信息安全等级保护指标

信息安全等级保护指标（精选8篇）

1.信息安全等级保护指标 篇一

《信息安全等级保护管理办法》 四部委下发公通字[2007]43号文 《信息安全等级保护管理办法》是为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。由四部委下发，公通字200743号文。2 制定目的 规范信息安全等级保护管理。文号

公通字200743号文 第一章 总则 第一条

为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。第二条

国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。第三条

公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条

信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条

信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章 等级划分与保护 第六条

国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条

信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造 1

成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第八条

信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。第三章等级保护的实施与管理 第九条

信息系统运营、用单位应当按照《信息系统安全等级保护实施指南》 具体实施等级保护工作。第十条

信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护 等级专家评审委员会评审。第十一条

信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。第十二条

在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术 操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。第十三条

运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。第十四条

信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。

第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每 半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。第十五条

已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30 日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。第十六条

办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：

（一）系统拓扑结构及说明；

（二）系统安全组织机构和管理制度；

（三）系统安全保护设施设计实施方案或者改建实施方案；

（四）系统使用的信息安全产品清单及其认证、销售许可证明；

（五）测评后符合系统安全保护等级的技术检测评估报告；

（六）信息系统安全保护等级专家评审意见；

（七）主管部门审核批准信息系统安全保护等级的意见。

第十七条

信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以 纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。第十八条

受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。对第五级信息系统，应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查：

（一）系统安全需求是否发生变化，原定保护等级是否准确；

（二）运营、使用单位安全管理制度、措施的落实情况；

（三）运营、使用单位及其主管部门对信息系统安全状况的检查情况；

（四）系统安全等级测评是否符合要求；

（五）信息安全产品使用是否符合要求；

（六）对信息系统开展等级测评的技术测评报告；

（七）信息安全产品使用的变更情况；

（八）信息安全事件应急预案，信息安全事件应急处置结果报告；

（九）信息系统安全建设、整改结果报告。

第二十条

公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求，按照管理规范和技术标准进行整改。整改完成后，应当将整改报告向公安机关备案。必要时，公安机关可以对整改情况组织检查。

第二十一条

第三级以上信息系统应当选择使用符合以下条件的信息安全产品：

（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民 共和国境内具有独立的法人资格；

（二）产品的核心技术、关键部件具有我国自主知识产权；

（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；

（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；

（五）对国家安全、社会秩序、公共利益不构成危害；

（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。第二十二条

第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评：

（一）在中华人民共和国境内注册成立（港澳台地区除外）；

（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；

（三）从事相关检测评估工作两年以上，无违法记录；

（四）工作人员仅限于中国公民；

（五）法人及主要业务、技术人员无犯罪记录；

（六）使用的技术装备、设施应当符合本办法对信息安全产品的要求；

（七）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；

（八）对国家安全、社会秩序、公共利益不构成威胁。第二十三条

从事信息系统安全等级测评的机构，应当履行下列义务：

（一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；

（二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；

（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。第四章 涉密信息系统的分级保护管理

第二十四条

涉密信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息。第二十五条

涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级。涉密信息系统建设使用单位应当在信息规范定密的基础上，依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确 定系统等级。对于包含多个安全域的涉密信息系统，各安全域可以分别确定保护等级。保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。第二十六条

涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况，及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案，并接受保密部门的监督、检查、指导。

第二十七条

涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准，按照秘密、机密、绝密三级的不同要求，结合系统实际进行方案设计，实施分级保护，其保护水平

总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。第二十八条

涉密信息系统使用的信息安全保密产品原则上应当选用国产品，并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测，通过检测的产品由国家保密局审核发布目录。

第二十九条

涉密信息系统建设使用单位在系统工程实施结束后，应当向保密工作部门提出申请，由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》，对涉密信息系统进行安全保密测评。涉密信息系统建设使用单位在系统投入使用前，应当按照《涉及国家秘密的信息系统审批管理规定》，向设区的市级以上保密工作部门申请进行系统审批，涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统，其建设使用单位在按照分级保护要求完成系统整改后，应当向保密工作部门备案。

第三十条

涉密信息系统建设使用单位在申请系统审批或者备案时，应当提交以下材料：

（一）系统设计、实施方案及审查论证意见；

（二）系统承建单位资质证明材料；

（三）系统建设和工程监理情况报告；

（四）系统安全保密检测评估报告；

（五）系统安全保密组织机构和管理制度情况；

（六）其他有关材料。第三十一条

涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时，其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况，决定是否对其重新进行测评和审批。第三十二条

涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》，加强涉密信息系统运行中的保密管理，定期进行风险评估，消除泄密隐患和漏洞。第三十三条

国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理，并做好以下工作：

（一）指导、监督和检查分级保护工作的开展；

（二）指导涉密信息系统建设使用单位规范信息定密，合理确定系统保护等级；

（三）参与涉密信息系统分级保护方案论证，指导建设使用单位做好保密设施的同步规划设计；

（四）依法对涉密信息系统集成资质单位进行监督管理；

（五）严格进行系统测评和审批工作，监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况；

（六）加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评，对绝密级信息系统每年至少进行一次保密检查或者系统测评；

（七）了解掌握各级各类涉密信息系统的管理使用情况，及时发现和查处各种违规违法行为和泄密事件。第五章

信息安全等级保护的密码管理 第三十四条

国家密码管理部门对信息安全等级保护的密码实行分类分级管理。

根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度，被保护对象的安全防护要求和涉密程度，被保护对象被破坏后的危害程度以及密码使用部门的性质等，确定密码的等级保护准则。信息系统运营、使用单位采用密码进行等级保护的，应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。第三十五条

信息系统安全等级保护中密码的配备、使用和管理等，应当严格执行国家密码管理的有关规定。

第三十六条

信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的，应报经国家密码管理局审批，密码的设计、实施、使用、运行维护和日常管理等，应当按照国家密码管理有关规定和相关标准执行；采用密码对不涉及国家秘密的信息和信息系统进行保护的，须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准，其密码的配备使用情况应当向国家密码管理机构备案。第三十七条

运用密码技术对信息系统进行系统等级保护建设和整改的，必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护，不得采用国外引进或者擅自研制的密码产品；未经批准不得采用含有加密功能的进口信息技术产品。第三十八条

信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。第三十九条

各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或者违反密码管理相关规定或者未达 到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。第六章 法律责任 第四十条

第三级以上信息系统运营、使用单位违反本办法规定，有下列行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果：

（一）未按本办法规定备案、审批的；

（二）未按本办法规定落实安全管理制度、措施的；

（三）未按本办法规定开展系统安全状况检查的；

（四）未按本办法规定开展系统安全技术测评的；

（五）接到整改通知后，拒不整改的；

（六）未按本办法规定选择使用信息安全产品和测评机构的；

（七）未按本办法规定如实提供有关文件和证明材料的；

（八）违反保密管理规定的；

（九）违反密码管理规定的；

（十）违反本办法其他规定的。

违反前款规定，造成严重损害的，由相关部门依照有关法律、法规予以处理。第四十一条

信息安全监管部门及其工作人员在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的，依法给予行政处分；构成犯罪的，依法追究刑事责任。第七章 附则

