在第七屆中國信息安全大會上，公安部公共信息網絡監察局張俊冰處長對近期信息安全保護規范做了詳細解釋。

以下是詳細內容：

主持人：下面進入本次大會的核心部分，主題報告的階段，最近公安部正式頒布實施信息安全等級管理辦法，對我國信息安全起了重大的規范和保障作用，同時對安全產業也有很大的推動和影響，公安部如何開展管理辦法的工作是產業界普遍關注的問題，本次大會特別邀請公安部公共信息網絡監察局張俊冰處長。

張俊冰：感謝大會給我這次機會做一個我們近期工作的通報，我把有關信息安全保護規范的內容做一個介紹，我今天主要講三方面內容。

第一個要理解掌握國家有關信息安全等級保護的政策要求。第二個明確把握開展信息安全等級保護的關鍵環節。第三在現有工作成果的基礎上繼續推進等級保護工作。

第一個就是國家有關信息安全等級保護的政策要求。相信大家會經常提到中辦發的2003 27號文件，全稱是《國家信息化領導小組關于加強信息安全保障工作的意見》這里面明確提出三個方面的要求，要從實際出發，優化信息安全資源的配置，建立信息安全等級保護制度，重點保護信息基礎網絡和關系國家安全經濟命脈社會穩定的的信息系統，這就是提到的關鍵技術。 第二個要重視安全信息覆蓋評估工作，對網絡與信息系統，對信息安全等級因素進行相應的建設，落腳點還是信息安全方面。第三個明確提出對涉及國家秘密的信息系統要按照國家要求進行保護。

第二個是2004 66號文件，《關于信息安全等級保護工作的實施意見》里面也明確了信息安全等級保護制度的基本內容，這主要包括三方面的內容。第一個要根據信息系統在國家安全社會秩序，公共利益，社會生活中的重要程度，另外遭到破壞對國家安全、公共利益的危害程度。國家通過制訂統一的標準，根據信息系統不同重要程度，有針對性開展保護工作，分等級對信息系統進行保護，國家對不同等級的信息系統實行不同強度的監督管理。第三方面國家對信息安全產品的使用實行分等級管理。這是比較強調從國家對基礎信息網絡和重要信息系統保護的角度對產品的使用提出新的管理政策使用方向。國家對信息安全事件實行分等級響應和處理的制度，這落實對信息安全等級保護制度內容的核心解決。

第三方面就是今年年初下發的2006 7號文件，就是《信息安全等級保護辦法》。這里面更進一步明確規定的系統安全保護劃分。在這個辦法里面明確說明了，聯合會簽四家單位的各自職責。非常明確表明信息系統等級保護與設密的保護之間的關系。國家將會對信息安全等級保護的測評機構進行資質管理。由這三方面的政策要求可以很明確表示國家在信息安全等級保護政策體系方面，涉及保密管理，風險管理，應急響應等眾多重大管理。另外這里面提到產品分級管理以及測評單位的管理資質，目前政策沒有出來。首要的一點是要對現有的政策進行認真地研究和分析，另外也是對國家明確規定的文件要進行學習和貫徹，只有這樣才能確保等級保護工作的順利開展。

第二方面開展信息安全等級保護幾個關鍵環節的具體要求，這是在今年年初7號文件管理辦法中對開展等級保護的關鍵環節做了具體要求，這主要在以下四方面，第一方面就是信息系統要確定安全保護等級。大家可能非常關心，作為信息系統如何確定安全保護等級，在辦法中已經明確了。具體來講信息系統如何來確定，除了在政策法規，還有標準方面明確的要求之外，最主要是要把握兩個基本的原則，一個要明確安全保護責任的原則，要便于實施安全保護措施的職責，這一定要明確，等級確定以后安全保護的需求應該非常明確，而且便于實施，這是一個最基本的兩個要求。作為縱向的各個運營單位如何確定安全保護等級，如果縱向的全國性的行業系統每一級運營審計單位都具有保護責任，建議每一級都要確定為一個系統，而不是全國一個系統，這樣體現不出等級保護的核心，國家要保護關鍵技術設施，這里面如果不把信息系統進行分級就無法突出重點無法達到等級保護的要求?，F在強調一個大集中，大平臺，在大的網絡平臺運行的多個應用系統，我們建議將每一個具體的業務系統獨自確立為一個系統，分別確立保護等級。在定級過程中，同一個平臺各個信息系統，定義要素一定不相同的，一個行業縱向信息系統在國家省、地、市、縣各個級別，它的定義要素也不相同。這是系統等級方面需要強調的。

