十几年来,公安部及省、市公安机关按照法律、政策规定,按照党中央、国务院的部署,会同有关部门,在企业、专家的大力支持下,组织开展了基础调查、信息系统定级备案、等级测评、安全建设整改、安全检查等工作,全面实施国家网络安全等级保护制度。
基础调查
2005年年底,公安部会同有关部门联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》,于2006年上半年在全国范围内开展了信息系统安全等级保护基础调查,调查了6万多个单位,11万个信息系统。通过基础调查,摸清了全国信息系统特别是重要信息系统的基本情况,为制定网络安全等级保护政策、部署全国开展等级保护工作奠定了坚实的基础。
等级保护试点工作
为探索方法、验证思路,2006年6月,公安部、国家保密局、国家密码管理局、原国务院信息办四部门下发了《关于开展信息安全等级保护试点工作的通知》,在13个省、区、市和3个部委开展了信息安全等级保护试点工作。通过试点,完善了开展等级保护工作的模式和思路,检验和完善了开展等级保护工作的方法、思路、规范标准,探索了开展等级保护工作领导、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。
组织开展信息系统定级备案工作
2007年7月,公安部等四部门联合发布了《关于开展全国重要信息系统安全等级保护定级工作的通知》,在北京联合召开了全国重要信息系统安全等级保护定级工作电视电话会议,国家网络安全职能部门、基础信息网络和重要信息系统主管部门、各省(区、市)公安厅(局)、保密局、国家密码管理局、信息化领导小组办公室和有关行业、部门的负责人出席了会议,部署在全国范围内开展重要信息系统安全等级保护定级工作,标志着国家信息安全等级保护制度在全国开始全面实施。
全国重要信息系统等级保护定级工作完成后,公安部向刘云山、曾培炎做了《关于全国重要信息系统安全等级保护定级工作情况的报告》(公部[2008]11号)的专报,得到了中央领导的批示。
组织开展等级测评体系建设和测评工作
自2009年7月起,公安部组织开展网络安全等级保护测评体系建设,部、省两级公安机关认真组织开展等级测评机构能力验证、测评师培训考核。目前,公安机关已向社会推荐了150余个测评机构,培养了6000名测评师。
公安机关组织测评机构全面开展网络安全等级保护测评工作。测评机构积极开展等级测评、风险评估,支持重要行业、部门开展等级保护定级咨询、安全规划、方案设计、技术检测等工作,为国家网络安全工作作出了重要贡献。测评机构组织成立了“中关村信息安全测评联盟”,开展培训和能力验证等工作,为测评机构提供保障。
组织开展等级保护安全建设整改工作
2009年10月,公安部向各部门印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号),明确了网络安全等级保护安全建设整改工作的目标、任务和方法,指导全国开展等级保护安全建设整改工作,实现五个方面的目标:一是信息系统安全管理水平明显提高;二是信息系统安全防范能力明显增强;三是信息系统安全隐患和安全事故明显减少;四是有效保障信息化健康发展;五是有效维护国家安全、社会秩序和公共利益。
组织开展等级保护执法检查工作
自2010年起,公安部组织全国公安机关,在全国范围内开展网络安全检查。检查范围包括电力、能源、电信、广电、银行、证券、保险、铁路、民航、交通、海关、税务、工商、社保、财政、审计、统计、国资、国土资源、质监、教育、卫生、文化、国防科工、外交等60余个行业中央国家机关及其下属地市级以上机构、国有企事业单位,涉及这些单位的业务决策、办公管理、生产控制、门户网站等重要信息系统。
检查的内容重点是各单位网络安全工作情况、重要信息系统和政府网站安全保护情况,主要包括:网络安全意识、安全工作组织领导和工作部署、安全管理制度建设、安全知识宣传教育、安全建设经费保障和安全责任制落实等情况;重要信息系统安全保护等级定级、备案、安全测评和安全建设整改等国家网络安全等级保护制度落实情况;政府网站安全责任落实情况和网站防入侵、防攻击、防篡改的能力;网络安全监测预警、应急处置等工作开展情况;国外信息技术产品和服务的使用情况等。
2013年到2017年的检查工作完成后,公安部向中央做了专报,得到了中央领导的充分肯定和重要批示。
网络安全等级保护工作协调(领导)机构和专家组建设
1.等级保护协调(领导)机构建设
为加强网络安全等级保护工作的领导,公安部、国家保密局、国家密码管理局联合成立了由公安部领导任组长的国家信息安全等级保护工作协调小组,办公室设在公安部网络安全保卫局。各省(区、市)也成立了信息安全等级保护工作协调(领导)小组,办公室设在公安厅(局)网络警察总(支)队。
2.等级保护专家组建设
为了充分调动和发挥网络安全专家的作用,为重要行业、重要部门开展等级保护安全建设整改工作提供技术支持和指导,有效服务于网络安全等级保护工作,国家成立了网络安全等级保护专家委员会专家名单,各省(区、市)均成立了网络安全等级保护专家组。专家组的主要职责如下。
一是配合公安部宣传网络安全等级保护安全建设相关政策,根据等级保护安全建设总体部署,指导备案单位研究拟定网络安全等级保护安全建设的贯彻实施意见和建设规划。
二是宣传国家网络安全等级保护安全建设相关技术标准,并结合行业特点,研究、指导备案单位等级保护安全建设相关技术标准的行业应用,指导备案单位研究拟定行业技术标准规范。
三是参与备案单位网络安全等级保护安全建设整改方案的论证、评审,指导备案单位网络安全等级保护安全建设工作。
四是了解、掌握并研究探索行业开展网络安全等级保护安全建设工作中安全管理、安全技术和工程建设、工程管理等实践,总结成功经验,树立典型并提出推广意见。
五是跟踪国内外网络安全技术的最新发展,组织和引导网络安全研究机构和企业开展网络安全等级保护共性技术和关键技术专题研究,推动等级保护技术研究工作,促进网络安全产业发展。
六是研究提出完善国家网络安全等级保护政策体系和技术体系的意见和建议。
网络安全等级保护工作取得的主要成效
根据中央赋予公安机关监督、检查、指导网络安全等级保护工作的职能要求,自2004年以来,公安部会同原国信办、国家保密局、国家密码管理局、国家发改委、财政部、国资委、教育部等部门,组织国内技术力量,认真研究借鉴美等发达国家保护关键信息基础设施的方法和经验,在大量研究和试点的基础上,结合我国实际,设计出网络安全等级保护的信息系统定级、备案、等级测评、安全建设整改、监督检查等五个规定动作,出台了一系列政策文件和国家标准,动员组织各地区、各部门和全社会力量开展等级保护工作,加强技术创新和科技攻关,全面建立了国家网络安全等级保护制度,形成了具有中国特色的国家网络安全基本制度、基本国策,使我国网络安全工作走上了法制化、规范化、标准化的轨道。切实加强对基础网络、重要信息系统、大数据和重点网站的安全监管,有效提高了国家关键信息基础设施的安全保护能力,有力维护了国家网络安全。
1.加强对等级保护工作的组织领导,全面促进国家网络安全工作体系化
一是公安机关会同保密、密码、网信等部门建立了等级保护协调(领导)机构,构建了等级保护制度的领导体系,全面组织领导各地区、各部门等级保护工作的开展。
二是公安部会同有关部门出台了信息安全等级保护管理办法、基本要求等一系列政策文件和国家标准,指导金融、能源、广电等50多个重点行业出台了行业网络安全政策和标准,建立了等级保护制度的政策体系和标准体系。
三是公安机关培养了150余家安全测评机构和6000多名安全测评师,成立了网络安全等级保护专家组,组织信息安全企业和专家研究网络安全新策略、新技术、新产品,建立了等级保护制度的技术保障体系。
2.狠抓重点工作的落实,全力提升国家关键信息基础设施安全保护能力
十余年来,各级公安机关组织各地区、各部门全面开展网络安全等级保护工作,基本掌握了国家关键信息基础设施的范围和底数。截至目前,公安机关共受理备案了近14万个信息系统,其中第三级(含)以上重要信息系统1.7万个,并从中确定了47个重要行业、276家重点单位为网络安全重点保卫单位,确定了500个信息系统为国家级重要信息系统,进行重点保护。各地区、各部门以贯彻落实国家网络安全等级保护制度为抓手,理清了本地区、本部门关键信息基础设施底数,明确了网络安全保护重点,创新了网络安全保护策略和技术手段,有力维护了本地区、本行业关键信息基础设施安全。
3.强化网络安全监管,有力提高了国家网络安全工作的法制化、规范化、标准化水平
为及时发现并督促整改重要行业部门网络安全存在的突出问题,公安部自2010年起,每年组织各级公安机关对全国重要行业部门开展网络安全执法大检查。截至目前,全国公安机关累计出动警力22万人次,检查单位7万家,检查重要信息系统和政府网站13万个,发现安全漏洞和隐患35万个,出具检查意见、整改通知和隐患告知等8.8万余份。通过大检查,有力促进了重要行业部门网络安全工作的开展,有效防范了重大网络安全事件(事故)的发生,使我国网络安全工作走上了法制化、规范化、标准化的轨道。文章开篇,就告诉我们“十几年来”,说明了我国在研究网络安全等级保护工作的历史渊源。每次面对客户时,他们很多人都认为等级保护工作时近几年才出现的事物,感到新奇。通过这期的学习,其实可以消除很多人的误解。随着《网络安全法》的出台,网络安全等级保护制度被前所未有的重视下,被大众重新审视与重视,这是真实的情况。而等级保护制度的研究很早就开展了,就算时试点开展也早在2006年已经展开了。自2006年以来到《网络安全法》的实施,是1.0的创立试点推广研究探索阶段,而《网络安全法》的实行开启了网络安全等级保护制度2.0时代,新时代的到来必然面临着新时代的新气象。在继承1.0成果的基础上,我们可以清晰的看到2.0具备1.0的优点又能适应新时代的发展。