自7月20日全國重要信息系統(tǒng)安全等級保護定級工作電視電話會議以來����,重要信息系統(tǒng)安全等級保護定級工作(以下簡稱“定級工作”)在各部門��、各單位積極部署開展起來�����。近兩個月來,我受國家信息安全等級保護協(xié)調(diào)小組辦公室的邀請�,參加了對教育部、衛(wèi)生部等部委的調(diào)研�����、指導定級工作�����。同時���,應有關(guān)部委的邀請參加了奧組委��、鐵道部、發(fā)改委等部門信息系統(tǒng)定級評審工作���,與有關(guān)專家對相關(guān)部門的信息系統(tǒng)進行分析��、研究����,并評審所確定的信息系統(tǒng)安全保護等級�����。
在上述工作過程中,我感到許多單位對定級工作高度重視���,有些部委成立了由主要領導掛帥的等級保護領導(協(xié)調(diào))機構(gòu)��,確定專門的責任部門牽頭負責此項工作���,認真研究部署,積極采取有力措施��,結(jié)合行業(yè)實際����,制定出臺了定級工作的指導意見或?qū)嵤┓桨福朔r間緊����、任務重、工作新的不利因素����,穩(wěn)步、扎實推進定級工作。通過定級工作的開展�,許多信息系統(tǒng)運營使用單位和主管部門對信息安全等級保護工作的重要性、緊迫性有了充分認識���。同時�,公安機關(guān)作為牽頭部門�,積極發(fā)揮職能作用,不斷增強服務保障意識��,與相關(guān)單位加強協(xié)調(diào)配合����,不斷加強對定級工作的監(jiān)督、檢查和指導�,為全面貫徹落實國家信息安全等級保護制度提供了有力保障。
在調(diào)研�����、定級評審過程中���,也發(fā)現(xiàn)當前定級工作還存在少數(shù)部門信息系統(tǒng)定級不合理、不準確問題�。結(jié)合工作中掌握的一些具體情況,我認為主要有以下幾方面原因:一是有些部門未能站在國家安全�����、社會穩(wěn)定的高度統(tǒng)籌考慮信息系統(tǒng)等級,而僅從行業(yè)和信息系統(tǒng)自身安全角度考慮�����。二是有些部門認為信息系統(tǒng)級別定高����,要花費更多的資金,單位負擔加重���。三是有些部門對本行業(yè)下級單位定級指導不力�,同類信息系統(tǒng)下級部門定級偏低����,特別是一些重要行業(yè)地市級單位的系統(tǒng)級別偏低。四是少數(shù)部門領導對定級工作重視不夠����,還有些部門以信息系統(tǒng)運維單位為主進行定級,業(yè)務單位參與定級不夠��。
信息安全等級保護制度是國家信息安全保障的基本制度,而定級是等級保護工作的首要環(huán)節(jié)和關(guān)鍵環(huán)節(jié)�,定級不準,系統(tǒng)備案�����、建設�、整改、等級測評等后續(xù)工作都會失去意義��,信息系統(tǒng)安全就沒有保證��。定級時應主要考慮信息系統(tǒng)破壞后對國家安全����、社會穩(wěn)定的影響。確定為三級以上的信息系統(tǒng)����,均屬于國家的重要信息系統(tǒng),是國家要保護的重點�����,國家財政��、有關(guān)部門要投入財力�����、物力���、人力�����,保證其安全��。重要信息系統(tǒng)屬于國家關(guān)鍵基礎設施����,需要運營使用單位���、主管部門真正承擔起安全責任����,同時����,信息安全監(jiān)管部門代表國家對重要信息系統(tǒng)的安全進行監(jiān)督���、檢查、指導���。在重要信息系統(tǒng)安全方面���,運營使用單位和主管部門是第一責任部門,負主要責任�,信息安全監(jiān)管部門是第二責任部門,負監(jiān)管責任�。運營使用單位、主管部門和信息安全監(jiān)管部門密切配合����,共同承擔責任,才能保護好國家基礎信息網(wǎng)絡和重要信息系統(tǒng)的安全����。
結(jié)合有些單位在定級工作中存在的問題,我就信息系統(tǒng)定級談幾點意見��。
(一)準確確定定級對象��。在定級工作中���,如何科學��、合理地確定定級對象是最關(guān)鍵的問題��。這里首先要明確一個概念�����,信息系統(tǒng)包括起支撐�、傳輸作用的基礎信息網(wǎng)絡和各類應用系統(tǒng)���。具體工作中�,應按如下原則確定定級對象:
一是起支撐���、傳輸作用的基礎信息網(wǎng)絡要作為定級對象�����。但不是將整個網(wǎng)絡作為一個定級對象�����,而是要從安全管理和安全責任的角度將基礎信息網(wǎng)絡劃分成若干個最小安全域或最小單元去定級���。
二是專網(wǎng)�、內(nèi)網(wǎng)���、外網(wǎng)等網(wǎng)絡系統(tǒng)(包括網(wǎng)管系統(tǒng))要作為定級對象��。同基礎信息網(wǎng)絡一樣��,也不能將整個網(wǎng)絡系統(tǒng)作為一個定級對象����,而是要從安全管理和安全責任的角度將網(wǎng)絡系統(tǒng)劃分成若干個最小安全域或最小單元去定級����。
三是各單位網(wǎng)站要作為獨立的定級對象。如果網(wǎng)站的后臺數(shù)據(jù)庫管理系統(tǒng)安全級別高��,也要作為獨立的定級對象��。網(wǎng)站上運行的信息系統(tǒng)(例如對社會服務的報名考試系統(tǒng))也要作為獨立的定級對象�����。
