自7月20日全国重要信息系统安全等级保护定级工作电视电话会议以来,重要信息系统安全等级保护定级工作(以下简称“定级工作”)在各部门、各单位积极部署开展起来。近两个月来,我受国家信息安全等级保护协调小组办公室的邀请,参加了对教育部、卫生部等部委的调研、指导定级工作。同时,应有关部委的邀请参加了奥组委、铁道部、发改委等部门信息系统定级评审工作,与有关专家对相关部门的信息系统进行分析、研究,并评审所确定的信息系统安全保护等级。
在上述工作过程中,我感到许多单位对定级工作高度重视,有些部委成立了由主要领导挂帅的等级保护领导(协调)机构,确定专门的责任部门牵头负责此项工作,认真研究部署,积极采取有力措施,结合行业实际,制定出台了定级工作的指导意见或实施方案,克服时间紧、任务重、工作新的不利因素,稳步、扎实推进定级工作。通过定级工作的开展,许多信息系统运营使用单位和主管部门对信息安全等级保护工作的重要性、紧迫性有了充分认识。同时,公安机关作为牵头部门,积极发挥职能作用,不断增强服务保障意识,与相关单位加强协调配合,不断加强对定级工作的监督、检查和指导,为全面贯彻落实国家信息安全等级保护制度提供了有力保障。
在调研、定级评审过程中,也发现当前定级工作还存在少数部门信息系统定级不合理、不准确问题。结合工作中掌握的一些具体情况,我认为主要有以下几方面原因:一是有些部门未能站在国家安全、社会稳定的高度统筹考虑信息系统等级,而仅从行业和信息系统自身安全角度考虑。二是有些部门认为信息系统级别定高,要花费更多的资金,单位负担加重。三是有些部门对本行业下级单位定级指导不力,同类信息系统下级部门定级偏低,特别是一些重要行业地市级单位的系统级别偏低。四是少数部门领导对定级工作重视不够,还有些部门以信息系统运维单位为主进行定级,业务单位参与定级不够。
信息安全等级保护制度是国家信息安全保障的基本制度,而定级是等级保护工作的首要环节和关键环节,定级不准,系统备案、建设、整改、等级测评等后续工作都会失去意义,信息系统安全就没有保证。定级时应主要考虑信息系统破坏后对国家安全、社会稳定的影响。确定为三级以上的信息系统,均属于国家的重要信息系统,是国家要保护的重点,国家财政、有关部门要投入财力、物力、人力,保证其安全。重要信息系统属于国家关键基础设施,需要运营使用单位、主管部门真正承担起安全责任,同时,信息安全监管部门代表国家对重要信息系统的安全进行监督、检查、指导。在重要信息系统安全方面,运营使用单位和主管部门是第一责任部门,负主要责任,信息安全监管部门是第二责任部门,负监管责任。运营使用单位、主管部门和信息安全监管部门密切配合,共同承担责任,才能保护好国家基础信息网络和重要信息系统的安全。
结合有些单位在定级工作中存在的问题,我就信息系统定级谈几点意见。
(一)准确确定定级对象。在定级工作中,如何科学、合理地确定定级对象是最关键的问题。这里首先要明确一个概念,信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。具体工作中,应按如下原则确定定级对象:
一是起支撑、传输作用的基础信息网络要作为定级对象。但不是将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。
二是专网、内网、外网等网络系统(包括网管系统)要作为定级对象。同基础信息网络一样,也不能将整个网络系统作为一个定级对象,而是要从安全管理和安全责任的角度将网络系统划分成若干个最小安全域或最小单元去定级。
三是各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统安全级别高,也要作为独立的定级对象。网站上运行的信息系统(例如对社会服务的报名考试系统)也要作为独立的定级对象。
四是用于生产、调度、管理、作业、指挥、办公等目的的各类应用系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。不能将某一类信息系统作为一个定级对象去定级。
五是确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说,业务部门应主导对业务信息系统定级,运维部门(例如信息中心、托管方)可以协助定级并按照业务部门的要求开展后续安全保护工作。
六是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象。
(二)科学、合理、准确确定信息系统安全保护等级。信息系统的安全保护等级是信息系统本身的客观自然属性,不应以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。
针对不同的信息系统,建议参考以下原则定级。
第一级信息系统:一般适用于乡镇所属信息系统、县级某些单位中一般的信息系统、小型私营、个体企业、中小学的信息系统。
第二级信息系统:一般适用于县级某些单位中的重要信息系统,地市级以上国家机关、企业、事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级信息系统:一般适用于地市级以上国家机关、重要企事业单位内部重要的信息系统。例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,重要领域、重要部门跨省、跨市或全国(省)联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息系统,跨省或全国联网运行的重要信息系统在省、地市的分支系统,中央各部委、省(区、市)门户网站和重要网站,跨省联接的网络系统等。
第四级信息系统:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如全国铁路、民航、电力等部门的调度系统,银行、证券、保险、税务、海关等几十个重要行业、部门中的涉及国计民生的核心系统。
第五级信息系统:一般适用于国家重要领域、重要部门中的极端重要系统。
(三)系统等级的确定与审批。跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级。其中:由各行业统一规划、统一建设、统一安全保护策略的全国联网系统,应由行业主管部门统一对下各级系统分别确定等级;由各行业统一规划、分级建设、全国联网的信息系统,应由部、省、地市分别确定系统等级,但各行业主管部门应对该类系统提出定级意见,避免出现同类系统下级定级比上级高的现象。对于该类系统的等级,下级确定后需报上级主管部门审批。此外,需特别注意的是,同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低,例如地市级的重要行业的重要系统不应定为一级或二级。
