郭启全处长

        一、近几年来公安部牵头实施信息安全等级保护制度开展的具体工作

        按照《中华人民共和国计算机信息系统安全保护条例 》（国务院147号令）规定和《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）文件精神，公安部会同国家保密局、国家密码管理局和国务院信息办开展了如下工作。
        一是出台了等级保护规范标准。2004年9月联合出台了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），2007年6月联合出台了《信息安全等级保护管理办法》（公通字[2007]43号，以下简称《管理办法》），明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务，为开展信息安全等级保护工作提供了规范保障；制定了包括《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》等50多个国标和行标，初步形成了信息安全等级保护标准体系。
        二是开展了等级保护基础调查工作。2005年底，公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》（公信安[2005]1431号）。2006年上半年，公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。通过基础调查，基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况，为制定信息安全等级保护政策奠定了坚实的基础。
        三是开展了等级保护试点工作。2006年6月，公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》（公信安[2006]573号），在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试点，完善了开展等级保护工作的模式和思路，检验和完善了开展等级保护工作的方法、思路、规范标准，探索了开展等级保护工作领导、组织、协调的模式和办法，为全面开展等级保护工作奠定了坚实的基础。
        四是部署开展定级工作。2007年7月16日联合出台了《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）。2007年7月20日，四部委在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”，部署在全国范围内开展重要信息系统安全等级保护定级工作。国家信息安全等级保护协调小组组长、公安部副部长张新枫同志和国务院信息化工作办公室副主任、国家网络与信息安全协调小组办公室主任杨学山同志作了重要讲话。国家信息安全职能部门、基础信息网络和重要信息系统主管部门、各省（区、市）公安厅（局）、保密局、国家密码管理局、信息化领导小组办公室和有关行业、部门的负责同志出席了会议。
        为加强信息安全等级保护工作的领导，公安部、国家保密局、国家密码管理局联合成立了由公安部张新枫副部长任组长的“国家信息安全等级保护协调小组”，办公室设在公安部公共信息网络安全监察局。

        二、信息安全等级保护工作的主要流程及基本要求

        等级保护的主要流程包括六项内容：一是自主定级与审批。信息系统运营使用单位按照等级保护管理办法和定级指南，自主确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。二是评审。在信息系统确定安全保护等级过程中，可以组织专家进行评审。对拟确定为第四级以上信息系统的，运营使用单位或主管部门应当邀请国家信息安全保护等级专家评审委员会评审。三是备案。第二级以上信息系统定级单位到所在地区的市级以上公安机关办理备案手续。四是系统安全建设。信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。五是等级测评。信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。六是监督检查。公安机关依据信息安全等级保护管理规范，定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的监督、检查、指导，如实向公安机关提供有关材料。
        开展等级保护工作的基本要求是：各基础信息网络和重要信息系统运营使用单位和主管部门，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。

        三、重要信息系统安全等级保护定级工作的主要步骤

        信息系统定级是等级保护工作的首要环节，是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。信息系统安全级别定不准，系统备案、建设整改、等级测评等工作都失去了针对性。定级工作的主要步骤是：
        第一步：开展摸底调查。按照《定级工作通知》确定的定级范围，各单位、各部门可以组织开展对所属信息系统进行摸底调查，摸清信息系统底数，掌握信息系统（包括信息网络）的业务类型、应用或服务范围、系统结构等基本情况，为下一步明确要求、落实责任奠定基础。
        第二步：确定定级对象。在全国重要信息系统安全等级保护定级工作（以下简称“定级工作”）中，如何科学、合理地确定定级对象是最关键、最复杂的问题。信息系统运营使用单位或主管部门按如下原则确定定级对象：一是应用系统应按照不同业务类别单独确定定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象条件。起传输作用的基础网络要作为单独的定级对象。二是确认负责定级的单位是否对所定级系统具有安全管理责任。三是具有信息系统的基本要素。
        第三步：初步确定信息系统等级。信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全保护等级。既要防止个别单位片面追求绝对安全而定级过高，也要防止忽视安全定级偏低。信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级，不以在其上运行的信息系统的最高等级或最低等级为标准。
        跨省或者全国统一联网运行的信息系统，可以由主管部门统一确定安全保护等级。由各行业统一规划、统一建设、统一安全保护策略的信息系统，应由各部委统一确定一个级别；由各部委统一规划、分级建设、运行的信息系统，应由部、省、地市分别确定系统等级，但各行业应对该类系统提出定级意见，避免出现同类系统定级出现较大偏差的问题。
        第四步：信息系统等级评审。在信息系统安全保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见。对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审，出具评审意见。
        第五步：信息系统等级的最终确定与审批。信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级；形成《定级报告》。如果专家评审意见与运营使用单位意见不一致时，由运营使用单位自主决定系统等级，信息系统运营使用单位有上级主管部门的，应当经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统，则必须由其上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性。
        第六步：备案。第二级以上信息系统，在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。定级工作的结果是以备案完成为标志。
        第七步：备案审核。受理备案的公安机关要公布备案受理地点、备案联系方式等。在受理备案时，应对提交的备案材料进行完整性审核和定级准确性审核。对符合等级保护要求的，应颁发信息系统安全等级保护备案证明。发现定级不准的，通知备案单位重新审核确定。
        第八步：及时总结并提交总结报告。各地区、各部门要结合本地区、本行业开展定级工作的实际，认真总结经验和不足，提出改进和完善定级方法的意见和建议。要及时总结定级工作经验，形成定级工作总结报告，并报送公安部。

        四、定级工作完成后需要开展的工作

        一是开展安全建设和整改。信息系统定级、备案工作完成后，运营使用单位应按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作，制定并落实符合本系统安全保护等级要求的安全管理制度。
        二是开展等级测评。信息系统建设、整改完成后，运营使用单位或者其主管部门选择符合《管理办法》规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。
        三是开展自查。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营使用单位应当制定方案进行整改。

        五、开展安全等级保护工作依据的主要标准

        信息安全等级保护工作涉及信息安全科学基础、系统建设、产品、测评、管理等多个方面工作。为保障全面实施信息安全等级保护制度，必须建立信息安全等级保护标准体系。经过公安部、国信安标委、标准编制企事业单位、有关专家等多方努力，多年攻关，目前，已基本形成了由50多个国家标准和公共安全行业标准构成的比较完整的信息安全等级保护标准体系，基本能够满足国家信息安全等级保护制度全面实施的需求。《管理办法》规定了信息系统运营使用单位在等级保护工作中按照或参照国家、行业技术标准开展系统定级、建设、整改、测评等工作。鼓励重要行业根据行业特点制定等级保护行业标准。