党政机关信息系统等级保护研究
杨德保
摘要:文章阐述了信息系统等级保护的依据,各级安全等级信息系统的保护能力和建设标准,党政机关信息系统定级的原则及等级保护实施步骤等。就目前党政机关信息系统定级问题,结合自己的工作体会,提出了党政机关信息系统等级保护工作应该注意的事项。文章旨在提高党政机关领导对于信息系统安全等级保护认识的重要性,促进等级保护工作在信息化建设中的全面开展,提高党政机关信息安全保障水平,同时对从事信息安全人员有一定的借鉴作用。
关键词:定级;等级保护;等级测评;系统测评;系统运维;系统漏洞
1引言
信息系统安全实行等级保护是在吸纳国外先进经验之上,结合我国信息化建设实际情况,创立的适合我国信息安全保障基本制度。多年来,在我国信息安全专家的努力下,以引进、消化、吸收、创新为手段,建立了我国信息安全等级保护技术和管理体系。国务院第147号令明确要求党政机关信息系统必须实行定级备案、等级划分及等级保护的安全制度。随后国家有关部门先后出台了几十个有关等级保护的国家和行业规范化文件,这些技术规范在我国信息安全等级保护工作中发挥了极其重要的作用,是我们开展党政机关信息系统安全等级保护工作的依据。
2党政机关信息系统等级保护
2.1等级保护三要素
对具有存储、传输、处理信息功能的信息系统实行安全等级保护;对信息和信息系统使用分等级进行管理;对信息安全事件分等级响应和处置。确定安全等级即定级是进行等级保护的首要要求。
2.2等级保护责任
定级是信息系统实行等级保护的重中之重。如果定级不准,那么后续的等保备案和测评等都将失去作用,无法保证信息及系统的安全。确定为三级以上的信息系统,均属于国家重要信息系统,是国家相关部门进行信息系统保护工作的重点,需要运维和主管部门共同承担起信息安全责任,信息安全监管部门要经常性进行监督、检查和指导。在重要信息系统安全方面,运维单位和主管部门是第一责任人,信息安全监管部门是第二责任人。无论是哪个等级的信息系统,第一责任人和第二责任人要密切配合,共同承担责任,才能做好信息系统等级保护工作。
2.3信息系统安全定级
根据公安部66号文,将信息系统从低到高定为五个安全等级。单位领导应根据本部门信息系统重要程度合理定级。
2.3.1定级原则
(1)坚持重点保护原则。对事关社会安定团结、人民正常生活等重要政务信息系统要重点保护,要确定为三级以上的重要信息系统,必须集中力量优先进行安全建设。
(2)坚持主管和运维共同负责原则。要贯彻主管和运行维护共同负责的原则。按国家标准确定合适的安全等级实施安全保障。
(3)坚持建设和安全并举的原则。系统在升级、扩容等应当同步考虑安全设施建设,保持系统安全与信息化水平一致。
(4)坚持等保变更原则。由于信息技术的不断进步,党政机关信息化社会服务类型的丰富和服务水平的不断提升,信息技术处于不断发展之中,因此安全保护等级应该适时变更定级,以适应新的系统安全要求。
3党政机关信息系统安全定级准则
党政机关信息系统安全定级时,要坚持实事求是的原则,不可过高,也不要过低,要合理安全等级。结合自己等保工作的体会,建议按以下原则定级。
第一级信息系统:一般适用于乡镇和县级机关内部单位一般的政务信息系统。
第二级信息系统:一般适用于县级重要系统,地市级机关单位内部一般的信息系统。
第三级信息系统:一般适用于地市级以上机关单位内部重要的信息系统。如电子政务网、门户网站等。
第四级和第五级信息系统,一般适用于国家重要部门和中极端重要系统。4等级保护实施过程
党政机关信息系统确定等级保护后,需报请公安机关申请定级审批备案。本单位要组织具有测评资质的信息系统等级保护测评单位进行等级测评。完成信息系统测评和整改后,三十日内向公安机提交等级保护备案、系统定级情况、等级保护测评等表格,公安机关验收后发给等级保护备案证明书。
5结语
党政机关信息系统是国家安全设施的重要组成部分,必须按照国家法规和行业标准搞好信息安全保障工作,保障和促进信息化健康发展的基本策略。同时信息安全等级保护是—项经常性的工作,必须根据信息化发展水平的不同和人们对信息系统的安全需求的高低,建设具有相应保护能力的党政机关信息等级保护系统。