在第七屆中國信息安全大會上，公安部公共信息網(wǎng)絡(luò)監(jiān)察局張俊冰處長對近期信息安全保護(hù)規(guī)范做了詳細(xì)解釋。

以下是詳細(xì)內(nèi)容：

主持人：下面進(jìn)入本次大會的核心部分，主題報告的階段，最近公安部正式頒布實(shí)施信息安全等級管理辦法，對我國信息安全起了重大的規(guī)范和保障作用，同時對安全產(chǎn)業(yè)也有很大的推動和影響，公安部如何開展管理辦法的工作是產(chǎn)業(yè)界普遍關(guān)注的問題，本次大會特別邀請公安部公共信息網(wǎng)絡(luò)監(jiān)察局張俊冰處長。

張俊冰：感謝大會給我這次機(jī)會做一個我們近期工作的通報，我把有關(guān)信息安全保護(hù)規(guī)范的內(nèi)容做一個介紹，我今天主要講三方面內(nèi)容。

第一個要理解掌握國家有關(guān)信息安全等級保護(hù)的政策要求。第二個明確把握開展信息安全等級保護(hù)的關(guān)鍵環(huán)節(jié)。第三在現(xiàn)有工作成果的基礎(chǔ)上繼續(xù)推進(jìn)等級保護(hù)工作。

第一個就是國家有關(guān)信息安全等級保護(hù)的政策要求。相信大家會經(jīng)常提到中辦發(fā)的2003 27號文件，全稱是《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》這里面明確提出三個方面的要求，要從實(shí)際出發(fā)，優(yōu)化信息安全資源的配置，建立信息安全等級保護(hù)制度，重點(diǎn)保護(hù)信息基礎(chǔ)網(wǎng)絡(luò)和關(guān)系國家安全經(jīng)濟(jì)命脈社會穩(wěn)定的的信息系統(tǒng)，這就是提到的關(guān)鍵技術(shù)。 第二個要重視安全信息覆蓋評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)，對信息安全等級因素進(jìn)行相應(yīng)的建設(shè)，落腳點(diǎn)還是信息安全方面。第三個明確提出對涉及國家秘密的信息系統(tǒng)要按照國家要求進(jìn)行保護(hù)。

第二個是2004 66號文件，《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》里面也明確了信息安全等級保護(hù)制度的基本內(nèi)容，這主要包括三方面的內(nèi)容。第一個要根據(jù)信息系統(tǒng)在國家安全社會秩序，公共利益，社會生活中的重要程度，另外遭到破壞對國家安全、公共利益的危害程度。國家通過制訂統(tǒng)一的標(biāo)準(zhǔn)，根據(jù)信息系統(tǒng)不同重要程度，有針對性開展保護(hù)工作，分等級對信息系統(tǒng)進(jìn)行保護(hù)，國家對不同等級的信息系統(tǒng)實(shí)行不同強(qiáng)度的監(jiān)督管理。第三方面國家對信息安全產(chǎn)品的使用實(shí)行分等級管理。這是比較強(qiáng)調(diào)從國家對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)保護(hù)的角度對產(chǎn)品的使用提出新的管理政策使用方向。國家對信息安全事件實(shí)行分等級響應(yīng)和處理的制度，這落實(shí)對信息安全等級保護(hù)制度內(nèi)容的核心解決。

第三方面就是今年年初下發(fā)的2006 7號文件，就是《信息安全等級保護(hù)辦法》。這里面更進(jìn)一步明確規(guī)定的系統(tǒng)安全保護(hù)劃分。在這個辦法里面明確說明了，聯(lián)合會簽四家單位的各自職責(zé)。非常明確表明信息系統(tǒng)等級保護(hù)與設(shè)密的保護(hù)之間的關(guān)系。國家將會對信息安全等級保護(hù)的測評機(jī)構(gòu)進(jìn)行資質(zhì)管理。由這三方面的政策要求可以很明確表示國家在信息安全等級保護(hù)政策體系方面，涉及保密管理，風(fēng)險管理，應(yīng)急響應(yīng)等眾多重大管理。另外這里面提到產(chǎn)品分級管理以及測評單位的管理資質(zhì)，目前政策沒有出來。首要的一點(diǎn)是要對現(xiàn)有的政策進(jìn)行認(rèn)真地研究和分析，另外也是對國家明確規(guī)定的文件要進(jìn)行學(xué)習(xí)和貫徹，只有這樣才能確保等級保護(hù)工作的順利開展。

