其实,以前我根据等级保护相关书籍整理过一次“什么是网络安全等级保护”,这次想着以过去的等级保护相关法律法规和政策文件重新组织一下,探寻一下“安全等级保护”的概念来源,重新整理一下,供大家探讨。
谈“等级保护”,总绕不过去《中华人民共和国计算机信息系统安全保护条例》(简称“147号令”)。1994年2月18日,中华人民共和国国务院令147号发布,在该这个条例的第九条明确了计算机信息系统实行安全等级保护,这里我们要清楚一点,就是“安全等级保护”前面的修饰词,随着技术和社会发展,做了一定的调整的。
第九条内容为:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
我们看到在这个条例中,虽然明确了实行安全等级保护,但是对“安全等级保护”并未定义,也只是一个名词以及明确了责任部门,所以这里还不足以让我们了解“安全等级保护”是什么?
根据27号文,我们看到在等级保护制度内容涵盖非涉密和涉密系统的安全保护问题,也就是非涉密系统和涉密系统的安全保护,都是在大的等级保护制度之下的,只是各有不同的安全防护要求和技术实现路径,到此我们还没有一个比较明确的定义,来说明什么是“安全等级保护”,直到下面谈到的66号文才出现对等级保护的概念性定义。
2004年9月,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》,也就是我们常说的公通字〔2004〕66号,在这个文件中我们初见等级保护的定义即:信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
由此我们才真正看到“等级保护”确切定义,对信息系统分等级实行安全保护,对安全产品按等级管理、对安全事件分等级响应、处置。等级保护制度是“分等级”的,分别面向系统、产品、事件三个方面,也就说明对于信息系统运营、使用单位、产品提供者、安全服务及事件处置相关方,都在等级保护制度之下,共同纳入监管之下,共同开展安全等级保护工作。
在66号文中,明确了等级保护工作分工:
公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
在信息安全等级保护工作中,涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
信息和信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准进行信息安全建设和管理。
国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。
从概念性上来说,等级保护的概念来自公通字〔2004〕66号文,从法律要求我们最多谈及的147号令以及《网络安全法》,其中《网络安全法》第二十一条明确,国家实行网络安全等级保护制度。那么,从147号令中的要求,到《网络安全法》的要求,历经二十多年名词几经变化,最终确定到如今“网络安全等级保护”,也就是从计算机信息系统安全等级保护再到信息系统安全等级保护再到网络安全等级保护,其名称因技术发展和法律文件而有所变化,但其我国信息化发展保驾护航的使命始终如一。
在许许多多的自媒体文章中,往往在定义“网络安全等级保护”时,都是直接说《网络安全法》第二十一条明确“国家实行网络安全等级保护制度”,但因为“安全等级保护”的概念在此前已经给出了,只是名字稍有变化,所以《网络安全法》作为网络安全领域的基本法律,不可能在此展开网络安全等级保护制度概念性探讨。
综合147号令、27号文、66号文、《网络安全法》,我们可见其最终定义应该为:网络安全等级保护是指对网络(含信息系统、数据,下同)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。(内容源自《<网络安全法>和网络安全等级保护制度》)
“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等(定义来自《网络安全法》)。
-
中华人民共和国计算机信息系统安全保护条例
-
国家信息化领导小组关于加强信息安全保障工作的意见
-
关于信息安全等级保护工作的实施意见
-
信息安全等级保护管理办法(试行)
-
信息安全等级保护管理办法
-
网络安全法
原文始发于微信公众号(祺印说信安):网络安全等级保护:什么是网络安全等级保护?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论