第四十二条

已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级；新建信息系统在设计、规划阶段确定安全保护等级。第四十三条本办法所称“以上”包含本数（级）。第四十四条本办法自发布之日起施行，《信息安全等级保护管理办法（试行）》（公通字[2006]7 7

号）同时废止。

2.信息安全等级保护指标 篇二

目前对信息及信息系统实行分等级保护是各国保护关键基础设施的通行做法。在我国信息安全等级保护是保障国家信息安全的一项基本制度。通过信息安全等级保护工作, 实现信息安全资源的优化配置, 重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全, 有效提高我国信息和信息系统安全建设的整体水平。

1.1 信息安全等级保护的概念及等级划分

信息系统安全等级保护是指对信息以及信息系统分等级进行安全保护和监管;对信息安全产品的使用进行分等级管理;对信息系统中发生的信息安全事件分等级响应、处置的综合性工作制度。

根据信息系统在国家安全、经济建设、社会生活中的重要程度, 以及信息系统遭到破坏后对国家安全、社会秩序、公共利益, 以及公民、法人和其他组织的合法权益的危害程度等因素, 将信息系统安全等级由低到高分为五个等级:第一级, 自主保护级;第二级, 指导保护级;第三级, 监督保护级;第四级, 强制保护级;第五级, 专控保护级。依据安全保护能力也划分为五个等级:第一级, 用户自主保护级;第二级, 系统审计保护级;第三级, 安全标记保护级;第四级结构化保护级;第五级访问验证保护级。

1.2 国外信息安全等级保护的发展历程

等级保护思想最早源于20世纪60年代的美军文件保密制度, 其中第一个比较成熟并且具有重大影响的是1985年发布的 《可信计 算机系统 评估准则 》 (TCSEC) , 该准则是当时美国国防部为适应军事计算机的保密需要提出的, 主要是针对没有外部连接的多用户系统提出。

受美国等级保护思想的影响, 欧盟和加拿大也分别制定自己的等级保护评估准则。英、法、德、荷等四国于1991年提出了包含保密性、完整性、可用性等概念的欧共体的《信息技术安全评估准则》 (ITSEC) 。ITSEC作为多国安全评估标准的综合产物, 适用于军队、政府和商业部门。1993年加拿大公布《可信计算机产品评估准则》 (CTCPEC) 3.0版本。CTCPEC作为TCSEC和ITSEC的结合, 将安全分为功能性要求和保证性要求两部分。功能性要求分为机密性、完整性、可用性、可控性等四个大类。

为解决原各自标准中出现的概念和技术上的差异, 1996年美国、欧盟、加拿大联合起来将各自评估准则合为一体, 形成通用评估准则 (Common Criteria) 。1999年出台的CC2.1版本被ISO采纳, 作为ISO15408发布。在CC中定义了评估信息技术产品和系统安全性所需要的基础准则, 是度量信息技术安全性的基准。

1.3 我国信息安全等级保护的发展历程

在国际信息安全等级保护发展的同时, 随着信息化建设的发展, 我国的等级保护工作也被提上日程。其发展主要经历了四个阶段。

1994-2003年是政策环境营造阶段。国务院于1994年颁布《中华人民共和国计算机信息系统安全保护条例》, 规定计算机信息系统实行安全等级保护。2003年, 中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号) 明确指出“实行信息安全等级保护”。此文件的出台标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。

2004-2006年是等保工作开展准备阶段。2004年至2006年期间, 公安部联合四部委开展了涉及65117家单位, 共115319个信息系统的等级保护基础调查和等级保护试点工作。通过摸底调查和试点, 探索了开展等级保护工作领导、组织、协调的模式和办法, 为全面开展等级保护工作奠定了坚实的基础。

2007-2010年是等保工作正式启动阶段。2007年6月, 四部门联合出台了《信息安全等级保护管理办法》。7月四部门联合颁布了《关于开展全国重要信息系统安全等级保护定级工作的通知》, 并于7月20日召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议, 标志着我国信息安全等级保护制度历经十多年的探索正式开始实施。

2010年至今是等保工作规模推进阶段。2010年4月, 公安部出台了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》, 提出等级保护工作的阶段性目标。2010年12月, 公安部和国务院国有资产监督管理委员会联合出台了《关于进一步推进中央企业信息安全等级保护工作的通知》, 要求中央企业贯彻执行等级保护工作。至此我国信息安全等级保护工作全面展开, 等保工作进入规模化推进阶段。

2 我国信息安全等级保护的现状

2.1 等级保护的组织架构初步形成

截止目前, 除了国家信息安全等级保护协调小组办公室外, 在大陆31个省、自治区、直辖市当中除天津、黑龙江、河南、重庆、陕西外, 有26个行政区成立了省级的信息安全等级保护协调小组办公室。22个省、自治区、直辖市建立了信息安全等级保护联络员制度, 共确定1598名联络员。获得信息安全等级保护测评机构推荐资质的测评机构共121家, 除新疆外各省均有获得资质的等级保护测评机构, 其中国家的测评机构有7家, 北京市有10家, 江苏省有14家, 浙江省、山东省各有7家, 广东省有6家, 其他省、自治区、直辖市有1-5家不等。25个行政区建立了等级保护专家组, 共确定441名专家。

2.2 信息安全等级保护的政策体系初步形成

为组织开展信息安全等级保护工作, 国家相关部委 (主要是公安部牵头组织, 会同国家保密局、国家密码管理局、原国务院信息办和发改委等部门) 相继出台了一系列文件, 对具体工作提供了指导意见和规范, 这些文件初步构成了信息安全等级保护政策体系。具体关系如图1。

《中华人民共和国计算机信息系统安全保护条例》和《国家信息化领导小组关于加强信息安全保障工作的意见》分别是开展信息安全等级保护工作的法律依据和政策依据。《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》是在法律依据和政策依据的基础上制定的政策文件, 其为等级保护工作的开展提供宏观指导。在上述基础上, 针对信息安全等级保护工作的定级、备案、安全建设整改、等级测评、监督检查的各工作环节制定具有操作性的指导文件。政策体系的形成, 为组织开展等级保护工作、建设整改工作和等级测评工作提供了指导, 明确了各环节的工作目标、工作要求和工作流程。

2.3 信息安全等级保护的标准体系基本完善

为推动信息安全等级保护工作, 全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准, 汇集成《信息安全等级保护标准汇编》, 为开展等级保护工作提供了标准指导。这些标准与等保各环节的工作关系如图2所示。