第二方面開展信息安全等級保護(hù)幾個關(guān)鍵環(huán)節(jié)的具體要求，這是在今年年初7號文件管理辦法中對開展等級保護(hù)的關(guān)鍵環(huán)節(jié)做了具體要求，這主要在以下四方面，第一方面就是信息系統(tǒng)要確定安全保護(hù)等級。大家可能非常關(guān)心，作為信息系統(tǒng)如何確定安全保護(hù)等級，在辦法中已經(jīng)明確了。具體來講信息系統(tǒng)如何來確定，除了在政策法規(guī)，還有標(biāo)準(zhǔn)方面明確的要求之外，最主要是要把握兩個基本的原則，一個要明確安全保護(hù)責(zé)任的原則，要便于實(shí)施安全保護(hù)措施的職責(zé)，這一定要明確，等級確定以后安全保護(hù)的需求應(yīng)該非常明確，而且便于實(shí)施，這是一個最基本的兩個要求。作為縱向的各個運(yùn)營單位如何確定安全保護(hù)等級，如果縱向的全國性的行業(yè)系統(tǒng)每一級運(yùn)營審計(jì)單位都具有保護(hù)責(zé)任，建議每一級都要確定為一個系統(tǒng)，而不是全國一個系統(tǒng)，這樣體現(xiàn)不出等級保護(hù)的核心，國家要保護(hù)關(guān)鍵技術(shù)設(shè)施，這里面如果不把信息系統(tǒng)進(jìn)行分級就無法突出重點(diǎn)無法達(dá)到等級保護(hù)的要求。現(xiàn)在強(qiáng)調(diào)一個大集中，大平臺，在大的網(wǎng)絡(luò)平臺運(yùn)行的多個應(yīng)用系統(tǒng)，我們建議將每一個具體的業(yè)務(wù)系統(tǒng)獨(dú)自確立為一個系統(tǒng)，分別確立保護(hù)等級。在定級過程中，同一個平臺各個信息系統(tǒng)，定義要素一定不相同的，一個行業(yè)縱向信息系統(tǒng)在國家省、地、市、縣各個級別，它的定義要素也不相同。這是系統(tǒng)等級方面需要強(qiáng)調(diào)的。

第二個在信息系統(tǒng)確定等級以后要開展等級保護(hù)的建設(shè)、整改和管理。根據(jù)管理辦法和隨后要出臺的國家信息系統(tǒng)安全等級保護(hù)的基本要求，以及信息安全等級保護(hù)的諸多國家標(biāo)準(zhǔn)都會對這項(xiàng)工作做具體的細(xì)化，在技術(shù)層面會有明確的指引，在具體的建設(shè)過程中要結(jié)合國家規(guī)范的管理技術(shù)標(biāo)準(zhǔn)要求，來制訂整個系統(tǒng)的整改方案，在方案的指引下開展等級保護(hù)的具體建設(shè)，并且在隨后的運(yùn)營過程中，逐步完善各項(xiàng)數(shù)據(jù)，在這里面需要強(qiáng)調(diào)的是信息系統(tǒng)首要要明確單位內(nèi)部有關(guān)等級保護(hù)具體責(zé)任機(jī)構(gòu)和責(zé)任人，要制訂具體的等級保護(hù)工作中對人員機(jī)構(gòu)管理的制度，這是等級保護(hù)目前需要強(qiáng)調(diào)最重要的。第二個要根據(jù)確定的保護(hù)等級參考國家的標(biāo)準(zhǔn)，對已有系統(tǒng)進(jìn)行安全現(xiàn)狀的分析和評估，根據(jù)報告來明確具體安全需求并制訂相關(guān)的制度和方案。在制訂方案的時候一定要首先確定系統(tǒng)的總體安全策略，而且這個總體安全策略的制訂一定要符合國家信息安全等級保護(hù)的標(biāo)準(zhǔn)要求，只有符合標(biāo)準(zhǔn)要求的基礎(chǔ)上再進(jìn)行安全框架，技術(shù)框架，管理框架的具體細(xì)化，并且根據(jù)具體的實(shí)施計(jì)劃，才能符合國家等級保護(hù)的要求。 第三方面運(yùn)營審計(jì)單位要根據(jù)制訂的辦法，進(jìn)行安全的備份，產(chǎn)品采購等等一系列方面具體的制度，這也是我們管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，在這一點(diǎn)需要指出的是，剛才已經(jīng)提到，國家對信息技術(shù)產(chǎn)品分析使用管理政策目前沒有明確出臺，因此如果現(xiàn)在按照管理辦法的要求大家要開展信息系統(tǒng)的等級建設(shè)過程中，應(yīng)該參照現(xiàn)有的國標(biāo)和行標(biāo)進(jìn)行產(chǎn)品的選擇和建設(shè)。