第二個在信息系統確定等級以后要開展等級保護的建設、整改和管理。根據管理辦法和隨后要出臺的國家信息系統安全等級保護的基本要求，以及信息安全等級保護的諸多國家標準都會對這項工作做具體的細化，在技術層面會有明確的指引，在具體的建設過程中要結合國家規范的管理技術標準要求，來制訂整個系統的整改方案，在方案的指引下開展等級保護的具體建設，并且在隨后的運營過程中，逐步完善各項數據，在這里面需要強調的是信息系統首要要明確單位內部有關等級保護具體責任機構和責任人，要制訂具體的等級保護工作中對人員機構管理的制度，這是等級保護目前需要強調最重要的。第二個要根據確定的保護等級參考國家的標準，對已有系統進行安全現狀的分析和評估，根據報告來明確具體安全需求并制訂相關的制度和方案。在制訂方案的時候一定要首先確定系統的總體安全策略，而且這個總體安全策略的制訂一定要符合國家信息安全等級保護的標準要求，只有符合標準要求的基礎上再進行安全框架，技術框架，管理框架的具體細化，并且根據具體的實施計劃，才能符合國家等級保護的要求。 第三方面運營審計單位要根據制訂的辦法，進行安全的備份，產品采購等等一系列方面具體的制度，這也是我們管理規范和技術標準的要求，在這一點需要指出的是，剛才已經提到，國家對信息技術產品分析使用管理政策目前沒有明確出臺，因此如果現在按照管理辦法的要求大家要開展信息系統的等級建設過程中，應該參照現有的國標和行標進行產品的選擇和建設。

在建設完成以后要進行系統的測評，要指出選擇測評單位對系統進行測評，長期以來首先要進行內部的驗收，根據國家的要求，信息系統安全測評是信息系統單位在開展等級保護中必須履行的安全等級保護的職責，而且是今后公安機關重點監督的內容之一，通過等級測評，信息系統運營單位可以和國家管理辦法要求的差距，在管理辦法中明確要求在系統投入使用之前，必須經過等級測評，今后在系統定期運維過程中，這些內容是重點監督的管理內容之一。在開展信息安全保護測評鑒于目前明確的資質和其他方面標準管理的要求下，我們建議可以采用以下三種方式開展，第一個系統運營審計單位可以為了履行自己安全保護等級職責，自己可以等級開展等級測評，但是這種等級測評的結果不能作為向公安機關備案的材料，只能作為日常管理，如果行業內部已經具有運營審計的資質，就可以作為運行。第三個運營審計單位委托行業外具有國家相關資質的第三方機構進行測評，這個結果也可以作為向公安安全材料備案之一。管理辦法明確要求從事測評的單位一定要具有國家相關的技術資質，同時還要遵守國家有關法律法規和技術標準的要求，同時還要保守測評中的國家秘密，商業秘密和安全隱私，這些要求都是以后等級保護監督管理工作中，是公安機關重點審查的內容。

第四個接受公安機關監督檢查。要到公安機關指定的受理機構辦理各種各樣的程序，在進行備案過程中要填寫信息安全等級保護的備案等級表，要提交詳細的材料，這都是我們今后的基礎內容之一，公安機關會依照管理辦法13條的要求建立備案管理的數據庫和工作備案的制度，公安機關接受備案以后會根據管理辦法和其他的要求，對涉及系統定級，制度建設安全測評等相關的內容進行審核，如果發現不符合管理辦法要求，會要求運營室單位進一步提交。作為國家對等級保護強制性要求體現，要求對三、四級保護系統進行定期檢查，對三級系統每年檢查頻度不少于一次。四級系統每半年不少于一次，檢查的重點不是要對履行安全保護職責的情況，你是不是進行了定期的安全測評，是不是進行了定期的風險評估，是不是建立相應的培訓管理制度，是不是有安全的應急方案等等，你這方案是不是進行了定期的預警，這不是為了公安機關的要求，是為了督促運營單位對系統保護工作加大各方面的投入，要確保系統安全保護工作在人財物各方面有一個明確的保障內容。另外公安機關會根據監督檢查的內容向中央和國務院提交具體的建議，國家財政部門對信息系統的安全保護提供必要的資金方面保障，這是公安機關監督檢查最重要達到的核心內容。