《计算机信息系统安全保护等级划分准则》及配套标准是《信息系统安全等级保护基本要求》的基础。《信息系统安全等级保护基本要求》是信息系统安全建设整改的依据, 信息系统安全建设整改应以落实《基本要求》为主要目标。《信息系统安全等级保护定级指南》是定级工作的指导性文件, 为信息系统定级工作提供了技术支持。《信息系统安全等级保护测评要求》等标准规范了等级测评活动, 为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准, 用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。

2.4 信息安全等级保护的工作取得一定进展

各重点行业根据等级保护的政策要求开展了本系统内的等级保护工作。为落实相关等级保护政策有关行业制定了自己的行业标准, 例如《广播电视相关信息系统安全等级保护等级指南》、《水利网络与信息安全体系建设基本技术要求》等。金融领域, 人民银行出台了《中国人民银行关于银行业金融机构信息系统安全等级保护等级的指导意见》, 并于2012年发布了金融行业的《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息系统信息安全等级保护测评指南》等三项行业标准, 在采用《信息系统信息安全等级保护基本要求》的590项基本要求的基础上, 补充细化基本要求项193项, 新增行业特色要求项269项, 为金融行业开展关键信息系统信息安全等级保护实施工作具奠定了坚实基础。

测评和安全建设工作有序开展。截止到2012年底, 全国已经开展了5万多个第二级信息系统和4万多个三级系统的等级测评, 并完成了相应的信息系统的等级保护安全建设整改。2012年底, 全国性银行业金融机构完成了880个二级以上信息系统的定级评审。2012年对反洗钱中心、征信中心、清算中心和金融中心的48个重要信息系统进行了测评, 共发现4284项安全问题, 整改完整3451向, 通过整改后其信息系统的整改测评率达到了90%以上。

3 我国信息安全等级保护存在的问题

3.1 信息系统运营使用单位对等级保护工作的重视程度还不够

近年来信息安全等级保护主管部门高度重视等级保护工作, 制定相关政策和标准, 举办等级测评师培训等, 但信息系统主管部门以及全社会对信息安全等级保护在信息安全保障体系中的基础性地位认识还不到位, 难以将等级保护制度和已有信息安全防护体系相衔接, 工作方式简单, 手段缺乏, 甚至出现以其他工作代替信息安全等级保护工作的消极倾向。同时, 在工作中, 一些企业还存在不愿投资, 不愿受监管的思想, 为节省人力、物力、财力将本该定为三级的重要信息系统定位二级, 这些都影响信息安全等级保护制度的全面落实。

3.2 等级保护属于合规性被动防护与目前信息安全主动防御需求还有差距

信息安全等级保护属于政策性驱动的合规性保护, 这种合规性保护只关注通用信息安全需求, 并且属于被动保护, 对于当前信息安全保护中的主动防御要求还有差距。例如, 中国铁路客户服务中心12306网站定义为等级保护四级, 2012年, 曾暴露出被黑客拖库, 以及因机房空调问题停止服务等问题, 而这两项内容都在等级保护规范中有明确的要求。所以, 认为通过等级保护的评测就不会出问题显然是一种误区。

另外, 2010年“震网”病毒事件破坏了伊朗核设施, 表明网络攻击由传统“软攻击”上升为直接攻击要害系统的“硬摧毁”。2013年曝出的棱镜门事件, 2014年曝出的美国国安局入侵华为服务器等, 这些事件表明当今信息安全的主要特征是要建立主动防御体系, 例如建立授权管理机制、行为控制机制以及信息的加密存储机制, 即使信息得到泄露也不会被黑客轻易获得。而等级保护是一种被动的、前置的保护手段, 与当前信息安全保护所要求的实时的、主动防御还有一定的差距。

3.3 现有防护手段难以满足新技术发展应用中的信息安全需求

信息安全等级保护政策标准的滞后, 难以满足新技术应用的信息安全需求。例如, 当前的物联网、云计算、移动互联网的应用呈现出新特点, 提出了新的安全需求, 在网络层面原本相对比较封闭的政府、金融、能源、制造系统开始越来越多的与互联网相连接;计算资源层面, 云计算的应用, 呈现出边界的消失、服务的分散、数据的迁移等特点, 使得业务应用和信息数据面临的安全风险愈发复杂化。用户终端层面, 移动互联、智能终端大行其道, BYOD的应用等, 都为企业信息安全管理提出新挑战。

大数据的应用, 很可能会出现将某些敏感业务数据放在相对开放的数据存储位置的情况。针对这些边界逐渐消失, 服务较为分散, 应用呈现虚拟化, 敏感业务数据放在相对开放的数据存储位置, 等级保护的“分区、分级、分域”保护的原则已无法有效应用。如何有效满足新技术应用下的信息安全需求, 也是等级保护下一步需要考虑的内容。

4 进一步做好信息安全等级保护的相关建议

4.1 扩大宣传力度, 提高全社会对等保的重视程度

等级保护是我国信息安全建设的基本制度, 需提高全社会对等级保护的重视程度, 尤其是要提高信息系统主管部门对信息安全等级保护工作重要性的认识。在工作中, 可以通过重要信息系统之间的项目依赖性分析, 关键部门影响性分析等方法, 来增强信息系统主管部门以及全社对信息系统信息安全重要性的认识。在各行业、企业内部, 应当通过加强宣传教育培训, 提高信息系统使用和运维人员的对信息安全等级保护的重视程度。在等级保护工作推进工作中, 对故意将信息系统安全级别定低现象进行严查。

4.2 引入可信计算等主动防御理念, 充分发挥等保在信息安全建设中的作用

要充分发挥等保在国家信息安全建设中的作用, 需要从技术和管理两个方面进行安全建设, 做到可信、可控、可管;并且应当具有抵御来自敌对组织高强度连续攻击 (APT) 的能力, 以满足当前信息安全形势的需求。而可信计算技术可以实现计算处理结果与预期的相一致, 中间过程可控制管理、可度量验证。因此, 可在信息安全等级保护基本要求等技术标准中引入可信计算的理念, 将传统的三重防护上升为可信计算环境、可信边界、可信通信网络组成的可信环境下的三重防护, 从而实现主体的可信计算安全, 进一步实现等级保护主动防御功能, 充分发挥等级保护在信息安全建设中的作用。

4.3 完善等保技术标准体系, 推进等级保护在云计算中的应用

针对当前的物联网、工业控制系统、移动互联网, 云计算应用中带来的数据高度集中、高虚拟化等的特点, 信息安全等级保护应当在等级保护建设时必须加入对终端安全更高的基本需求。例如, 在业务终端与业务服务器之间进行路由控制建立安全的访问路径;通过设定终端接入方式、网络地址范围等条件限制终端登录等。同时在虚拟环境下, 要求安全设备能识别网络虚拟标签, 区分每台虚拟机主机。针对云计算中边界模糊化的特点, 可以通过软件安全实现对动态边界的监测, 保证其安全。具体推进中, 可以通过完善等级保护相关整改建设指南, 等级测评工作指南以及相关技术标准等, 以指导具体工作的开展, 从而以推进等级保护在云计算、物联网、工控领域的等中的应用。