在建設(shè)完成以后要進(jìn)行系統(tǒng)的測評，要指出選擇測評單位對系統(tǒng)進(jìn)行測評，長期以來首先要進(jìn)行內(nèi)部的驗(yàn)收，根據(jù)國家的要求，信息系統(tǒng)安全測評是信息系統(tǒng)單位在開展等級保護(hù)中必須履行的安全等級保護(hù)的職責(zé)，而且是今后公安機(jī)關(guān)重點(diǎn)監(jiān)督的內(nèi)容之一，通過等級測評，信息系統(tǒng)運(yùn)營單位可以和國家管理辦法要求的差距，在管理辦法中明確要求在系統(tǒng)投入使用之前，必須經(jīng)過等級測評，今后在系統(tǒng)定期運(yùn)維過程中，這些內(nèi)容是重點(diǎn)監(jiān)督的管理內(nèi)容之一。在開展信息安全保護(hù)測評鑒于目前明確的資質(zhì)和其他方面標(biāo)準(zhǔn)管理的要求下，我們建議可以采用以下三種方式開展，第一個系統(tǒng)運(yùn)營審計(jì)單位可以為了履行自己安全保護(hù)等級職責(zé)，自己可以等級開展等級測評，但是這種等級測評的結(jié)果不能作為向公安機(jī)關(guān)備案的材料，只能作為日常管理，如果行業(yè)內(nèi)部已經(jīng)具有運(yùn)營審計(jì)的資質(zhì)，就可以作為運(yùn)行。第三個運(yùn)營審計(jì)單位委托行業(yè)外具有國家相關(guān)資質(zhì)的第三方機(jī)構(gòu)進(jìn)行測評，這個結(jié)果也可以作為向公安安全材料備案之一。管理辦法明確要求從事測評的單位一定要具有國家相關(guān)的技術(shù)資質(zhì)，同時還要遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)的要求，同時還要保守測評中的國家秘密，商業(yè)秘密和安全隱私，這些要求都是以后等級保護(hù)監(jiān)督管理工作中，是公安機(jī)關(guān)重點(diǎn)審查的內(nèi)容。

第四個接受公安機(jī)關(guān)監(jiān)督檢查。要到公安機(jī)關(guān)指定的受理機(jī)構(gòu)辦理各種各樣的程序，在進(jìn)行備案過程中要填寫信息安全等級保護(hù)的備案等級表，要提交詳細(xì)的材料，這都是我們今后的基礎(chǔ)內(nèi)容之一，公安機(jī)關(guān)會依照管理辦法13條的要求建立備案管理的數(shù)據(jù)庫和工作備案的制度，公安機(jī)關(guān)接受備案以后會根據(jù)管理辦法和其他的要求，對涉及系統(tǒng)定級，制度建設(shè)安全測評等相關(guān)的內(nèi)容進(jìn)行審核，如果發(fā)現(xiàn)不符合管理辦法要求，會要求運(yùn)營室單位進(jìn)一步提交。作為國家對等級保護(hù)強(qiáng)制性要求體現(xiàn)，要求對三、四級保護(hù)系統(tǒng)進(jìn)行定期檢查，對三級系統(tǒng)每年檢查頻度不少于一次。四級系統(tǒng)每半年不少于一次，檢查的重點(diǎn)不是要對履行安全保護(hù)職責(zé)的情況，你是不是進(jìn)行了定期的安全測評，是不是進(jìn)行了定期的風(fēng)險評估，是不是建立相應(yīng)的培訓(xùn)管理制度，是不是有安全的應(yīng)急方案等等，你這方案是不是進(jìn)行了定期的預(yù)警，這不是為了公安機(jī)關(guān)的要求，是為了督促運(yùn)營單位對系統(tǒng)保護(hù)工作加大各方面的投入，要確保系統(tǒng)安全保護(hù)工作在人財(cái)物各方面有一個明確的保障內(nèi)容。另外公安機(jī)關(guān)會根據(jù)監(jiān)督檢查的內(nèi)容向中央和國務(wù)院提交具體的建議，國家財(cái)政部門對信息系統(tǒng)的安全保護(hù)提供必要的資金方面保障，這是公安機(jī)關(guān)監(jiān)督檢查最重要達(dá)到的核心內(nèi)容。

第三方面，目前我們前期等級保護(hù)工作已經(jīng)取得了一些成績。為了貫徹27號文件，公安部會同其他部門，目前取得了一定進(jìn)展，對實(shí)施信息安全保護(hù)等級的目標(biāo)建立了一定的基礎(chǔ)。制訂并下發(fā)了管理辦法，推動了法律的保障，國信辦共同確定等級劃分，在系統(tǒng)等級保護(hù)和分級管理，密碼分級管理方面，諸多重大的原則，而且經(jīng)過了認(rèn)證細(xì)致的研究，長期征求意見的過程，在今年1月份下發(fā)了辦法。這個辦法的頒布明確我國開展信息安全等級保護(hù)的思路，和信息安全職能部門在工作中的職責(zé)和關(guān)系，標(biāo)志著納入了管理化和規(guī)范化的軌道。

