等級保護歷程暨我國等保實施戰(zhàn)略
1994年2月18日,中華人民共和國國務院令第147號發(fā)布《中華人民共和國計算機信息系統(tǒng)安全保護條例》。該保護條例做了如下規(guī)定:
第五條 中華人民共和國境內(nèi)的計算機信息系統(tǒng)的安全保護,適用本條例。
未聯(lián)網(wǎng)的微型計算機的安全保護辦法,另行制定。
第六條 公安部主管全國計算機信息系統(tǒng)安全保護工作。
國家安全部、國家保密局和國務院其他有關部門,在國務院規(guī)定的職責 范圍內(nèi)做好計算機信息系統(tǒng)安全保護的有關工作。
第八條 計算機信息系統(tǒng)的建設和應用,應當遵守法律、行政法規(guī)和國家其他有關規(guī)定。
第九條 計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。
該條例規(guī)定了我國計算機信息系統(tǒng)實行安全等級保護,第二十條至第二十七條規(guī)定了計算機信息系統(tǒng)相關法律責任。
1999年9月13日,由國家公安部提出并組織制定,國家質(zhì)量技術監(jiān)督局發(fā)布了《計算機信息系統(tǒng)安全保護等級劃分準則》(GB 17859-1999),并定于2001年1月1日實施。該標準規(guī)定了計算機信息系統(tǒng)安全保護能力的五個等級,即:
第一級:用戶自主保護級
第二級:系統(tǒng)審計保護級
第三級:安全標記保護級
第四級:結(jié)構化保護級
第五級:訪問驗證保護級
計算機信息系統(tǒng)安全保護能力隨著安全保護等級的增高,逐漸增強。各保護等級詳細劃分準則可參考該標準第四章。
2003年9月7日,中共中央辦公廳、國務院辦公廳發(fā)出通知,轉(zhuǎn)發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號文件),明確指出“實行信息安全等級保護”,對涉及國家秘密的信息系統(tǒng),要按照黨和國家有關保密規(guī)定進行保護。該文件標志著等級保護從計算機信息系統(tǒng)安全保護的一項制度提升到國家信息安全保障一項基本制度。同時中央27號文明確了各級黨委和政府在信息安全保障工作中的領導地位以及“誰主管誰負責,誰運營誰負責”的信息安全保障責任制。
2004年9月15日,國家網(wǎng)絡與信息安全協(xié)調(diào)小組第三次會議討論通過《關于信息安全等級保護工作的實施意見》(公通字[2004]66號),該意見于2004年9月17日印發(fā)。該意見指出開展信息安全等級保護工作的重要意義、信息安全等級保護制度的原則、信息安全等級保護制度的基本內(nèi)容、信息安全等級保護工作職責分工、實施信息安全等級保護工作的要求、信息安全等級保護工作實施計劃。
2006年上半年,公安部聯(lián)合四部委開展涉及65117家單位,共115319個信息系統(tǒng)的等級保護基礎調(diào)查和等級保護試點工作,為全面開展等級保護工作奠基。2006年6月,四部門聯(lián)合下發(fā)了《關于開展信息安全等級保護試點工作的通知》(公信安[2006]573號)。在13個省區(qū)市和3個部委聯(lián)合開展了信息安全等級保護試點工作。通過試點,完善了開展等級保護工作的模式和思路,檢驗和完善了開展等級保護工作的方法、思路、規(guī)范標準,探索了開展等級保護工作領導、組織、協(xié)調(diào)的模式和辦法,為全面開展等級保護工作奠定了堅實的基礎。
2007年6月22日,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定并頒發(fā)了《信息安全等級保護管理辦法》(公通字[2007]43號),明確了信息安全等級保護制度的基本內(nèi)容、流程及工作要求,明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)督部門在信息安全等級保護工作中的職責、任務,為開展信息安全等級保護工作提供了規(guī)范保障。
2007年7月16日,四部門聯(lián)合出臺了《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安[2007]861號),在2007年7月至10月在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等級保護定級工作。該次工作定級范圍包括:
評估中心制定的四個標準《信息系統(tǒng)安全等級保護定級指南》、《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)安全等級保護測評要求》在試點工作中使用。2007年7月20日,召開全國重要信息系統(tǒng)安全等級保護定級工作部署專題電視電話會議,標志著信息安全等級保護制度正式開始實施。
2009年10月27日,公安部印發(fā)《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安[2009]1429號),同時編寫了《信息安全等級保護安全建設整改工作指南》作為附件供參考,明確了信息系統(tǒng)安全建設整改主要內(nèi)容及信息系統(tǒng)安全建設整改工作流程,附錄劃分了信息安全等級保護相關標準體系并列出相關標準清單,并對中央和國家機關九十多個部委和直屬機構等進行了等級保護建設整改工作培訓,評估中心對建設整改工作的技術方法和流程進行了培訓。同年,公安部以(公信安[2009]1487號)文件的形式下發(fā)了由評估中心編寫的《信息系統(tǒng)安全等級保護測評報告模板(試行)》。
2010年3月12日,公安部出臺《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》(公信安[2010]303號),督促備案單位開展信息系統(tǒng)等級測評工作,2010年底前完成測評體系建設,并完成30%第三級(含)以上信息系統(tǒng)的測評工作,2011年底前完成第三季(含)以上信息系統(tǒng)的測評工作,2012年底之前完成第三季(含)以上信息系統(tǒng)的安全建設整改工作。在附件《信息安全等級保護測評工作管理規(guī)范(試行)》文件中明確規(guī)定,公安部信息安全等級保護評估中心負責測評機構的能力評估和培訓。
2010年12月26日,公安部和國務院國有資產(chǎn)監(jiān)督管理委員會聯(lián)合出臺了《關于進一步推進中央企業(yè)信息安全等級保護工作的通知》(公通字[2010]70號),要求中央企業(yè)貫徹執(zhí)行等級保護工作。
2013年,全國信息安全標準化技術委員會授權WG5-信息安全評估工作組開始啟動等級保護新標準的研究。以《GB17859 計算機信息系統(tǒng)安全保護等級劃分準則 》、《GB/T22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求 》為代表的等級保護系列配套標準,習慣稱為等保1.0標準。
2016年10月10日,第五屆全國信息安全等級保護技術大召開,公安部網(wǎng)絡安全保衛(wèi)局郭啟全總工指出“國家對網(wǎng)絡安全等級保護制度提出了新的要求,等級保護制度已進入2.0時代”。
2016年11月7日,《中華人民共和國網(wǎng)絡安全法》正式頒布,2017年6月一日正式實施。明確指出國家實行網(wǎng)絡安全等級保護制度:
2017年1月至2月,全國信息安全標準化技術委員會發(fā)布《 網(wǎng)絡安全等級保護基本要求》系列標準、《 網(wǎng)絡安全等級保護測評要求 》系列標準等“征求意見稿”。2017年5月,國家公安部發(fā)布《GA/T 1389—2017 網(wǎng)絡安全等級保護定級指南》、《GA/T 1390.2—2017 網(wǎng)絡安全等級保護基本要求 第 2 部分:云計算安全擴展要求》等4個公共安全行業(yè)等級保護標準。
截至目前,我國等級保護制度不斷完善,等級保護相關標準的實施正加速我國網(wǎng)絡安全的發(fā)展。以下為習近平總書記論網(wǎng)絡安全的重要性:
在信息時代,網(wǎng)絡安全對國家安全牽一發(fā)而動全身,同許多其他方面的安全都有著密切關系。
網(wǎng)絡安全為人民,網(wǎng)絡安全靠人民,維護網(wǎng)絡安全是全社會共同責任,需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與,共筑網(wǎng)絡安全防線。
——2016年4月19日,在網(wǎng)絡安全和信息化工作座談會上的講話
沒有網(wǎng)絡安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化。
網(wǎng)絡安全和信息化是一體之兩翼、驅(qū)動之雙輪,必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施。
——2014年2月27日,在中央網(wǎng)絡安全和信息化領導小組第一次會議上的講話
網(wǎng)絡空間不是“法外之地”。網(wǎng)絡空間是虛擬的,但運用網(wǎng)絡空間的主體是現(xiàn)實的,大家都應該遵守法律,明確各方權利義務。