4.4 借鉴经验, 完善等级保护制度设计和体系建设

目前《信息安全等级保护定级指南》确定的对象是信息系统, 《信息安全等级保护基本要求》也是针对自身具备运行的物理环境、网络环境、系统环境和应用以及相关人员和管理体系等完整、标准的意义上的信息系统而提出的, 而对于重要信息系统运行所依赖的网络系统、IDC (互联网数据中心) 、灾备中心等这样的对象, 无论是定级方法、保护要求还是测评结果判定方面等都还存在不合适的地方。

对此可以在定级过程中, 参考美国经验, 引入系统法 (特别是相互依赖性分析) 和象征法, 加深对定级对象的认识, 通过仿真建模等分析技术进行定级合理性的验证。在等级测评过程可以引入风险分析、威胁评价、系统分析等过程加强测评结果的可量化性。同时研究国外相关信息安全建设中的法律体系、标准体系、组织保障体系等, 并在此基础上进行自主创新, 以改进我们等级保护实践中发展的制度设计问题, 提高政策、理论和技术水平。

5 结束语

当前信息技术发展迅速, 信息安全面临的国际形势日益严峻, 信息安全等级保护作为贯穿信息系统整个生命周期的信息安全保障措施, 应当不断完善其法律体系、技术标准体系以及实施保障机制等, 以适应满足新形势下的信息安全需求。

参考文献

[1]《信息安全等级保护管理办法》 (公通字[2007]43号) .公安部, 2007.

[2]《计算机信息系统安全保护等级划分准则》 (GB17859) .

[3]DoD, Trusted Computer System Evaluation Criteria (Orange Book) , 26 December 1985.

[4]Information Technology Security Evaluation Criteria;1994.

[5]The Canadian Trusted Computer Product Evaluation Criteria;Version 3;1993.

[6]Common Criteria Project Sponsoring Organisations.Common Criteria for Information Security Evaluation Part 1-3, Version2.1.Augest1999.

[7]ISO/IEC 15408-1:2005 Information technology——Security techniques——Evaluation criteria for IT security.

[8]国务院.《中华人民共和国计算机信息系统安全保护条例》.1994.

[9]公安部、国家保密局、国家密码管理委员会和国家信息办.《信息安全等级保护的实施意见》 (公信安[2007]861号) .2007.

3.信息安全等级保护指标 篇三

1994年，国务院颁布的《信息安全保护条例》首次提出对计算机信息系统实行等级保护，并授权公安部会同有关部门制定等级划分标准和管理办法。2003年，中共中央办公厅、国务院办公厅转发了《国务院信息化领导小组关于加强信息安全保障的意见》，再次强调对信息安全进行等级保护。 2004年公安部联合国家保密局、密码局、保密委员会和国务院信息化领导办公室发布《关于信息安全等级保护工作的實施意见》，对信息安全等级保护的基本制度框架进行了规划。2006年上述四部门发布《信息安全等级保护管理办法（试行）》，开始具体构建信息安全等级保护制度，该办法在试行一年后于2007年6月正式发布实施。以上法律文件从信息安全等级保护的提出到其具体制度的制定，构筑了我国信息安全等级保护的基本法律框架。

(一)等级的划分

国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度；信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素划分为五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统运营、使用单位根据等级划分，按照相关技术标准对信息系统进行保护，国家有关信息安全监管部门对三级以上信息系统的等级保护工作进行监督管理。

(二) 等级保护工作的职责分工

在开展等级保护工作中，涉及到的部门分工各不相同：

公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。而信息系统主管部门应当组织并实施所管辖的信息系统的信息安全等级保护工作，督促、检查、指导其主管的信息系统运营使用单位依照国家信息安全等级保护管理规范和技术标准，落实安全责任。

(三)等级保护的实施

等级保护的实施流程包括六项内容：

一是自主定级与审批。信息系统运营使用单位按照等级保护管理办法和《信息系统安全等级保护定级指南》，确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审核批准。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。

二是评审。在信息系统确定安全保护等级过程中，可以进行必要的业务和技术评估，组织专家进行咨询评审。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。

三是系统建设。信息系统的安全保护等级确定后，运营使用单位应当按照国家信息安全等级保护管理规范和划分准则、基本要求、操作系统、数据库、网络、服务器、终端等技术要求，使用符合本系统安全保护等级要求的信息安全产品，同步建设符合本系统安全保护等级要求的信息安全设施。运营使用单位应当按照安全管理要求、安全工程管理要求等管理规范，建立安全组织，制定并落实符合本系统安全保护等级要求的安全管理制度。

四是等级测评。信息系统建设完成后，运营使用单位应当选择符合本系统安全保护等级要求的检测机构，依据《信息系统安全等级保护测评要求》等技术标准对信息系统安全等级状况开展技术测评。第三级以上信息系统运营使用单位应当按照等级保护管理办法要求选择测评机构开展等级测评。

五是备案。第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

六是监督检查。公安机关依据信息安全等级保护管理规范，定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关信息安全保护的情况资料。

(四)法律责任

第三级以上信息系统运营、使用单位违反《信息安全等级保护管理办法》，有未按规定备案、审批，未按规定落实安全管理制度、措施，或者未按规定开展系统安全状况检查、系统安全技术测评，以及接到整改通知后拒不整改等行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果。

信息安全监管部门及其工作人员在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的，依法给予行政处分；构成犯罪的，依法追究刑事责任。

我国信息安全等级保护立法存在的问题

尽管我国出台了一系列信息安全等级保护的相关政策和法规，构筑了我国信息安全等级保护的基本法律框架，但是，我国的信息安全等级保护立法总体来说还处于起步阶段，存在着很多问题:

(一)立法层次偏低

实际上，我国整个信息安全立法的层级都偏低，信息安全立法主要以行政法规形式存在，而具体到等级保护方面的立法更是主要以部门规章的形式存在,还没有一部高位阶、统领性的信息安全基本法律，因而难以形成科学、合理、专业、有序的法律体系。这与信息安全在国家安全中的战略地位，与等级保护在信息安全中的基本地位是不相符合的。由于信息安全等级保护制度立法层次低，主要以部门规章出现，囿于部门职权和利益，其制度设计往往存在天然的局限性，缺乏全局的统筹和制度设计。

而且，我国在信息安全等级保护立法乃至整个信息安全立法中都存在重政策轻法律的问题，习惯于采用规范性文件或者领导批示的方式，布置任务或者贯彻落实文件精神，忽视了法律在预防和处理信息安全问题上应当发挥的作用和效能。由于规范性文件、政策性文件因缺乏支配性、强制执行力，往往不能得到有效执行，因而不能转化为现实的有力地调整和指引工具。