第三方面，目前我們前期等級保護工作已經取得了一些成績。為了貫徹27號文件，公安部會同其他部門，目前取得了一定進展，對實施信息安全保護等級的目標建立了一定的基礎。制訂并下發了管理辦法，推動了法律的保障，國信辦共同確定等級劃分，在系統等級保護和分級管理，密碼分級管理方面，諸多重大的原則，而且經過了認證細致的研究，長期征求意見的過程，在今年1月份下發了辦法。這個辦法的頒布明確我國開展信息安全等級保護的思路，和信息安全職能部門在工作中的職責和關系，標志著納入了管理化和規范化的軌道。

第二個為推廣和實施信息安全等級保護提供了信息保障的公安部組織信息安全保護評估中心，業界的專家和諸多企業共同研究起草信息安全等級保護，等級的定級指南，信息安全系統保護的基本要求，系統安全保護的實施指南和評估職責。在這標準里細化技術標準體系和實施的具體措施，為管理技術的貫徹實施提供了技術的基礎和保障。

第三個在全國范圍開展信息系統的等級系統的調查，有一些單位到目前為止已經完成了這項工作，并且向公安機關提交了詳細的數據。這項工作實際上去年年底和國信辦聯合部署和布置的，計劃這個月底這項工作就算圓滿完成，其實開展這項工作的核心，剛才呂司長也提到我們在區域分布和行業分布，原來的統計數據非常薄弱，我們能夠掌握的情況不是很全面，這一次工作主要是為國家下一步制訂有關信息安全政策和信息安全的總體規劃提供一個基礎性數據。

第四個方面，等級保護的試點工作基本上籌備工作已經完成，即將開展，這也是更好貫徹管理辦法，探索開展等級保護的具體辦法，公安部會同國家保護局，國家密碼管理局等選擇一些城市作為試點，目前試點方案已經制訂完成，即將開展部署試點工作。

下一步的工作重點有以下四個方面。第一個要開展試點工作，主要是為了摸索落實管理辦法的具體模式和經驗。

第二方面要突出重點，切實加強對重要信息系統開展等級保護工作的指導。推動關系國計民生，開展等級保護工作，開展等級保護工作核心是要保護關鍵基礎設施。今年將在基礎調查和設施基礎上，從信息系統定級工作入手，逐步完善一些指導性意見和適合行業特點的技術規范，力爭早日實現我國提出的我國信息安全保障狀況得到基本改善的宏偉目標。

第三方面加強宣傳培訓工作，正確引導等級保護工作的開展，我們針對信息安全的企業對及保護工作的政策措施不是很了解的突出問題，我們加強面向社會的保護培訓，指導全社會開展信息安全保護工作，同時也會利用今天這樣重要的會議，以及一些平面和網絡媒體加強等級保護宣傳力度，開展不同層次，不同力度的等級保護的宣傳。作為公安部責無旁貸為大家提供這方面的指導和服務，作為各省和地市公安機關會在下一步工作中加大力度，為大家提供相應的輔導和支持。

第四方面積極探索推動信息安全測評和技術支持體系工作。重要的是信息系統運營使用單位要依據國家的標準要求開展信息系統保護工作。要定期進行系統的等級測評和其他安全保護建設，我們為了積極探索不同行業不同地區開展等級保護測評體系建設和開展評估工作的模式，要結合下一步工作進行研究和探索，而且希望大家給予大力地支持和配合，為信息系統運營審計單位正確開展工作，提供全方位社會化的安全，服務奠定實踐的基礎。

用這段時間給大家基本上把我們下一步準備做的工作做了簡單的匯報，希望大家今后對我們工作能夠提出寶貴的意見和建議，謝謝大家！