確定。
        第八步：及時(shí)總結(jié)并提交總結(jié)報(bào)告。各地區(qū)、各部門(mén)要結(jié)合本地區(qū)、本行業(yè)開(kāi)展定級(jí)工作的實(shí)際，認(rèn)真總結(jié)經(jīng)驗(yàn)和不足，提出改進(jìn)和完善定級(jí)方法的意見(jiàn)和建議。要及時(shí)總結(jié)定級(jí)工作經(jīng)驗(yàn)，形成定級(jí)工作總結(jié)報(bào)告，并報(bào)送公安部。

        四、定級(jí)工作完成后需要開(kāi)展的工作

        一是開(kāi)展安全建設(shè)和整改。信息系統(tǒng)定級(jí)、備案工作完成后，運(yùn)營(yíng)使用單位應(yīng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開(kāi)展信息系統(tǒng)安全建設(shè)或者改建工作，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。
        二是開(kāi)展等級(jí)測(cè)評(píng)。信息系統(tǒng)建設(shè)、整改完成后，運(yùn)營(yíng)使用單位或者其主管部門(mén)選擇符合《管理辦法》規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。
        三是開(kāi)展自查。信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門(mén)應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。經(jīng)測(cè)評(píng)或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的，運(yùn)營(yíng)使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。

        五、開(kāi)展安全等級(jí)保護(hù)工作依據(jù)的主要標(biāo)準(zhǔn)

        信息安全等級(jí)保護(hù)工作涉及信息安全科學(xué)基礎(chǔ)、系統(tǒng)建設(shè)、產(chǎn)品、測(cè)評(píng)、管理等多個(gè)方面工作。為保障全面實(shí)施信息安全等級(jí)保護(hù)制度，必須建立信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系。經(jīng)過(guò)公安部、國(guó)信安標(biāo)委、標(biāo)準(zhǔn)編制企事業(yè)單位、有關(guān)專家等多方努力，多年攻關(guān)，目前，已基本形成了由50多個(gè)國(guó)家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)構(gòu)成的比較完整的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系，基本能夠滿足國(guó)家信息安全等級(jí)保護(hù)制度全面實(shí)施的需求?！豆芾磙k法》規(guī)定了信息系統(tǒng)運(yùn)營(yíng)使用單位在等級(jí)保護(hù)工作中按照或參照國(guó)家、行業(yè)技術(shù)標(biāo)準(zhǔn)開(kāi)展系統(tǒng)定級(jí)、建設(shè)、整改、測(cè)評(píng)等工作。鼓勵(lì)重要行業(yè)根據(jù)行業(yè)特點(diǎn)制定等級(jí)保護(hù)行業(yè)標(biāo)準(zhǔn)。