(二)未能融入风险管理的理念

进入网络时代以后，安全威胁不断增加，所需的安全成本和资源也成倍增长,在当今复杂的、分布的、异构的信息系统环境下，无论采取多么完善的信息安全手段都难以达到绝对的安全，风险总会存在，因而很难采取风险消除的方法实现安全性，适宜的方法是将基于风险的安全理念引入到保障信息系统信息安全的过程中，对整个信息系统进行风险管理。在信息安全等级保护中乃至整个信息安全保障工作中融入风险管理的理念已经是信息安全保障工作的主流范式。如美国标准与技术研究院在《联邦信息安全管理法》的要求下制定的美国信息安全认证认可的标准框架即充分体现了风险管理的理念，这个框架贯彻了《联邦信息安全管理法》的要求，明确提出落实认证认可工作，要以风险管理的思想贯彻于其信息系统的生存周期。

但是令人遗憾的是，我国现行的信息安全等级保护法律框架并没有将风险管理的理念融入其中,而是将信息安全等级保护与作为风险管理代表的信息安全风险评估制度并行分别试点推进。目前，信息安全风险评估还只停留在政策推行阶段。这就造成了等级保护与风险管理或者更具体一点与风险评估的割裂,一方面使信息安全保障工作重复建设,更重要的另一方面是这种割裂导致了信息安全保障工作的不科学,致信息安全于危险的境地。

(三)立法內容不全面

虽然现行的行政法规和部门规章已经为信息安全等级保护构筑了一个基本的法律框架，但是，其立法内容还是很不全面的，还有许多重要的内容有待进一步立法明确，比如信息安全等级测评制度。

信息安全等级测评在整个信息安全等级保护中占有重要地位，它不仅是确定系统是否符合预定安全要求的重要依据，还是发现并弥补信息安全漏洞的过程。那么等级测评机构如何组成？如何管理？测评结果的效力如何？测评机构应当承当什么责任？现行法律框架没有给出明确的规定。

(四)法律责任体系不完善

现行法律框架并没有为推进信息安全等级保护提供强有力的法律责任保障，对于违法行为除了警告或者建议其主管上级处理外别无他法，这样的法律责任体系显然很不完善。第一，从法律责任性质上来讲，缺乏民事责任的规定。信息系统运营、使用人不履行等级保护之法定义务，会将信息系统置于危险状态，信息系统一旦受到破坏，会损害与之相关的他人权益。因此，信息系统运营、使用人承担着对该系统相关人的安全保障义务，其不履行或者不完全履行等级保护义务给他人造成损害的，应当承担民事赔偿责任。第二，行政责任单一、软弱，不能起到对于违法行为的惩治和对可能违法的震慑，不能起到预防违法的作用。根据《信息安全等级保护管理办法》，对于违法行为只能责令其限期改正，逾期不改正的，给予警告，并其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果。可以说，几乎没有什么强制性的处罚措施，在实际执行中显然要大打折扣。

我国信息安全等级保护制度的完善

完善我国的信息安全等级保护制度，既要立足于信息安全保障的基本规律，充分考虑我国信息网络发展的特殊性，又要吸收和借鉴各国的立法经验，笔者认为，我国的信息安全等级保护制度可以从以下几个方面进行完善：

(一)加强以等级保护为主要内容之一的信息安全基本法立法工作

制定一部高效力层次的信息安全基本法，有助于科学、合理、专业、有序的信息安全法体系的构建，也有助于推动信息化战略的实施。在信息安全基本法之下，可以克服现行等级保护以部门规章为主体的局限性，可以在更广范围内更科学地分配各部门职责，比如国家标准部门对于信息安全等级保护标准的制定和发展等。制定等级保护制度的完善。同时，高位阶的信息安全基本法可以创设更多法律责任制度，更有利于形成完善的法律责任体系，确保信息安全等级保护制度的强制力和执行力。

(二)引入风险评估机制

信息安全等级保护必须树立风险管理的思想，而风险评估是风险管理的基础，因此，笔者认为，三级以上信息系统必须定期进行信息安全风险评估。风险评估贯穿于等级保护周期的系统定级、安全实施和安全运维三个阶段：

1.系统定级。由于信息系统具有自身的行业和业务特点，且所受到的安全威胁均有所不同，因此，可以依据信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、以及系统自身脆弱性的严重程度进行识别和关联分析，判断信息系统应采取什么强度的安全措施，然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内。即将风险评估的结果作为确定信息系统安全措施的保护级别的一个参考依据。

2.安全实施。安全实施是根据信息安全等级保护国家标准的要求，从管理与技术两个方面选择不同强度的安全措施，来确保建设的安全措施满足相应的等级要求。风险评估在安全实施阶段就可以直接发挥作用，那就是对现有系统进行评估和加固，然后再进行安全设备部署等。在安全实施过程中也会发生事件并可能带来长期的安全隐患，如安全集成过程中设置的超级用户和口令没有完全移交给用户、防火墙部署后长时间保持透明策略等都会带来严重的问题，风险评估能够及早发现并解决这些问题。

3.安全运维。安全运维是指按照系统等级进行安全实施后开展运行维护的安全工作。安全运维包括两方面：一是维护现有安全措施等级的有效性。可依据国家有关等级划分准则对信息系统所采取的安全措施是否满足要求进行检验，以保证所采取的安全措施的强度持续有效；二是根据客观情况的变化以及系统内部建设的实际需要，等级要进行定期调整，以防止过度保护或保护不足。再定级的过程可参见系统定级部分的内容。

(三)建立健全等级测评法律机制

可以考虑从以下几个方面对信息安全等级测评机制进行完善:

1.等级测评的启动机制。等级测评可由信息系统运营、使用、主管和监督单位启动。

2.等级测评机构和测评人准入制度。等级测评是一项专业性和专职性很轻的工作，并且需要测评机构和测评人具有很高的职业操守，因此，必须设定一定的门槛，实行准入制度。测评人应当进行专业资格考试和考核，以确定其具备相应的专业素质和职业操守，有故意泄露工作秘密或者有犯罪记录的人员不能取得测评人资格。测评机构必须拥有专业化的测评团队、良好的测评手段，具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度，具有一定规模才能取得主体资格。

3.等级测评机构和测评人法律责任制度。被测评单位应该和测评机构就测评工作签订测评合同,测评机构应当对自身的测评行为负责，对违反法律规定的行为不仅要对被测评单位承担合同责任，而且要承担行政责任，接受行政管理机关对于其违法行为的处罚。对测评人的法律责任主要是行政责任和刑事责任。行政责任是指测评人违反法律法规，发生舞弊或过失行为并给有关方面造成经济等损失后，由政府部门或自律性组织对其追究的具有行政性质的责任，比如剥夺测评人资格等。一般来说，由于测评人在等级测评中是履行职务的行为，所以即使测评人由于过失或欺诈行为而使被测评单位受损，也应当由测评机构对外承担民事责任。

(四)完善等级保护法律责任体系

笔者认为，可以为信息系统的使用、运营单位创设一定的民事责任从而迫使其积极履行信息安全等级保护义务。可以规定，若信息系统的使用、运营单位对信息系统相关人依约或者依法承担有安全保障义务，则使用、运营单位不履行等级保护义务即为其未履行对相关人安全保障义务的明证，应当为相关人因此的损失承担民事责任。