自7月20日全国重要信息系统安全等级保护定级工作电视电话会议以来,重要信息系统安全等级保护定级工作(以下简称“定级工作”)在各部门、各单位积极部署开展起来。近两个月来,我受国家信息安全等级保护协调小组办公室的邀请,参加了对教育部、卫生部等部委的调研、指导定级工作。同时,应有关部委的邀请参加了奥组委、铁道部、发改委等部门信息系统定级评审工作,与有关专家对相关部门的信息系统进行分析、研究,并评审所确定的信息系统安全保护等级。
在上述工作过程中,我感到许多单位对定级工作高度重视,有些部委成立了由主要领导挂帅的等级保护领导(协调)机构,确定专门的责任部门牵头负责此项工作,认真研究部署,积极采取有力措施,结合行业实际,制定出台了定级工作的指导意见或实施方案,克服时间紧、任务重、工作新的不利因素,稳步、扎实推进定级工作。通过定级工作的开展,许多信息系统运营使用单位和主管部门对信息安全等级保护工作的重要性、紧迫性有了充分认识。同时,公安机关作为牵头部门,积极发挥职能作用,不断增强服务保障意识,与相关单位加强协调配合,不断加强对定级工作的监督、检查和指导,为全面贯彻落实国家信息安全等级保护制度提供了有力保障。
在调研、定级评审过程中,也发现当前定级工作还存在少数部门信息系统定级不合理、不准确问题。结合工作中掌握的一些具体情况,我认为主要有以下几方面原因:一是有些部门未能站在国家安全、社会稳定的高度统筹考虑信息系统等级,而仅从行业和信息系统自身安全角度考虑。二是有些部门认为信息系统级别定高,要花费更多的资金,单位负担加重。三是有些部门对本行业下级单位定级指导不力,同类信息系统下级部门定级偏低,特别是一些重要行业地市级单位的系统级别偏低。四是少数部门领导对定级工作重视不够,还有些部门以信息系统运维单位为主进行定级,业务单位参与定级不够。
信息安全等级保护制度是国家信息安全保障的基本制度,而定级是等级保护工作的首要环节和关键环节,定级不准,系统备案、建设、整改、等级测评等后续工作都会失去意义,信息系统安全就没有保证。定级时应主要考虑信息系统破坏后对国家安全、社会稳定的影响。确定为三级以上的信息系统,均属于国家的重要信息系统,是国家要保护的重点,国家财政、有关部门要投入财力、物力、人力,保证其安全。重要信息系统属于国家关键基础设施,需要运营使用单位、主管部门真正承担起安全责任,同时,信息安全监管部门代表国家对重要信息系统的安全进行监督、检查、指导。在重要信息系统安全方面,运营使用单位和主管部门是第一责任部门,负主要责任,信息安全监管部门是第二责任部门,负监管责任。运营使用单位、主管部门和信息安全监管部门密切配合,共同承担责任,才能保护好国家基础信息网络和重要信息系统的安全。
结合有些单位在定级工作中存在的问题,我就信息系统定级谈几点意见。
(一)准确确定定级对象。在定级工作中,如何科学、合理地确定定级对象是最关键的问题。这里首先要明确一个概念,信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。具体工作中,应按如下原则确定定级对象:
一是起支撑、传输作用的基础信息网络要作为定级对象。但不是将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。
二是专网、内网、外网等网络系统(包括网管系统)要作为定级对象。同基础信息网络一样,也不能将整个网络系统作为一个定级对象,而是要从安全管理和安全责任的角度将网络系统划分成若干个最小安全域或最小单元去定级。
三是各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统安全级别高,也要作为独立的定级对象。网站上运行的信息系统(例如对社会服务的报名考试系统)也要作为独立的定级对象。
四是用于生产、调度、管理、作业、指挥、办公等目的的各类应用系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。不能将某一类信息系统作为一个定级对象去定级。
五是确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说,业务部门应主导对业务信息系统定级,运维部门(例如信息中心、托管方)可以协助定级并按照业务部门的要求开展后续安全保护工作。
六是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象。
(二)科学、合理、准确确定信息系统安全保护等级。信息系统的安全保护等级是信息系统本身的客观自然属性,不应以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。
针对不同的信息系统,建议参考以下原则定级。
第一级信息系统:一般适用于乡镇所属信息系统、县级某些单位中一般的信息系统、小型私营、个体企业、中小学的信息系统。
第二级信息系统:一般适用于县级某些单位中的重要信息系统,地市级以上国家机关、企业、事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级信息系统:一般适用于地市级以上国家机关、重要企事业单位内部重要的信息系统。例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,重要领域、重要部门跨省、跨市或全国(省)联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息系统,跨省或全国联网运行的重要信息系统在省、地市的分支系统,中央各部委、省(区、市)门户网站和重要网站,跨省联接的网络系统等。
第四级信息系统:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如全国铁路、民航、电力等部门的调度系统,银行、证券、保险、税务、海关等几十个重要行业、部门中的涉及国计民生的核心系统。
第五级信息系统:一般适用于国家重要领域、重要部门中的极端重要系统。
(三)系统等级的确定与审批。跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级。其中:由各行业统一规划、统一建设、统一安全保护策略的全国联网系统,应由行业主管部门统一对下各级系统分别确定等级;由各行业统一规划、分级建设、全国联网的信息系统,应由部、省、地市分别确定系统等级,但各行业主管部门应对该类系统提出定级意见,避免出现同类系统下级定级比上级高的现象。对于该类系统的等级,下级确定后需报上级主管部门审批。此外,需特别注意的是,同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低,例如地市级的重要行业的重要系统不应定为一级或二级。