四是用于生產(chǎn)���、調(diào)度��、管理���、作業(yè)�、指揮�、辦公等目的的各類應用系統(tǒng)�����,要按照不同業(yè)務類別單獨確定為定級對象�����,不以系統(tǒng)是否進行數(shù)據(jù)交換��、是否獨享設備為確定定級對象條件�。不能將某一類信息系統(tǒng)作為一個定級對象去定級。
五是確認負責定級的單位是否對所定級系統(tǒng)負有業(yè)務主管責任�����。也就是說�,業(yè)務部門應主導對業(yè)務信息系統(tǒng)定級�,運維部門(例如信息中心�����、托管方)可以協(xié)助定級并按照業(yè)務部門的要求開展后續(xù)安全保護工作�����。
六是具有信息系統(tǒng)的基本要素�。作為定級對象的信息系統(tǒng)應該是由相關(guān)的和配套的設備、設施按照一定的應用目標和規(guī)則組合而成的有形實體��。應避免將某個單一的系統(tǒng)組件(如服務器����、終端、網(wǎng)絡設備等)作為定級對象�。
(二)科學、合理����、準確確定信息系統(tǒng)安全保護等級。信息系統(tǒng)的安全保護等級是信息系統(tǒng)本身的客觀自然屬性�,不應以已采取或?qū)⒉扇∈裁窗踩Wo措施為依據(jù),而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定��、人民群眾合法權(quán)益的危害程度為依據(jù)�,確定信息系統(tǒng)的安全等級。
針對不同的信息系統(tǒng)�����,建議參考以下原則定級�。
第一級信息系統(tǒng):一般適用于鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級某些單位中一般的信息系統(tǒng)�����、小型私營�����、個體企業(yè)��、中小學的信息系統(tǒng)�����。
第二級信息系統(tǒng):一般適用于縣級某些單位中的重要信息系統(tǒng)��,地市級以上國家機關(guān)���、企業(yè)��、事業(yè)單位內(nèi)部一般的信息系統(tǒng)�。例如非涉及工作秘密����、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等��。
第三級信息系統(tǒng):一般適用于地市級以上國家機關(guān)��、重要企事業(yè)單位內(nèi)部重要的信息系統(tǒng)��。例如涉及工作秘密�����、商業(yè)秘密��、敏感信息的辦公系統(tǒng)和管理系統(tǒng)��,重要領域�、重要部門跨省、跨市或全國(省)聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度�、管理、作業(yè)���、指揮等方面的重要信息系統(tǒng)���,跨省或全國聯(lián)網(wǎng)運行的重要信息系統(tǒng)在省、地市的分支系統(tǒng)��,中央各部委�、省(區(qū)、市)門戶網(wǎng)站和重要網(wǎng)站��,跨省聯(lián)接的網(wǎng)絡系統(tǒng)等����。
第四級信息系統(tǒng):一般適用于國家重要領域�����、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)���。例如全國鐵路��、民航�����、電力等部門的調(diào)度系統(tǒng)�����,銀行�、證券、保險�����、稅務�、海關(guān)等幾十個重要行業(yè)、部門中的涉及國計民生的核心系統(tǒng)�。
第五級信息系統(tǒng):一般適用于國家重要領域、重要部門中的極端重要系統(tǒng)�。
(三)系統(tǒng)等級的確定與審批?���?缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng),可以由主管部門統(tǒng)一確定安全保護等級���。其中:由各行業(yè)統(tǒng)一規(guī)劃�、統(tǒng)一建設、統(tǒng)一安全保護策略的全國聯(lián)網(wǎng)系統(tǒng)���,應由行業(yè)主管部門統(tǒng)一對下各級系統(tǒng)分別確定等級;由各行業(yè)統(tǒng)一規(guī)劃���、分級建設、全國聯(lián)網(wǎng)的信息系統(tǒng)��,應由部��、省���、地市分別確定系統(tǒng)等級����,但各行業(yè)主管部門應對該類系統(tǒng)提出定級意見�,避免出現(xiàn)同類系統(tǒng)下級定級比上級高的現(xiàn)象。對于該類系統(tǒng)的等級�,下級確定后需報上級主管部門審批����。此外���,需特別注意的是,同類信息系統(tǒng)的安全保護等級不能隨著部�、省、市行政級別的降低而降低���,例如地市級的重要行業(yè)的重要系統(tǒng)不應定為一級或二級�。
聲明:本文來自網(wǎng)絡安全等級保護網(wǎng)��,原文發(fā)布時間:2017-09-11����,版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨立觀點����,不代表本站立場,轉(zhuǎn)載目的在于傳遞更多信息��。如有侵權(quán)��,請聯(lián)系刪除�。
等保測評咨詢