另外，在行政责任方面，可以对违反信息安全等级保护相关法律规定的信息系统运营、使用单位给予罚款等行政处罚，促使其履行义务。

4.国家信息安全等级保护制度介绍 篇四

四、信息安全等级保护等级划分和监管方式

（一）信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

（二）信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

五、信息安全等级保护制度的原则

信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安 CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台

（五）依法履行备案手续。信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门应当在系统投入运行后（新建系统）或确定等级后（已运营的系统）30日内到公安机关办理备案手续；鼓励第一级和第五级的信息系统到公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨地区或全省统一联网运行的信息系统由省级主管部门组织向省公安厅备案。跨地区、跨省或者全省、全国统一联网运行的信息系统在各地运行、应用的分支系统，向地级以上市公安局备案。涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定，到保密工作部门备案。

（六）加强安全监督检查。公安机关应当会同有关部门加强对信息系统的监督检查，对未依法履行定级、备案手续的单位，督促其限期改正。发现定级不准的，应当通知运营使用单位或其主管部门重新审核确定。对安全措施不符合要求的，要指导其落实整改措施。各级保密工作部门加强对涉密信息系统安全等级保护工作的指导、监督和检查。国家密码管理部门加强对信息安全等级保护密码管理。

（七）建设技术支撑体系。省公安厅会同有关部门根据《管理办法》建立健全管理制度，向社会推荐一批符合要求的安全专用产品、安全测评机构。组织开展继续教育工作，加强对安全专业技术人员的培训，提高信息系统运营使用单位和主管部门以及安全专用产品研发机构、安全服务机构安全专业技术人员的技术和法律知识水平。

5.信息安全等级保护指标 篇五

一、加强领导

2013年，根据扬州市信息安全等级保护办公室的的通知，集团高度重视非涉密重要信息系统的信息安全保护工作。集团安全等级保护工作由集团信息安全领导小组负责，具体工作由网络技术部和扬州网等部门承担，负责集团信息系统等级保护工作，并开展对集团所属单位的监督指导。根据安排，集团自2011年以来就开展了信息系统安全等级保护基础调查工作等相关工作，全面开展信息系统安全等级保护，同时通过组织培训等方式，不断加强技术人员的培养，强化信息安全保护能力。

二、完善制度

为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》（扬办发[2012]57号）文件精神，对集团信息系统安全等级保护工作做出了具体的要求，根据等级保护要求，开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。

三、信息等级安全保护基本情况

目前，集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化，积极加强信息系统安全环境建设，消除安全管理中的薄弱环节。在物理安全方面，机房安装门禁系统，严格管理机房人员进出，消防设施完善，所有设备通过UPS供电。关键网络设备和服务器做到有主有备，确保在发生物理故障时可以及时更换。

在网络安全方面，我们严格按照内、外网物理隔离的标准建设网络系统，并采用虚拟局域网技术，通过交换机端口的IP绑定，防止非法网络接入；在网络出口以及不同网络互联边界全面部署硬件防火墙，部署日志服务器，记录并留存使用互联网和内部网络地址对应关系；

在集团互联网出口部署网络行为管理系统，规范和记录上网行为，合理控制不同应用的网络流量，实现网络带宽动态分配，保障了信息系统正常应用的网络环境。

在主机安全方面，终端计算机采用双硬盘及物理隔离互联网及内网应用，通过部署趋势网络防毒墙网络版，安装联软安全管理软件保障客户机系统安全，并且做到漏洞补丁及时更新，重要的应用系统安装了计算机监控与审计系统，实现对主机的USB等外设接口的控制管理，采用KEY用户名密码等方式控制用户登陆行为。

对于应用安全，严格做好系统安全测试，配备了专门的漏洞 扫描仪定期扫描应用系统漏洞，并按测试结果做好安全修复和加固工

作；在网站区，部属入侵防御系统，监测、记录安全事件，及时阻断入侵行为，自部署起已多次成功检测出SQL注入，FTP匿名登录，网站目录遍历，探测主机地址漏洞等。

在数据安全方面，数据库通过备份系统定期备份，关键数据库服务器采用双机热备份，保证数据库服务器的可用性和高效性，在出现故障时可以快速恢复；数据库的访问按不同用户身份进行严格的权限控制。

四、建议

信息系统安全等级保护工作责任重大，技术性强，工作量巨大，集团在该项工作上虽然取得一些进展，但是与市里要求还有相当的差距，在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。

6.信息安全等级保护指标 篇六

（一）开展信息系统安全等级测评，为信息系统安全提供保障。选择由省级（含）以上信息安全等级保护工作协调小组办公室审核并备案的测评机构，对第三级（含）以上信息系统开展等级测评工作。等级测评机构依据《信息系统安全等级保护测评要求》等标准对信息系统进行测评，对照相应等级安全保护要求进行差距分析，排查系统安全漏洞和隐患并分析其风险，提出改进建议，按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告。经测评未达到安全保护要求的，要根据测评报告中的改进建议，制定整改方案并进一步进行整改。各部门要及时向受理备案的公安机关提交等级测评报告。对于重要部门的第二级信息系统，可以参照上述要求开展等级测评工作。

（二）开展信息安全等级保护安全管理制度建设，提高信息系统安全管理水平。按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，建立健全并落实符合相应等级要求的安全管理制度：一是信息安全责任制，明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任；二是人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容；三是系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容；四是系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。建立并落实监督检查机制，定期对各项制度的落实情况进行自查和监督检查。

（三）开展信息安全等级保护安全技术措施建设，提高信息系统安全防护能力。按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求，结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设整改方案，开展信息安全等级保护安全技术措施建设，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施，建立并完善信息系统综合防护体系，提高信息系统的安全防护能力和水平。

7.信息安全等级保护工作困境的对策 篇七

随着计算机信息网络在社会工作与生活各个领域中的不断应用,信息系统安全等级保护制度成为发达国家保护关键信息基础设施、保障信息系统安全的通行做法。我国在不断总结与分析保护信息系统安全工作基础上,最终也提出了开展信息系统安全等级保护的制度,对信息系统分等级进行保护,旨在保护重要的信息系统。开展信息系统安全等级保护工作不仅是保障重要信息系统安全的重大措施,也是一项事关国家安全、社会稳定、国家利益的重要任务。

虽然我国对于信息系统安全等级保护工作的重视程度较以往有了提高,但是在实际操作中仍然存在很多困境。作为信息领域中一个新的课题,我国开展此项工作仍然处于发展阶段,实践工作中有针对性研究的比较少。因此,有必要对信息安全等级保护工作存在的困境提出适宜的解决对策,以求信息系统等级保护工作能够顺利、积极的开展。同时,本研究有着非常宽广的探索空间和拓展领域,

