信息安全保護(hù)及網(wǎng)絡(luò)安全法的作用發(fā)展

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息安全保護(hù)及網(wǎng)絡(luò)安全法的作用發(fā)展范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

隨著信息化快速發(fā)展，網(wǎng)絡(luò)和信息化應(yīng)用涉及的領(lǐng)域越來(lái)越多，由于系統(tǒng)自身的脆弱性以及外部環(huán)境和人為因素綜合造成了信息安全事件頻發(fā)，信息安全成了國(guó)家發(fā)展的一項(xiàng)重要工作。信息安全等級(jí)保護(hù)是針對(duì)信息及其載體按照重要性進(jìn)行分級(jí)保護(hù)的一項(xiàng)工作，等級(jí)保護(hù)標(biāo)準(zhǔn)是等級(jí)保護(hù)工作中信息系統(tǒng)分級(jí)的主要依據(jù)。金融行業(yè)作為信息化行業(yè)的重要組成部分，其信息系統(tǒng)的安全保障能力和水平關(guān)系到國(guó)家安全、社會(huì)穩(wěn)定和公共利益。金融行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)是由中國(guó)人民銀行根據(jù)國(guó)家標(biāo)準(zhǔn)結(jié)合金融行業(yè)現(xiàn)狀而制定。2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱“網(wǎng)絡(luò)安全法”）開(kāi)始實(shí)施，這是我國(guó)第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問(wèn)題的基礎(chǔ)性法律，為信息安全領(lǐng)域工作的開(kāi)展提供了法律保障。在網(wǎng)絡(luò)安全法實(shí)施的新形勢(shì)下，為了配合網(wǎng)絡(luò)安全法的實(shí)施，提高等級(jí)保護(hù)標(biāo)準(zhǔn)的時(shí)效性，等級(jí)保護(hù)標(biāo)準(zhǔn)也在不斷地發(fā)展和完善。

一、國(guó)家等級(jí)保護(hù)標(biāo)準(zhǔn)

我國(guó)的信息安全等級(jí)保護(hù)工作起步于20世紀(jì)90年代，隨后相繼頒布了多個(gè)等級(jí)保護(hù)標(biāo)準(zhǔn)，具體可分為基礎(chǔ)性標(biāo)準(zhǔn)、定級(jí)標(biāo)準(zhǔn)、建設(shè)標(biāo)準(zhǔn)、測(cè)評(píng)類標(biāo)準(zhǔn)和管理類標(biāo)準(zhǔn)?；A(chǔ)性標(biāo)準(zhǔn)包括《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB25058-2010）以及《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）等；定級(jí)標(biāo)準(zhǔn)有《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2008）等；建設(shè)標(biāo)準(zhǔn)包括《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）、《信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）以及《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T25070-2010）等；測(cè)評(píng)類標(biāo)準(zhǔn)主要有《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448-2012）和《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》（GB/T28449-2012）等；管理類標(biāo)準(zhǔn)主要有《信息系統(tǒng)安全管理要求》（GB/T20269-2006）以及《信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）等。針對(duì)單位的普通信息安全工作人員而言，涉及較多的標(biāo)準(zhǔn)主要有定級(jí)標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2008）與建設(shè)標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）等?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)定級(jí)指南》主要用于指導(dǎo)信息系統(tǒng)的等級(jí)劃分和評(píng)定，將信息系統(tǒng)安全保護(hù)等級(jí)劃分為5級(jí)，定級(jí)要素有兩個(gè)：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體以及客體受到侵害程度。定級(jí)要素與信息系統(tǒng)安全保護(hù)等級(jí)的關(guān)系見(jiàn)表1。由表1可知，三級(jí)及以上系統(tǒng)受到侵害時(shí)可能會(huì)影響國(guó)家安全，而一級(jí)、二級(jí)系統(tǒng)受到侵害時(shí)只會(huì)對(duì)社會(huì)秩序或者個(gè)人權(quán)益產(chǎn)生影響。在實(shí)際系統(tǒng)定級(jí)過(guò)程中，要從系統(tǒng)的信息安全和服務(wù)連續(xù)性兩個(gè)維度分別定級(jí)，最后按就高原則給系統(tǒng)進(jìn)行定級(jí)?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)基本要求》是針對(duì)不同安全保護(hù)等級(jí)信息系統(tǒng)應(yīng)該具有的基本安全保護(hù)能力提出的安全要求，根據(jù)實(shí)現(xiàn)方式的不同，基本安全要求分為基本技術(shù)要求和基本管理要求兩大類等級(jí)保護(hù)基本要求共有10個(gè)部分，技術(shù)要求和管理要求各占5個(gè)部分。其中，技術(shù)類安全要求又細(xì)分三個(gè)類型。信息安全類（S類）：為保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不被泄露、破壞和免受未授權(quán)的修改的信息安全類要求。服務(wù)保證類（A類）：保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，免受對(duì)系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求。通用安全保護(hù)類要求（G類）：既考慮信息安全類，又考慮服務(wù)保障類，最后選擇就高原則。

二、金融行業(yè)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)及必要性分析

1.行業(yè)標(biāo)準(zhǔn)金融行業(yè)作為信息化行業(yè)的一個(gè)重要組成部分，金融行業(yè)信息系統(tǒng)安全直接關(guān)系到國(guó)家安全、社會(huì)穩(wěn)定以及公民的利益等。為落實(shí)國(guó)家對(duì)金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)相關(guān)工作要求，加強(qiáng)金融行業(yè)信息安全管理和技術(shù)風(fēng)險(xiǎn)防范，保障金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)建設(shè)、測(cè)評(píng)、整改工作順利開(kāi)展，中國(guó)人民銀行針對(duì)金融行業(yè)的信息安全問(wèn)題，在2012年了三項(xiàng)行業(yè)標(biāo)準(zhǔn)：《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》、《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》和《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》。2.必要性分析網(wǎng)絡(luò)安全法明確規(guī)定國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，開(kāi)展等級(jí)保護(hù)工作是滿足國(guó)家法律法規(guī)的合規(guī)需求。金融行業(yè)開(kāi)展信息安全等級(jí)保護(hù)工作的必要性有以下3點(diǎn)。（1）理清安全等級(jí)，實(shí)現(xiàn)分級(jí)保護(hù)金融行業(yè)各類業(yè)務(wù)系統(tǒng)眾多，系統(tǒng)用途和服務(wù)對(duì)象差異性大，依據(jù)等級(jí)保護(hù)根據(jù)系統(tǒng)可用性和數(shù)據(jù)重要性開(kāi)展分級(jí)的定級(jí)要求，可以有效梳理和分析現(xiàn)有的信息系統(tǒng)，識(shí)別出重要的信息系統(tǒng)，將不同系統(tǒng)按照不同重要等級(jí)進(jìn)行分級(jí)，按照等級(jí)開(kāi)展適當(dāng)?shù)陌踩雷o(hù)，有效保證了有限資源充分發(fā)揮作用。（2）明確保護(hù)標(biāo)準(zhǔn)，實(shí)現(xiàn)規(guī)范保護(hù)金融行業(yè)信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)有效解決了金融行業(yè)信息系統(tǒng)保護(hù)無(wú)標(biāo)準(zhǔn)可依的問(wèn)題。在信息系統(tǒng)全生命周期中注重落實(shí)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和規(guī)范要求，在信息系統(tǒng)需求、信息系統(tǒng)建設(shè)和信息系統(tǒng)維護(hù)階段參照、依據(jù)等級(jí)保護(hù)的標(biāo)準(zhǔn)和要求，基本實(shí)現(xiàn)信息系統(tǒng)安全技術(shù)措施的同步規(guī)劃、同步建設(shè)、同步使用，從而保證重要的信息系統(tǒng)能夠抵御網(wǎng)絡(luò)攻擊而不造成重大損失或影響。（3）定期開(kāi)展測(cè)評(píng)，實(shí)現(xiàn)有效保護(hù)按照等級(jí)保護(hù)要求，每年對(duì)三級(jí)以上信息系統(tǒng)開(kāi)展測(cè)評(píng)工作，使得重要信息系統(tǒng)能夠?qū)ο到y(tǒng)的安全性實(shí)現(xiàn)定期回顧、有效評(píng)估，從整體上有效發(fā)現(xiàn)信息系統(tǒng)存在的安全問(wèn)題。通過(guò)每年開(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作，持續(xù)優(yōu)化金融行業(yè)重要信息系統(tǒng)安全防護(hù)措施，有效提高了重要信息系統(tǒng)的安全保障能力，加強(qiáng)了信息系統(tǒng)的安全管理水平，保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行以及對(duì)外業(yè)務(wù)服務(wù)的正常開(kāi)展。

三、網(wǎng)絡(luò)安全法作用下標(biāo)準(zhǔn)的發(fā)展

隨著等保制度上升為法律層面、等保的重要性不斷增加、等保對(duì)象也在擴(kuò)展以及等保的體系也在不斷升級(jí)，等級(jí)保護(hù)的發(fā)展已經(jīng)進(jìn)入到了2.0時(shí)代。為了配合網(wǎng)絡(luò)安全法的出臺(tái)和實(shí)施，滿足行業(yè)部門、企事業(yè)單位、安全廠商開(kāi)展云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)等新技術(shù)、新應(yīng)用環(huán)境下等級(jí)保護(hù)工作需求，公安部網(wǎng)絡(luò)安全保衛(wèi)局組織對(duì)原有的等保系列標(biāo)準(zhǔn)進(jìn)行修訂，主要從三個(gè)方面進(jìn)行了修訂：標(biāo)準(zhǔn)的名稱、標(biāo)準(zhǔn)的結(jié)構(gòu)以及標(biāo)準(zhǔn)的內(nèi)容。1.標(biāo)準(zhǔn)名稱的變化為了與網(wǎng)絡(luò)安全法提出的“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”保持一致性，等級(jí)保護(hù)標(biāo)準(zhǔn)由原來(lái)的“信息系統(tǒng)安全等級(jí)”修改為“網(wǎng)絡(luò)安全等級(jí)”。例如：《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》修改為《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》修改為《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》等。2.標(biāo)準(zhǔn)結(jié)構(gòu)的變化為了適應(yīng)云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的開(kāi)展，等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)、等級(jí)保護(hù)測(cè)評(píng)要求標(biāo)準(zhǔn)的結(jié)構(gòu)均由原來(lái)的一部分變?yōu)榱糠纸M成，分別為安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求、工業(yè)控制系統(tǒng)安全擴(kuò)展要求與大數(shù)據(jù)安全擴(kuò)展要求。3.標(biāo)準(zhǔn)內(nèi)容的變化各級(jí)技術(shù)要求分類和管理要求的分類都發(fā)生了變化。其中，技術(shù)要求“從面到點(diǎn)”提出安全要求，對(duì)機(jī)房設(shè)施、通信網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用等提出了要求；管理要求“從元素到活動(dòng)”，提出了管理必不可少的制度、機(jī)構(gòu)和人員三要素，同時(shí)也提出了建設(shè)過(guò)程和運(yùn)維過(guò)程中的安全活動(dòng)要求。

四、展望

隨著信息化的快速發(fā)展，信息系統(tǒng)安全直接關(guān)系到個(gè)人權(quán)益、社會(huì)秩序以及國(guó)家安全?？v深防御原則、態(tài)勢(shì)感知平臺(tái)以及等級(jí)保護(hù)是有效地保障信息系統(tǒng)安全的三大重要手段，等級(jí)保護(hù)作為信息系統(tǒng)安全保護(hù)工作的重要手段之一，對(duì)保護(hù)信息系統(tǒng)安全起到了至關(guān)重要的作用。在網(wǎng)絡(luò)安全法正式實(shí)施的新形勢(shì)下，等級(jí)保護(hù)工作也將出現(xiàn)如下發(fā)展趨勢(shì)。1.保證合法合規(guī)以網(wǎng)絡(luò)安全法為依據(jù)，等級(jí)保護(hù)標(biāo)準(zhǔn)也會(huì)及時(shí)更新，變得更為合理，等級(jí)保護(hù)工作將有法可依、有規(guī)可循，從而保證等級(jí)保護(hù)工作合法合規(guī)。2.更加全面高效隨著網(wǎng)絡(luò)安全法的實(shí)施，等級(jí)保護(hù)標(biāo)準(zhǔn)也會(huì)發(fā)展得更加全面，涉及面也會(huì)更廣（包括云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)等），這將大大減少等級(jí)保護(hù)工作中的知識(shí)盲區(qū)和領(lǐng)域盲區(qū)，使等保工作開(kāi)展得更加全面高效。3.規(guī)模越來(lái)越大隨著大數(shù)據(jù)技術(shù)的發(fā)展，重要信息系統(tǒng)的數(shù)量也會(huì)增加，在信息安全意識(shí)逐漸增強(qiáng)的大背景下，等級(jí)保護(hù)工作的規(guī)模會(huì)越來(lái)越大，涉及的系統(tǒng)也會(huì)大幅度增加。4.更加智能化人工智能技術(shù)的發(fā)展會(huì)大大推動(dòng)等級(jí)保護(hù)工作向智能化方向發(fā)展，同時(shí)，安全威脅態(tài)勢(shì)感知平臺(tái)的發(fā)展也會(huì)與等級(jí)保護(hù)相互促進(jìn)，使得等級(jí)保護(hù)工作更加智能化。

作者:王建華 單位:上海浦東發(fā)展銀行信息科技部