上次,通过《网络安全等级保护:确立等级保护为基本制度的27号文》简要谈论了一下27号文,今天继续顺着我整理的《1994-2017等级保护政策及法律发展历程》继续往下看,看一2004年有关等级保护重要的政策文件。
2004年公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布了公通字[2004]66号,即《关于印发<关于信息安全等级保护工作的实施意见>的通知》,该文件是为贯彻落实国务院第147号令和27号文件,文件阐述了开展信息安全等级保护工作的重要意义、信息安全等级保护制度的原则、信息安全等级保护制度的基本内容、信息安全等级保护工作职责分工、实施信息安全等级保护工作的要求、信息安全等级保护工作实施计划等内容,是指导相关部门实施信息安全等级保护工作的纲领性文件。
开展信息安全等级保护工作的重要意义,文件总结为五个“有利于”。实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。从这五个“有利于”说明国家发展等级保护制度方向是明确的,也真真切切的指导了我们等级保护的开展。从27号文到66号文,一脉相承逐步展开。循着中国等级保护制度的发展去看,循序渐进中的可见进步。
66号文谈到信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。遵循原则:明确责任,共同保护;依照标准,自行保护;同步建设,动态调整;指导监督,重点保护。66号文的第一级为自主保护级、第二级为指导保护级、第三级为监督保护级、第四级为强制保护级、第五级为专控保护级,共五个级别。同时,也提到了国家对信息安全产品的使用实行分等级管理,接下来又明确了信息安全等级保护工作职责分工,公安机关负责信息安全等级保护工作的监督、检查、指导,公安机关在等级保护中的主导地位再次强调。
实施信息安全等级保护工作的要求强调应当做好六个方面工作:监督检查,完善保护是指公安机关按照等级保护的管理规范和技术标准的要求,重点对第三、第四级信息和信息系统的安全等级保护状况进行监督检查。发现确定的安全保护等级不符合等级保护的管理规范和技术标准的,通知信息和信息系统的主管部门及运营、使用单位进行整改;发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的,要求限期整改,使信息和信息系统的安全保护措施更加完善。
最后谈到的是信息安全等级保护工作实施计划,当时是谈的未来,站在今天已经是过去式了。我们从中可以看到我国政令的行使是否落到实效,当年的计划都已经付诸实施了,得到了验证。当年计划用三年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度。准备阶段、重点实行阶段、全面实行阶段,共三个阶段。这三个阶段,基本上已经全都实现。达到了当初预期的,我国信息安全保障状况确实得到基本改善。事实已经证明,落实等级保护制度,开展风险评估等工作是提高重要信息系统安全防范能力、抵御攻击能力的有效措施。
数据安全:数据安全能力成熟度模型思维导图
网络安全的世界里如何培养良好的安全习惯
网络安全等级保护:做好定级与备案工作从这里开始
防恶意勒索软件的五个最佳实践
网络安全等级保护:确立等级保护为基本制度的27号文
网络安全等级保护:测试评估技术指南思维导图