1 信息系统安全等级保护概念与等级划分

信息系统安全等级保护,是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

2 信息系统安全等级保护工作中待解决困境

信息系统安全等级保护制度从2007年6月在全国范围内的重要信息系统普遍开展起来,取得了卓有成效的成绩,对保护重要信息系统起到了保障作用。但是在信息系统安全等级保护工作在开展过程中仍然存在一些困境,具体如下:

(1)全国开展信息系统安全等级保护工作的不均衡性;

(2)信息系统安全等级保护实际工作中存在定级不准确性;

(3)开展信息系统安全等级保护工作安全意识有待提高。

3 信息系统安全等级保护工作困境的对策

当前在开展信息系统安全等级保护工作过程中暴露出的一系列困境,必须采用相应措施予以解决,否则将不利于信息系统等级保护工作的继续发展。

3.1 广泛并深入开展全国范围的信息系统安全等级保护工作

广泛并深入开展全国范围的信息系统安全保护等级工作,是开展信息系统等级保护工作的一项重要措施。重要的信息系统分布在全国各地,只有在全国范围内普遍并且深入地开展了信息系统等级保护工作,重要的信息系统才能够得到有效保护,才能够保障社会秩序与社会生活的平稳发展。

公安信息安全主管部门应该组织协调信息系统安全等级保护的全面与均衡发展。信息系统等级保护工作开展好的地方应该加大宣传与交流,总结经验、工作方法和思路,提供给其他地方作为借鉴。对于信息系统等级保护工作开展欠全面的地方,公安信息主管部门应该给予必要的指导与支持,督促其尽快全面地开展信息系统等级保护工作。

3.2 提高信息系统安全保护意识

如果要达到有效地保护重要信息系统的目的,就必须要提高各个环节的安全保护意识。意识未提高到一定高度,安全保护的措施就不会有效跟进,更谈不上有效保护重要信息系统。因此,公安机关不仅要提高自身的安全保护意识,更要做好宣传与教育工作,提高信息系统运营使用单位的安全等级保护意识,督促其完成信息系统安全等级保护工作。

3.3 明确各方的责任义务、通力合作

《信息安全等级保护管理办法》中明确了国家、信息安全监管部门、信息系统主管部门、信息系统运营使用单位的责任义务。这些部门在工作中应该通力合作、各尽其责,共同完成信息系统等级保护工作。

其中,公安机关的责任义务组织制定等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统实行分等级安全保护,对等级保护工作的实施进行监督、管理。同时,还负责信息安全等级保护工作的监督、检查、指导。

3.4 严格按照定级流程定级

在确定信息系统安全等级时,应该按照定级流程进行定级。流程如下:

1摸底调查→2确定定级对象→3确定信息系统等级→4信息系统等级评审→5定级报告→6备案与备案审核→7测评→8整改。

3.5 严格执行分等级监管

《信息安全等级保护管理办法》规定,信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。如表1所示。

4 结语

有效的保护重要的信息系统,深入开展全国范围内的信息系统安全保护等级工作是一项重要措施。及时发现开展信息系统等级保护工作中存在的困境,并及时有效地解决可以促进保护重要信息系统。提高信息系统安全保护意识是基础环节,各部门通力合作是工作保障,准确定级是首要任务,严格执行分等级监管是充分体现。希望本文能够为今后更加深入地开展信息系统安全等级保护工作提供参考。

摘要：信息安全等保工作时我国保护信息安全的一项基本工作,为保护信息系统安全作出了很大贡献。但是,在实际开展工作时,仍然遇到了许多现实的困境急需解决,阻碍了信息安全等级保护工作的发展。本文从信息安全等级保护工作的基本内容出发,并介绍了信息安全等级保护工作的困境,最后有针对性地提出了解决这些困境的对策,希望能为公安机关开展信息系统安全等级保护实践工作提供参考。

8.奏响安全等级保护主旋律 篇八

6月22日，《信息安全等级保护管理办法》（公通字[2007]43号）由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委制订完成并审批通过，办法的颁布标志着2006年《信息安全等级保护管理办法》（公通字[2006]7号）的废止。自此，全国范围的等级保护工作便轰轰烈烈地展开了。到12月2日，等级保护工作的开展已4个月有余。如何有效地总结各部委、行业等级保护工作的进展情况，并对下一步工作的开展进行合理展望，就成为本次IT两会“等级保护推广与实施”论坛的关注点。

本次论坛上，公安部公共信息网络安全监察局七处处长郭启全、信息化技术标准委员会副主任委员崔书昆、东软网络安全营销中心解决方案部部长曹鹏、e-Cop公司区域副总裁兼董事总经理徐为群等与会嘉宾，分别从主管部门的政策引导、专家的认识体会以及厂商的产业推动等方面，进行了等级保护相关的主题演讲。

等级保护意义重大

随着国民经济和社会发展信息化进程的全面加快、信息化程度的不断提高，关系国计民生的基础信息网络和重要信息系统已经成为国家的命脉所在。然而在当前，我国基础信息网络和重要信息系统却仍然面临着外部攻击、威胁、自身脆弱性、薄弱环节等诸多问题。2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）出台后，各单位、部门都在信息安全保障工作方面开展了多项工作并取得了一定成效。然而，在信息安全保障工作的具体落实过程中，却仍然存在着“工作重点不突出、找不出重点、没有标准”等问题，公安部公共信息网络安全监察局七处处长郭启全在本次论坛上指出，“总的来说，信息安全保障工作没有一个总体的牵头的带动工作，落实起来还显得比较弱，这样的形势促使国家大力推进等级保护制度。”

在基础信息网络和重要信息系统的安全严重关系到国家安全、社会稳定以及人民群众切身利益的今天，信息安全问题已然成为事关全局的战略性问题。信息化技术标准委员会副主任委员崔书昆认为，“在这种情势下，将信息安全等级保护确定为提高国家信息安全保障能力、维护国家安全、社会稳定和公共利益的一项基本制度，是非常必要的。”

其实，信息安全等级保护是欧、美等发达国家实现信息安全保障工作的通行做法。譬如，美国在1985年发布的《可信计算机系统评估准则》（TCSEC）将计算机系统安全等级分为四等七级；欧洲在1990年发布的《信息技术安全评估准则》（ITSEC）将信息系统安全功能分为十级，评估级分为七级；1996年，欧美六国七方制订的《信息技术安全共同评估准则》（后来成为ISO/IEC 15408（1999）国际标准）将评估保障级分为七级；2002年美国制订的《联邦信息安全管理法案》（FISMA）规定，每一联邦机构必须按照FIPS199等标准，依据信息系统及其所载信息的重要性和影响，分别划为高、中、低三个基本安全保护级别。由此可见，实施等级保护，将信息系统按其所载信息的重要程度划分级别、采取防护措施已经形成国际潮流，而我国的等级保护工作的开展是顺应国际潮流的举措。同时，对国外有益经验的借鉴也可以加速我国信息安全保障体系的建设。

