黨政機關信息系統等級保護研究

楊德保

摘要：文章闡述了信息系統等級保護的依據，各級安全等級信息系統的保護能力和建設標準，黨政機關信息系統定級的原則及等級保護實施步驟等。就目前黨政機關信息系統定級問題，結合自己的工作體會，提出了黨政機關信息系統等級保護工作應該注意的事項。文章旨在提高黨政機關領導對于信息系統安全等級保護認識的重要性，促進等級保護工作在信息化建設中的全面開展，提高黨政機關信息安全保障水平，同時對從事信息安全人員有一定的借鑒作用。

關鍵詞：定級；等級保護；等級測評；系統測評；系統運維；系統漏洞

1引言

信息系統安全實行等級保護是在吸納國外先進經驗之上，結合我國信息化建設實際情況，創立的適合我國信息安全保障基本制度。多年來，在我國信息安全專家的努力下，以引進、消化、吸收、創新為手段，建立了我國信息安全等級保護技術和管理體系。國務院第147號令明確要求黨政機關信息系統必須實行定級備案、等級劃分及等級保護的安全制度。隨后國家有關部門先后出臺了幾十個有關等級保護的國家和行業規范化文件，這些技術規范在我國信息安全等級保護工作中發揮了極其重要的作用，是我們開展黨政機關信息系統安全等級保護工作的依據。

2黨政機關信息系統等級保護

2.1等級保護三要素

對具有存儲、傳輸、處理信息功能的信息系統實行安全等級保護；對信息和信息系統使用分等級進行管理；對信息安全事件分等級響應和處置。確定安全等級即定級是進行等級保護的首要要求。

2.2等級保護責任

定級是信息系統實行等級保護的重中之重。如果定級不準，那么后續的等保備案和測評等都將失去作用，無法保證信息及系統的安全。確定為三級以上的信息系統，均屬于國家重要信息系統，是國家相關部門進行信息系統保護工作的重點，需要運維和主管部門共同承擔起信息安全責任，信息安全監管部門要經常性進行監督、檢查和指導。在重要信息系統安全方面，運維單位和主管部門是第一責任人，信息安全監管部門是第二責任人。無論是哪個等級的信息系統，第一責任人和第二責任人要密切配合，共同承擔責任，才能做好信息系統等級保護工作。

2.3信息系統安全定級

根據公安部66號文，將信息系統從低到高定為五個安全等級。單位領導應根據本部門信息系統重要程度合理定級。

2.3.1定級原則

（1）堅持重點保護原則。對事關社會安定團結、人民正常生活等重要政務信息系統要重點保護，要確定為三級以上的重要信息系統，必須集中力量優先進行安全建設。

（2）堅持主管和運維共同負責原則。要貫徹主管和運行維護共同負責的原則。按國家標準確定合適的安全等級實施安全保障。

（3）堅持建設和安全并舉的原則。系統在升級、擴容等應當同步考慮安全設施建設，保持系統安全與信息化水平一致。

（4）堅持等保變更原則。由于信息技術的不斷進步，黨政機關信息化社會服務類型的豐富和服務水平的不斷提升，信息技術處于不斷發展之中，因此安全保護等級應該適時變更定級，以適應新的系統安全要求。

3黨政機關信息系統安全定級準則

黨政機關信息系統安全定級時，要堅持實事求是的原則，不可過高，也不要過低，要合理安全等級。結合自己等保工作的體會，建議按以下原則定級。

第一級信息系統：一般適用于鄉鎮和縣級機關內部單位一般的政務信息系統。

第二級信息系統：一般適用于縣級重要系統，地市級機關單位內部一般的信息系統。

第三級信息系統：一般適用于地市級以上機關單位內部重要的信息系統。如電子政務網、門戶網站等。

第四級和第五級信息系統，一般適用于國家重要部門和中極端重要系統。4等級保護實施過程

黨政機關信息系統確定等級保護后，需報請公安機關申請定級審批備案。本單位要組織具有測評資質的信息系統等級保護測評單位進行等級測評。完成信息系統測評和整改后，三十日內向公安機提交等級保護備案、系統定級情況、等級保護測評等表格，公安機關驗收后發給等級保護備案證明書。

5結語

黨政機關信息系統是國家安全設施的重要組成部分，必須按照國家法規和行業標準搞好信息安全保障工作，保障和促進信息化健康發展的基本策略。同時信息安全等級保護是—項經常性的工作，必須根據信息化發展水平的不同和人們對信息系統的安全需求的高低，建設具有相應保護能力的黨政機關信息等級保護系統。