第二個為推廣和實(shí)施信息安全等級保護(hù)提供了信息保障的公安部組織信息安全保護(hù)評估中心，業(yè)界的專家和諸多企業(yè)共同研究起草信息安全等級保護(hù)，等級的定級指南，信息安全系統(tǒng)保護(hù)的基本要求，系統(tǒng)安全保護(hù)的實(shí)施指南和評估職責(zé)。在這標(biāo)準(zhǔn)里細(xì)化技術(shù)標(biāo)準(zhǔn)體系和實(shí)施的具體措施，為管理技術(shù)的貫徹實(shí)施提供了技術(shù)的基礎(chǔ)和保障。

第三個在全國范圍開展信息系統(tǒng)的等級系統(tǒng)的調(diào)查，有一些單位到目前為止已經(jīng)完成了這項(xiàng)工作，并且向公安機(jī)關(guān)提交了詳細(xì)的數(shù)據(jù)。這項(xiàng)工作實(shí)際上去年年底和國信辦聯(lián)合部署和布置的，計(jì)劃這個月底這項(xiàng)工作就算圓滿完成，其實(shí)開展這項(xiàng)工作的核心，剛才呂司長也提到我們在區(qū)域分布和行業(yè)分布，原來的統(tǒng)計(jì)數(shù)據(jù)非常薄弱，我們能夠掌握的情況不是很全面，這一次工作主要是為國家下一步制訂有關(guān)信息安全政策和信息安全的總體規(guī)劃提供一個基礎(chǔ)性數(shù)據(jù)。

第四個方面，等級保護(hù)的試點(diǎn)工作基本上籌備工作已經(jīng)完成，即將開展，這也是更好貫徹管理辦法，探索開展等級保護(hù)的具體辦法，公安部會同國家保護(hù)局，國家密碼管理局等選擇一些城市作為試點(diǎn)，目前試點(diǎn)方案已經(jīng)制訂完成，即將開展部署試點(diǎn)工作。

下一步的工作重點(diǎn)有以下四個方面。第一個要開展試點(diǎn)工作，主要是為了摸索落實(shí)管理辦法的具體模式和經(jīng)驗(yàn)。

第二方面要突出重點(diǎn)，切實(shí)加強(qiáng)對重要信息系統(tǒng)開展等級保護(hù)工作的指導(dǎo)。推動關(guān)系國計(jì)民生，開展等級保護(hù)工作，開展等級保護(hù)工作核心是要保護(hù)關(guān)鍵基礎(chǔ)設(shè)施。今年將在基礎(chǔ)調(diào)查和設(shè)施基礎(chǔ)上，從信息系統(tǒng)定級工作入手，逐步完善一些指導(dǎo)性意見和適合行業(yè)特點(diǎn)的技術(shù)規(guī)范，力爭早日實(shí)現(xiàn)我國提出的我國信息安全保障狀況得到基本改善的宏偉目標(biāo)。

第三方面加強(qiáng)宣傳培訓(xùn)工作，正確引導(dǎo)等級保護(hù)工作的開展，我們針對信息安全的企業(yè)對及保護(hù)工作的政策措施不是很了解的突出問題，我們加強(qiáng)面向社會的保護(hù)培訓(xùn)，指導(dǎo)全社會開展信息安全保護(hù)工作，同時也會利用今天這樣重要的會議，以及一些平面和網(wǎng)絡(luò)媒體加強(qiáng)等級保護(hù)宣傳力度，開展不同層次，不同力度的等級保護(hù)的宣傳。作為公安部責(zé)無旁貸為大家提供這方面的指導(dǎo)和服務(wù)，作為各省和地市公安機(jī)關(guān)會在下一步工作中加大力度，為大家提供相應(yīng)的輔導(dǎo)和支持。

第四方面積極探索推動信息安全測評和技術(shù)支持體系工作。重要的是信息系統(tǒng)運(yùn)營使用單位要依據(jù)國家的標(biāo)準(zhǔn)要求開展信息系統(tǒng)保護(hù)工作。要定期進(jìn)行系統(tǒng)的等級測評和其他安全保護(hù)建設(shè)，我們?yōu)榱朔e極探索不同行業(yè)不同地區(qū)開展等級保護(hù)測評體系建設(shè)和開展評估工作的模式，要結(jié)合下一步工作進(jìn)行研究和探索，而且希望大家給予大力地支持和配合，為信息系統(tǒng)運(yùn)營審計(jì)單位正確開展工作，提供全方位社會化的安全，服務(wù)奠定實(shí)踐的基礎(chǔ)。

用這段時間給大家基本上把我們下一步準(zhǔn)備做的工作做了簡單的匯報，希望大家今后對我們工作能夠提出寶貴的意見和建議，謝謝大家！