我国信息安全等级保护法律框架及其完美.docVIP

我国信息安全等级保护法律框架及其完美 　　我国信息安全等级保护基本法律框架 　　 　　1994年，国务院颁布的《信息安全保护条例》首次提出对计算机信息系统实行等级保护，并授权公安部会同有关部门制定等级划分标准和管理办法。2003年，中共中央办公厅、国务院办公厅转发了《国务院信息化领导小组关于加强信息安全保障的意见》，再次强调对信息安全进行等级保护。 2004年公安部联合国家保密局、密码局、保密委员会和国务院信息化领导办公室发布《关于信息安全等级保护工作的实施意见》，对信息安全等级保护的基本制度框架进行了规划。2006年上述四部门发布《信息安全等级保护管理办法（试行）》，开始具体构建信息安全等级保护制度，该办法在试行一年后于2007年6月正式发布实施。以上法律文件从信息安全等级保护的提出到其具体制度的制定，构筑了我国信息安全等级保护的基本法律框架。 　　(一)等级的划分 　　国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度；信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素划分为五级： 　　第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 　　第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 　　第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 　　第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 　　第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 　　信息系统运营、使用单位根据等级划分，按照相关技术标准对信息系统进行保护，国家有关信息安全监管部门对三级以上信息系统的等级保护工作进行监督管理。 　　(二) 等级保护工作的职责分工 　　在开展等级保护工作中，涉及到的部门分工各不相同： 　　公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。而信息系统主管部门应当组织并实施所管辖的信息系统的信息安全等级保护工作，督促、检查、指导其主管的信息系统运营使用单位依照国家信息安全等级保护管理规范和技术标准，落实安全责任。 　　(三)等级保护的实施 　　等级保护的实施流程包括六项内容： 　　一是自主定级与审批。信息系统运营使用单位按照等级保护管理办法和《信息系统安全等级保护定级指南》，确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审核批准。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。 　　二是评审。在信息系统确定安全保护等级过程中，可以进行必要的业务和技术评估，组织专家进行咨询评审。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。 　　三是系统建设。信息系统的安全保护等级确定后，运营使用单位应当按照国家信息安全等级保护管理规范和划分准则、基本要求、操作系统、数据库、网络、服务器、终端等技术要求，使用符合本系统安全保护等级要求的信息安全产品，同步建设符合本系统安全保护等级要求的信息安全设施。运营使用单位应当按照安全管理要求、安全工程管理要求等管理规范，建立安全组织，制定并落实符合本系统安全保护等级要求的安全管理制度。 　　四是等级测评。信息系统建设完成后，运营使用单位应当选择符合本系统安全保护等级要求的检测机构，依据《信息系统安全等级保护测评要求》等技术标准对信息系统安全等级状况开展技术测评。第三级以上信息系统运营使用单位应当按照等级保护管理办法要求选择测评机构开展等级测评。 　　五是备案。第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。 　　六是监督检查。公安机关依据信息安全等级保护管理规范，定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关信息安全保护