等级保护历程暨我国等保实施战略
1994年2月18日,中华人民共和国国务院令第147号发布《中华人民共和国计算机信息系统安全保护条例》。该保护条例做了如下规定:
第五条 中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条 公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责 范围内做好计算机信息系统安全保护的有关工作。
第八条 计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
该条例规定了我国计算机信息系统实行安全等级保护,第二十条至第二十七条规定了计算机信息系统相关法律责任。
1999年9月13日,由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),并定于2001年1月1日实施。该标准规定了计算机信息系统安全保护能力的五个等级,即:
第一级:用户自主保护级
第二级:系统审计保护级
第三级:安全标记保护级
第四级:结构化保护级
第五级:访问验证保护级
计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。各保护等级详细划分准则可参考该标准第四章。
2003年9月7日,中共中央办公厅、国务院办公厅发出通知,转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件),明确指出“实行信息安全等级保护”,对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护。该文件标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。
2004年9月15日,国家网络与信息安全协调小组第三次会议讨论通过《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),该意见于2004年9月17日印发。该意见指出开展信息安全等级保护工作的重要意义、信息安全等级保护制度的原则、信息安全等级保护制度的基本内容、信息安全等级保护工作职责分工、实施信息安全等级保护工作的要求、信息安全等级保护工作实施计划。
2006年上半年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠基。2006年6月,四部门联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试点,完善了开展等级保护工作的模式和思路,检验和完善了开展等级保护工作的方法、思路、规范标准,探索了开展等级保护工作领导、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。
2007年6月22日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定并颁发了《信息安全等级保护管理办法》(公通字[2007]43号),明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监督部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
2007年7月16日,四部门联合出台了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),在2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作。该次工作定级范围包括:
评估中心制定的四个标准《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》在试点工作中使用。2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。
2009年10月27日,公安部印发《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号),同时编写了《信息安全等级保护安全建设整改工作指南》作为附件供参考,明确了信息系统安全建设整改主要内容及信息系统安全建设整改工作流程,附录划分了信息安全等级保护相关标准体系并列出相关标准清单,并对中央和国家机关九十多个部委和直属机构等进行了等级保护建设整改工作培训,评估中心对建设整改工作的技术方法和流程进行了培训。同年,公安部以(公信安[2009]1487号)文件的形式下发了由评估中心编写的《信息系统安全等级保护测评报告模板(试行)》。
2010年3月12日,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),督促备案单位开展信息系统等级测评工作,2010年底前完成测评体系建设,并完成30%第三级(含)以上信息系统的测评工作,2011年底前完成第三季(含)以上信息系统的测评工作,2012年底之前完成第三季(含)以上信息系统的安全建设整改工作。在附件《信息安全等级保护测评工作管理规范(试行)》文件中明确规定,公安部信息安全等级保护评估中心负责测评机构的能力评估和培训。
2010年12月26日,公安部和国务院国有资产监督管理委员会联合出台了《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号),要求中央企业贯彻执行等级保护工作。
2013年,全国信息安全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标准的研究。以《GB17859 计算机信息系统安全保护等级划分准则 》、《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》为代表的等级保护系列配套标准,习惯称为等保1.0标准。
2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。
2016年11月7日,《中华人民共和国网络安全法》正式颁布,2017年6月一日正式实施。明确指出国家实行网络安全等级保护制度:
2017年1月至2月,全国信息安全标准化技术委员会发布《 网络安全等级保护基本要求》系列标准、《 网络安全等级保护测评要求 》系列标准等“征求意见稿”。2017年5月,国家公安部发布《GA/T 1389—2017 网络安全等级保护定级指南》、《GA/T 1390.2—2017 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》等4个公共安全行业等级保护标准。
截至目前,我国等级保护制度不断完善,等级保护相关标准的实施正加速我国网络安全的发展。以下为习近平总书记论网络安全的重要性:
在信息时代,网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系。
网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。
——2016年4月19日,在网络安全和信息化工作座谈会上的讲话
没有网络安全就没有国家安全,没有信息化就没有现代化。
网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。
——2014年2月27日,在中央网络安全和信息化领导小组第一次会议上的讲话
网络空间不是“法外之地”。网络空间是虚拟的,但运用网络空间的主体是现实的,大家都应该遵守法律,明确各方权利义务。
