2003年9月7日,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》,其中明确提出了开展信息安全等级保护的任务,并指出涉及国家秘密的信息系统(以下简称涉密信息系统)要按照党和国家的有关保密规定进行保护。在已经开展的分级保护的具体工作中,有几个问题需要引起重视。
一、分级保护与等级保护的关系
2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责负责的管理职责和要求。其中明确规定:涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
为贯彻落实两办文件精神,中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,颁布了国家保密标准《涉及国家秘密的信息系统分级保护技术要求》。目前,正在制订并将颁布两个国家保密标准:《涉及国家秘密的信息系统分级保护管理规范》和《涉及国家秘密的信息系统分级保护测平指南》。2007年将制订其他标准,进一步完善标准体系。
我国信息安全等级保护与涉密信息系统分级保护关系
等级保护 分级保护
保护对象不同 非涉密信息系统 涉密信息系统
管理体系不同 公安机关 国家保密工作部门
标准体系不同 国家标准(GB、GB/T) 国家保密标准(BMB,强制执行)
级别划分不同 第一级:自主保护级
第二级:指导保护级
第三级:监督保护级 秘密级
第四级:强制保护级 机密级
第五级:专控保护级 绝密级
涉密信息系统分级保护与信息安全等级保护制度相衔接,三个等级的防护水平不低于国家等级保护的第三、四、五级要求
二、关于涉密信息系统分级保护概况
1、涉密信息系统分级保护的含义
涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
2、涉密信息系统分级保护管理原则
规范定密,准确定级;依据标准,同步建设;突出重点,确保核心;明确责任,加强监督。
3、涉密信息系统分级保护的管理职责
国家保密局负责全国涉密信息系统分级保护工作的指导、监督和检查;地方各级保密局负责本行政区域涉密信息系统分级保护工作的指导、监督和检查;中央和国家机关负责本部门和本系统内涉密信息系统分级保护工作的主管和指导;建设使用单位负责本单位涉密信息系统分级保护工作的具体实施。
4、涉密信息系统的等级划分
涉密信息系统按照处理信息的最高密级确定,由低到高划分为秘密、机密和绝密三个等级。绝密级信息系统应限定在封闭、安全可控的独立建筑群内。集中处理工作秘密的信息系统,可参照秘密级信息系统的有关要求进行保护。
5、涉密信息系统分级保护的实施步骤
(1)规范信息定密;
(2)确定系统等级;
(3)方案设计与审核;
(4)落实保护措施;
(5)系统测评;
(6)系统审批;
(7)安全保密评估与保密监督检查。
6、涉密信息系统的监管
(1)必须选择具有相应涉密资质的单位承担或参与涉密信息系统的方案设计与实施;
(2)保密工作部门参加方案审查论证;
(3)国家保密局授权的系统测评机构进行安全保密测评;
(4)经保密工作部门审批后,系统方可投入使用;
(5)保密工作部门定期进行保密检查或系统测评:秘密级和机密级信息系统,每两年至少一次;绝密级信息系统,每年至少一次。
三、关于涉密信息系统分级保护管理规范
根据“技管并重”的指导思想,一个不同等级的信息系统既要采取不同强度的技术保护措施,还要采取不同的管理强度,才能保障这个信息系统的安全,因此需制订国家保密标准——《涉密信息系统分级保护管理规范》,它是以国家保密局《涉密信息系统分级保护管理办法》作为指导,以《涉密信息系统保密技术要求》中安全保密管理部分作为基础,结合ISO/ICE。TR13335《信息技术、IT安全管理指南》与涉密信息系统的管理实践确定管理过程,结合ISO/IEE17799《信息技术、信息安全管理实用规则》与分级要求确定管理内容。
在涉密信息系统的生命周期中应把握好八个基本环节:
1、系统定级
明确系统所处理信息的最高密级,确定系统保护等级。
2、方案设计
组织自身的技术力量或委托资质单位进行设计前的风险评估,确定系统风险。选择具有涉密资质的集成单位依据相关国家保密标准进行方案设计,并应通过专家论证,负责系统审批的保密工作部门应参加论证。
3、工程实施
组建工程监理机构,细化管理制度,对工程实施进行监督,或者选择具有涉密资 质的工程监理单位进行监理。
4、系统测评
系统工程实施完毕后,建设使用单位向保密工作部门申请进行系统测评,国家保密局涉密信息系统安全保密测评中心及分中心负责进行系统测评。
5、系统审批
涉密信息系统在投入运行后前,应经过(地)以上保密工作部门根据系统测评结果进行的审批。
6、日常管理
日常管理包括基本管理要求,人员管理、物理环境与设施管理、信息保密管理等。
7、测评与检查
涉密信息系统投入运行后还应定期进行安全保密测评和检查。
8、系统废止
废止涉密信息系统应向相关保密工作部门备案,并按照有关保密规定妥善处理涉及国家秘密信息的设备、产品和资料。
涉密信息系统分级保护的核心思想是“实事求是”与“具体问题具体分析”,既防止欠保护,也防止过保护,以确保国家秘密安全为原则。我国的涉密信息系统分级保护已经进入了建立制度、完善体系的阶段,但还有很长的路要走。由于存在信息系统所涉及技术、管理的复杂性、系统保护评价和不确定性以及安全防护与攻击技术存在的非对称性等因素,我们还有许多问题要研究、要探索,但只要我们坚持科学发展观,勇于实践,就会走出一条适合我国国情的道路。