6月22日，《信息安全等级保护管理办法》（公通字[2007]43号）由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委制订完成并审批通过。7月，四部委又联合下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）。43号文与861号文的出台，不仅为等级保护工作的开展提供了规范保障，也从政策文件角度标志着这项工作的成熟。两个里程碑式的文件正式出台并下发后，7月20日，由公安部牵头的“全国重要信息系统安全等级保护定级工作电视电话会议”在北京召开，标志着信息安全等级保护工作在全国范围内正式开展与实施。同时，公安部、国家保密局、国家密码管理局联合成立的“国家信息安全等级保护协调小组”的建立，也为等级保护工作的开展提供了有力的组织保障。

“通过实施等级保护，充分体现‘适度安全、保护重点’的目的，可以把国家的重要网络、重要系统挑出来，把国家有限的精力、财力投入到信息保护当中去，提高国家基础网络和重要信息系统的安全保护水平，同时提高信息安全保障工作的整体水平。”郭启全处长表示。在本次论坛上，郭启全特别强调了等级保护的两个属性——“惟一性”与“强制性”。“等级保护的工作是国家信息保障的基本制度，具有惟一性，不具有选择性。信息安全等级保护是国家意志的体现，国家信息安全保障工作只有等级保护制度是强制实施的，也只有等级保护工作是由四个部委共同组织实施、公安机关牵头实施的。”

定级工作火热开展

7月20日，“全国重要信息系统安全等级保护定级工作电视电话会议”召开后，酝酿多年的信息安全等级保护工作便在全国正式展开了。在本次论坛上，崔书昆用“定级热潮”来形容轰轰烈烈的等级保护定级工作，“其规模之大，涉及面之广，各级领导之重视，在我国信息安全工作史上甚是少见。”

据他介绍，在工作开展过程中，由四部委代表国家执行三个方面的工作：第一，组织制订国家等级保护的政策标准规范；第二，组织各单位实施、开展等级保护工作；第三，对等级保护工作进行监督检查指导。谈到刚刚过去的2007下半年各部委开展的自主定级工作时，郭启全表示，“所谓自主定级，是由于各单位了解自己信息系统的重要部位，因此需要进行自主定级。而需要强调的是，自主定级不是绝对的。”据悉，单位在自主定级后，还需要经过领导部门的审批、专家评审以及公安机关备案的“三关”审核。各单位对信息系统自主定级，并向公安机关以及保密部门备案，是今年国家等级保护的主要工作。

在4个多月等级保护定级工作的开展过程中，崔书昆参与了多个部门、单位的定级讨论工作。谈到定级工作的体会，崔书昆认为，“吃透文件、把握重点、掌握相关政策并严格依据、把握定级工作的流程”是做好定级的关键。他认为，在定级过程中，各单位还应“结合本行业的特点”。他表示，“实际上，在本次定级当中，各个部委、各个部门都根据自己的工作特点、系统状况,做了具体的系统与等级划分。这次定级工作涉及的面非常广，各个单位的工作特点和信息系统的情况也不一样。如果千篇一律地定级，那么定出来的等级会有很多不适合。”

“另外，进行由上而下的指导也很重要，要坚持评审、审批与备案制度。”崔书昆在论坛上指出，各单位应初步确定信息系统安全保护等级，并聘请专家进行评审；对拟确定为第四级以上信息系统的，还要请国家信息安全保护等级专家评审委员会评审。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，可以进行相应的协调。

崔书昆还强调，在等级保护工作中，除了要贯彻有关的法律法规外，还要全面贯彻信息安全等级保护有关的信息安全技术标准。据他介绍，近几年我国发布的一系列信息安全标准，大体上可以分为五组：实施指南、定级指南、保护要求（包括系统和产品）、管理要求（包括工程管理）和测评要求。“在完成定级之后的各工作阶段，应特别强调贯彻执行已有标准。在信息安全等级保护工作开展的全过程，需要认真学习和应用这些标准，并在应用中提出修订建议，以便不断完善这些标准，使我国信息安全等级保护工作做得更好。”多年来，我国还制订了一系列与涉密系统分级保护工作相关的技术标准与管理标准，这些也应当在相关工作中认真贯彻。

到目前为止，纳入此次重要信息系统定级备案范围的全国各个重点行业、单位和部门，绝大多数都已完成了信息系统定级备案工作。其中50多个部（委、局）以及各省（区、市）专门成立了由主要领导挂帅的等级保护领导（协调）机构，形成了等级保护工作的组织领导机制。铁道部、人民银行、海关总署等40多个部（委、局）召开了全系统会议，部署定级工作，开展集中培训。此外，公安部上门督促指导了17个部委定级工作，并配合20多个部委开展了定级工作培训。“根据我们现在得到的备案数据以及统计结果，绝大多数的部委、省市都已经完成工作，取得了非常大的成效。目前，重要领域、命脉行业的定级工作都完成得非常好。”郭启全用“收获季节”来形容当前的定级工作。

等级保护影响深远

在政策层面和实施层面对等级保护工作进行深入分析后我们看到，实施等级保护或者说通过实施等级保护最终将更好地保障信息安全，其实更多的是在谈论如何划分级别、如何实施管理。在日新月异的安全技术更替中，如何将技术与管理很好地融合，成为值得探讨的话题。技术的进步使得众多安全产品，譬如FW、IDS、防病毒、IPS、CA、PKI等产品百花齐放，令人目不暇接。然而在很多时候，管理制度却是原地踏步。东软网络安全营销中心解决方案部部长曹鹏认为，“没有优秀的管理策略制度支撑的安全产品，只是安全矩阵中的散兵游勇。”作为安全产业的推动者，东软详细阐述了应该将人、技术、管理三者进行融合，并且借此将等级保护工作进行到底。曹鹏认为，“管理是从严到疏，再到自觉；从面面俱到，到点点细致；从技术升华，到回归技术本质。实质上，管理应该走人性化与中国化的创新融合之路。”

在本次论坛上，来自新加坡e-Cop公司的区域副总裁兼董事总经理徐为群，与参会嘉宾分享了新加坡等东南亚国家类似我国等级保护制度的信息安全相关制度，并就e-Cop公司包括安全设备支持维护、安全设备管理、安全咨询服务、安全设备监控、日志分析、事件处理/响应 （7×24安全监控服务）等的可管理安全服务（MSS，Managed Security Service），进行了翔实细致的介绍。

今年是等级保护工作全面正式开展的第一年，而作为一项基本制度，等级保护工作无疑将在我国未来信息安全保障工作中占据格外重要的地位。在推进等级保护工作贯彻落实的过程中，如何更准确完整地理解、把握政策要求，如何在每个阶段性工作进展中对经验教训进行及时的回顾和总结，如何有效地借鉴国外等级保护工作的方式方法，如何将日新月异的技术真正融合入安全管理，并最终更好地贯彻于国家制度……诸多问题，都需要整个产业界进行不断地探索、认识和总结。