|
其實,以前我根據等級保護相關書籍整理過一次“什么是網絡安全等級保護”,這次想著以過去的等級保護相關法律法規和政策文件重新組織一下,探尋一下“等級保護”的概念來源,重新整理一下,供大家探討。 談“等級保護”,總繞不過去《中華人民共和國計算機信息系統安全保護條例》(簡稱“147號令”)。1994年2月18日,中華人民共和國國務院令147號發布,在該這個條例的第九條明確了計算機信息系統實行安全等級保護,這里我們要清楚一點,就是“等級保護”前面的修飾詞,隨著技術和社會發展,做了一定的調整的。 第九條內容為:計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。 我們看到在這個條例中,雖然明確了實行安全等級保護,但是對“安全等級保護”并未定義,也只是一個名詞以及歸結了責任部門,所以這里還不足以讓我們了解“安全等級保護”是什么?
根據27號文,我們看到在等級保護制度內容涵蓋非涉密和涉密系統的安全保護問題,也就是非涉密系統和涉密系統的安全保護,都是在大的等級保護制度之下的,只是各有不同的安全防護要求和技術實現路徑,到此我們還沒有一個比較明確的定義,來說明什么是“等級保護”,直到下面談到的66號文才出現對等級保護的概念性定義。 2004年9月,公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室聯合下發了《關于信息安全等級保護工作的實施意見》,也就是我們常說的公通字〔2004〕66號,在這個文件中我們初見等級保護的定義即:信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。 由此我們才真正看到“等級保護”確切定義,對信息系統分等級實行安全保護,對安全產品按等級管理、對安全事件分等級響應、處置。等級保護制度是“分等級”的,分別面向系統、產品、事件三個方面,也就說明對于信息系統運營、使用單位、產品提供者、安全服務及事件處置相關方,都在等級保護制度之下,共同納入監管之下,共同開展安全等級保護工作。 在66號文中,明確了等級保護工作分工: 公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。 在信息安全等級保護工作中,涉及其他職能部門管轄范圍的事項,由有關職能部門依照國家法律法規的規定進行管理。 信息和信息系統的主管部門及運營、使用單位按照等級保護的管理規范和技術標準進行信息安全建設和管理。 國務院信息化工作辦公室負責信息安全等級保護工作中部門間的協調。 從概念性上來說,等級保護的概念來自公通字〔2004〕66號文,從法律要求我們最多談及的147號令以及《網絡安全法》,其中《網絡安全法》第二十一條明確,國家實行網絡安全等級保護制度。那么,從147號令中的要求,到《網絡安全法》的要求,歷經二十多年名詞幾經變化,最終確定到如今“網絡安全等級保護”,也就是從計算機信息系統安全等級保護再到信息系統安全等級保護再到網絡安全等級保護,其名稱因技術發展和法律文件而有所變化,但其我國信息化發展保駕護航的使命始終如一。 在許許多多的自媒體文章中,往往在定義“網絡安全等級保護”時,都是直接說《網絡安全法》第二十一條明確“國家實行網絡安全等級保護制度”,但因為“等級保護制度”的概念在此前已經給出了,只是名字稍有變化,所以《網絡安全法》作為網絡安全領域的基本法律,不可能在此展開網絡安全等級保護制度概念性探討。 綜合147號令、27號文、66號文、《網絡安全法》,我們可見其最終定義應該為:網絡安全等級保護是指對網絡(含信息系統、數據,下同)實施分等級保護、分等級監管,對網絡中使用的網絡安全產品實行按等級管理,對網絡中發生的安全事件分等級響應、處置。(內容源自《<網絡安全法>和網絡安全等級保護制度》) “網絡”是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統,包括網絡設施、信息系統、數據資源等(定義來自《網絡安全法》)。
|
|
|