——2015年12月16日,在第二屆世界互聯(lián)網(wǎng)大會開幕式上的講話
第五條 中華人民共和國境內(nèi)的計算機信息系統(tǒng)的安全保護,適用本條例。
未聯(lián)網(wǎng)的微型計算機的安全保護辦法,另行制定。
第六條 公安部主管全國計算機信息系統(tǒng)安全保護工作。
國家安全部、國家保密局和國務院其他有關部門,在國務院規(guī)定的職責 范圍內(nèi)做好計算機信息系統(tǒng)安全保護的有關工作。
第八條 計算機信息系統(tǒng)的建設和應用,應當遵守法律、行政法規(guī)和國家其他有關規(guī)定。
第九條 計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。
該條例規(guī)定了我國計算機信息系統(tǒng)實行安全等級保護,第二十條至第二十七條規(guī)定了計算機信息系統(tǒng)相關法律責任。
1999年9月13日,由國家公安部提出并組織制定,國家質(zhì)量技術監(jiān)督局發(fā)布了《計算機信息系統(tǒng)安全保護等級劃分準則》(GB 17859-1999),并定于2001年1月1日實施。該標準規(guī)定了計算機信息系統(tǒng)安全保護能力的五個等級,即:
第一級:用戶自主保護級
第二級:系統(tǒng)審計保護級
第三級:安全標記保護級
第四級:結(jié)構化保護級
第五級:訪問驗證保護級
計算機信息系統(tǒng)安全保護能力隨著安全保護等級的增高,逐漸增強。各保護等級詳細劃分準則可參考該標準第四章。
2003年9月7日,中共中央辦公廳、國務院辦公廳發(fā)出通知,轉(zhuǎn)發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號文件),明確指出“實行信息安全等級保護”,對涉及國家秘密的信息系統(tǒng),要按照黨和國家有關保密規(guī)定進行保護。該文件標志著等級保護從計算機信息系統(tǒng)安全保護的一項制度提升到國家信息安全保障一項基本制度。同時中央27號文明確了各級黨委和政府在信息安全保障工作中的領導地位以及“誰主管誰負責,誰運營誰負責”的信息安全保障責任制。
2004年9月15日,國家網(wǎng)絡與信息安全協(xié)調(diào)小組第三次會議討論通過《關于信息安全等級保護工作的實施意見》(公通字[2004]66號),該意見于2004年9月17日印發(fā)。該意見指出開展信息安全等級保護工作的重要意義、信息安全等級保護制度的原則、信息安全等級保護制度的基本內(nèi)容、信息安全等級保護工作職責分工、實施信息安全等級保護工作的要求、信息安全等級保護工作實施計劃。
2006年上半年,公安部聯(lián)合四部委開展涉及65117家單位,共115319個信息系統(tǒng)的等級保護基礎調(diào)查和等級保護試點工作,為全面開展等級保護工作奠基。2006年6月,四部門聯(lián)合下發(fā)了《關于開展信息安全等級保護試點工作的通知》(公信安[2006]573號)。在13個省區(qū)市和3個部委聯(lián)合開展了信息安全等級保護試點工作。通過試點,完善了開展等級保護工作的模式和思路,檢驗和完善了開展等級保護工作的方法、思路、規(guī)范標準,探索了開展等級保護工作領導、組織、協(xié)調(diào)的模式和辦法,為全面開展等級保護工作奠定了堅實的基礎。
2007年6月22日,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定并頒發(fā)了《信息安全等級保護管理辦法》(公通字[2007]43號),明確了信息安全等級保護制度的基本內(nèi)容、流程及工作要求,明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)督部門在信息安全等級保護工作中的職責、任務,為開展信息安全等級保護工作提供了規(guī)范保障。
2007年7月16日,四部門聯(lián)合出臺了《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安[2007]861號),在2007年7月至10月在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等級保護定級工作。該次工作定級范圍包括:
評估中心制定的四個標準《信息系統(tǒng)安全等級保護定級指南》、《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)安全等級保護測評要求》在試點工作中使用。2007年7月20日,召開全國重要信息系統(tǒng)安全等級保護定級工作部署專題電視電話會議,標志著信息安全等級保護制度正式開始實施。