——2015年12月16日,在第二届世界互联网大会开幕式上的讲话
第五条 中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条 公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责 范围内做好计算机信息系统安全保护的有关工作。
第八条 计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
该条例规定了我国计算机信息系统实行安全等级保护,第二十条至第二十七条规定了计算机信息系统相关法律责任。
1999年9月13日,由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),并定于2001年1月1日实施。该标准规定了计算机信息系统安全保护能力的五个等级,即:
第一级:用户自主保护级
第二级:系统审计保护级
第三级:安全标记保护级
第四级:结构化保护级
第五级:访问验证保护级
计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。各保护等级详细划分准则可参考该标准第四章。
2003年9月7日,中共中央办公厅、国务院办公厅发出通知,转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件),明确指出“实行信息安全等级保护”,对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护。该文件标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。
2004年9月15日,国家网络与信息安全协调小组第三次会议讨论通过《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),该意见于2004年9月17日印发。该意见指出开展信息安全等级保护工作的重要意义、信息安全等级保护制度的原则、信息安全等级保护制度的基本内容、信息安全等级保护工作职责分工、实施信息安全等级保护工作的要求、信息安全等级保护工作实施计划。
2006年上半年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠基。2006年6月,四部门联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试点,完善了开展等级保护工作的模式和思路,检验和完善了开展等级保护工作的方法、思路、规范标准,探索了开展等级保护工作领导、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。
2007年6月22日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定并颁发了《信息安全等级保护管理办法》(公通字[2007]43号),明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监督部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
2007年7月16日,四部门联合出台了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),在2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作。该次工作定级范围包括:
评估中心制定的四个标准《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》在试点工作中使用。2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。
2009年10月27日,公安部印发《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号),同时编写了《信息安全等级保护安全建设整改工作指南》作为附件供参考,明确了信息系统安全建设整改主要内容及信息系统安全建设整改工作流程,附录划分了信息安全等级保护相关标准体系并列出相关标准清单,并对中央和国家机关九十多个部委和直属机构等进行了等级保护建设整改工作培训,评估中心对建设整改工作的技术方法和流程进行了培训。同年,公安部以(公信安[2009]1487号)文件的形式下发了由评估中心编写的《信息系统安全等级保护测评报告模板(试行)》。
2010年3月12日,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),督促备案单位开展信息系统等级测评工作,2010年底前完成测评体系建设,并完成30%第三级(含)以上信息系统的测评工作,2011年底前完成第三季(含)以上信息系统的测评工作,2012年底之前完成第三季(含)以上信息系统的安全建设整改工作。在附件《信息安全等级保护测评工作管理规范(试行)》文件中明确规定,公安部信息安全等级保护评估中心负责测评机构的能力评估和培训。
2010年12月26日,公安部和国务院国有资产监督管理委员会联合出台了《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号),要求中央企业贯彻执行等级保护工作。
2013年,全国信息安全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标准的研究。以《GB17859 计算机信息系统安全保护等级划分准则 》、《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》为代表的等级保护系列配套标准,习惯称为等保1.0标准。
2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。
2016年11月7日,《中华人民共和国网络安全法》正式颁布,2017年6月一日正式实施。明确指出国家实行网络安全等级保护制度:
2017年1月至2月,全国信息安全标准化技术委员会发布《 网络安全等级保护基本要求》系列标准、《 网络安全等级保护测评要求 》系列标准等“征求意见稿”。2017年5月,国家公安部发布《GA/T 1389—2017 网络安全等级保护定级指南》、《GA/T 1390.2—2017 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》等4个公共安全行业等级保护标准。
截至目前,我国等级保护制度不断完善,等级保护相关标准的实施正加速我国网络安全的发展。以下为习近平总书记论网络安全的重要性:
在信息时代,网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系。
网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。
——2016年4月19日,在网络安全和信息化工作座谈会上的讲话
没有网络安全就没有国家安全,没有信息化就没有现代化。
网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。
——2014年2月27日,在中央网络安全和信息化领导小组第一次会议上的讲话
网络空间不是“法外之地”。网络空间是虚拟的,但运用网络空间的主体是现实的,大家都应该遵守法律,明确各方权利义务。
——2015年12月16日,在第二届世界互联网大会开幕式上的讲话