3.信息安全等级保护
2017年6月1日正式实施的《中华人民共和国网络安全法》第二十一条规定, “国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、 篡改”。这条规定明确了等级保护在我国网络安全保障工作中的地位。
实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统实施分等级保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适合社会主义市场经济发展的信息安全模式。
实行信息安全等级保护,本质上就是要明确重点、确保重点。首先是要明确重点,在国家层面,这个重点就是那些关系国家安全、经济命脉、社会稳定的基础网络和重要信息系统苦对于部门≮地方和企业而言,也应根据实际确定自己的保护重点。其次,在系统定级的基础土,还要综合平衡信息安全风险和建设成本,进一步确定重点部位,将有限的资源用到最急需、最核心的地方,根据安全等级进行建设和管理,确保核心系统安全。第三,实行等级保护要坚持从实际出发。我国的信息化发展不平衡,东中西部差异较大,不同部门、不同地区信息化所处的发展阶段不同,面临的信息安全风险和信息安全需求也不一样。因此, 在信息安全保障中必须从实际安全需求出发,不能片面追求“绝对安全”,搞不计成本的安全,也不能搞一刀切、上下一般粗、全国一个模式。必须区分轻重缓急,根据不同等级、不同类别、不同阶段,突出重点,将有限的资源用到最急需保障的地方。这也是实事求是思想路线在信息安全保障工作中的具体体现。
信息安全等级保护是国家信息安全保障的基本制度和方法,开展信息安全等级保护工作是促进信息化发展,保障国家信息安全的重要举措,也是我国多年来信息安全工作的经验总结。开展信息安全等级保护,就是要解决我国信息安全面临的威胁和存在的主要问题,有效体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效提高我国信息和信息系统安全建设的整体水平。