2009年10月27日,公安部印發(fā)《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安[2009]1429號),同時編寫了《信息安全等級保護安全建設整改工作指南》作為附件供參考,明確了信息系統(tǒng)安全建設整改主要內(nèi)容及信息系統(tǒng)安全建設整改工作流程,附錄劃分了信息安全等級保護相關標準體系并列出相關標準清單,并對中央和國家機關九十多個部委和直屬機構等進行了等級保護建設整改工作培訓,評估中心對建設整改工作的技術方法和流程進行了培訓。同年,公安部以(公信安[2009]1487號)文件的形式下發(fā)了由評估中心編寫的《信息系統(tǒng)安全等級保護測評報告模板(試行)》。
2010年3月12日,公安部出臺《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》(公信安[2010]303號),督促備案單位開展信息系統(tǒng)等級測評工作,2010年底前完成測評體系建設,并完成30%第三級(含)以上信息系統(tǒng)的測評工作,2011年底前完成第三季(含)以上信息系統(tǒng)的測評工作,2012年底之前完成第三季(含)以上信息系統(tǒng)的安全建設整改工作。在附件《信息安全等級保護測評工作管理規(guī)范(試行)》文件中明確規(guī)定,公安部信息安全等級保護評估中心負責測評機構的能力評估和培訓。
2010年12月26日,公安部和國務院國有資產(chǎn)監(jiān)督管理委員會聯(lián)合出臺了《關于進一步推進中央企業(yè)信息安全等級保護工作的通知》(公通字[2010]70號),要求中央企業(yè)貫徹執(zhí)行等級保護工作。
2013年,全國信息安全標準化技術委員會授權WG5-信息安全評估工作組開始啟動等級保護新標準的研究。以《GB17859 計算機信息系統(tǒng)安全保護等級劃分準則 》、《GB/T22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求 》為代表的等級保護系列配套標準,習慣稱為等保1.0標準。
2016年10月10日,第五屆全國信息安全等級保護技術大召開,公安部網(wǎng)絡安全保衛(wèi)局郭啟全總工指出“國家對網(wǎng)絡安全等級保護制度提出了新的要求,等級保護制度已進入2.0時代”。
2016年11月7日,《中華人民共和國網(wǎng)絡安全法》正式頒布,2017年6月一日正式實施。明確指出國家實行網(wǎng)絡安全等級保護制度:
2017年1月至2月,全國信息安全標準化技術委員會發(fā)布《 網(wǎng)絡安全等級保護基本要求》系列標準、《 網(wǎng)絡安全等級保護測評要求 》系列標準等“征求意見稿”。2017年5月,國家公安部發(fā)布《GA/T 1389—2017 網(wǎng)絡安全等級保護定級指南》、《GA/T 1390.2—2017 網(wǎng)絡安全等級保護基本要求 第 2 部分:云計算安全擴展要求》等4個公共安全行業(yè)等級保護標準。
截至目前,我國等級保護制度不斷完善,等級保護相關標準的實施正加速我國網(wǎng)絡安全的發(fā)展。以下為習近平總書記論網(wǎng)絡安全的重要性:
在信息時代,網(wǎng)絡安全對國家安全牽一發(fā)而動全身,同許多其他方面的安全都有著密切關系。
網(wǎng)絡安全為人民,網(wǎng)絡安全靠人民,維護網(wǎng)絡安全是全社會共同責任,需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與,共筑網(wǎng)絡安全防線。
——2016年4月19日,在網(wǎng)絡安全和信息化工作座談會上的講話
沒有網(wǎng)絡安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化。
網(wǎng)絡安全和信息化是一體之兩翼、驅(qū)動之雙輪,必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施。
——2014年2月27日,在中央網(wǎng)絡安全和信息化領導小組第一次會議上的講話
網(wǎng)絡空間不是“法外之地”。網(wǎng)絡空間是虛擬的,但運用網(wǎng)絡空間的主體是現(xiàn)實的,大家都應該遵守法律,明確各方權利義務。
——2015年12月16日,在第二屆世界互聯(lián)網(wǎng)大會開幕式上的講話