网络安全等级保护:什么是网络安全等级保护?

admin 2022年5月15日01:19:05制度法规评论14 views2482字阅读8分16秒阅读模式

其实,以前我根据等级保护相关书籍整理过一次“什么是网络安全等级保护”,这次想着以过去的等级保护相关法律法规和政策文件重新组织一下,探寻一下“安全等级保护”的概念来源,重新整理一下,供大家探讨。

谈“等级保护”,总绕不过去《中华人民共和国计算机信息系统安全保护条例》(简称“147号令”)。1994年2月18日,中华人民共和国国务院令147号发布,在该这个条例的第九条明确了计算机信息系统实行安全等级保护,这里我们要清楚一点,就是“安全等级保护”前面的修饰词,随着技术和社会发展,做了一定的调整的。

第九条内容为:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。

我们看到在这个条例中,虽然明确了实行安全等级保护,但是对“安全等级保护”并未定义,也只是一个名词以及明确了责任部门,所以这里还不足以让我们了解“安全等级保护”是什么?

随着时间推移,2003年8月,中办发《国家信息化领导小组关于加强信息安全保障工作的意见》发布,我们称其为“27号文”,在文件第二部分明确“实行信息安全等级保护制度”,以此文件为分界点,明确提出了“信息安全等级保护”,具体内容为“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护。”

网络安全等级保护:什么是网络安全等级保护?


根据27号文,我们看到在等级保护制度内容涵盖非涉密和涉密系统的安全保护问题,也就是非涉密系统和涉密系统的安全保护,都是在大的等级保护制度之下的,只是各有不同的安全防护要求和技术实现路径,到此我们还没有一个比较明确的定义,来说明什么是“安全等级保护”,直到下面谈到的66号文才出现对等级保护的概念性定义。

2004年9月,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》,也就是我们常说的公通字〔2004〕66号,在这个文件中我们初见等级保护的定义即:信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

由此我们才真正看到“等级保护”确切定义,对信息系统分等级实行安全保护,对安全产品按等级管理、对安全事件分等级响应、处置。等级保护制度是“分等级”的,分别面向系统、产品、事件三个方面,也就说明对于信息系统运营、使用单位、产品提供者、安全服务及事件处置相关方,都在等级保护制度之下,共同纳入监管之下,共同开展安全等级保护工作。

在66号文中,明确了等级保护工作分工:

公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

在信息安全等级保护工作中,涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。

信息和信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准进行信息安全建设和管理。

国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。

按照66号文的规定,经过三年的努力,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善,时间来到2007年,在2007年等级保护工作中出台了一个里程碑式的文件,即《信息安全等级保护管理办法》(公通字〔2007〕43号)。其实,中间还有一个《信息安全等级保护管理办法(试行)》(公通字〔2006〕7号),在43号发布后废止。

从概念性上来说,等级保护的概念来自公通字〔2004〕66号文,从法律要求我们最多谈及的147号令以及《网络安全法》,其中《网络安全法》第二十一条明确,国家实行网络安全等级保护制度。那么,从147号令中的要求,到《网络安全法》的要求,历经二十多年名词几经变化,最终确定到如今“网络安全等级保护”,也就是从计算机信息系统安全等级保护再到信息系统安全等级保护再到网络安全等级保护,其名称因技术发展和法律文件而有所变化,但其我国信息化发展保驾护航的使命始终如一。

在许许多多的自媒体文章中,往往在定义“网络安全等级保护”时,都是直接说《网络安全法》第二十一条明确“国家实行网络安全等级保护制度”,但因为“安全等级保护”的概念在此前已经给出了,只是名字稍有变化,所以《网络安全法》作为网络安全领域的基本法律,不可能在此展开网络安全等级保护制度概念性探讨。

综合147号令、27号文、66号文、《网络安全法》,我们可见其最终定义应该为:网络安全等级保护是指对网络(含信息系统、数据,下同)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。(内容源自《<网络安全法>和网络安全等级保护制度》)

“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等(定义来自《网络安全法》)。


参考来源:
  • 中华人民共和国计算机信息系统安全保护条例

  • 国家信息化领导小组关于加强信息安全保障工作的意见

  • 关于信息安全等级保护工作的实施意见

  • 信息安全等级保护管理办法(试行)

  • 信息安全等级保护管理办法

  • 网络安全法

原文始发于微信公众号(祺印说信安):网络安全等级保护:什么是网络安全等级保护?

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月15日01:19:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络安全等级保护:什么是网络安全等级保护? http://cn-sec.com/archives/1006944.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: