信息安全等级保护

3.信息安全等级保护

2017年6月1日正式实施的《中华人民共和国网络安全法》第二十一条规定， “国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、 篡改”。这条规定明确了等级保护在我国网络安全保障工作中的地位。

实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统的指导和服务，有效控制信息安全建设成本；有利于优化信息安全资源的配置，对信息系统实施分等级保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全产业的发展，逐步探索出一条适合社会主义市场经济发展的信息安全模式。

实行信息安全等级保护，本质上就是要明确重点、确保重点。首先是要明确重点，在国家层面，这个重点就是那些关系国家安全、经济命脉、社会稳定的基础网络和重要信息系统苦对于部门≮地方和企业而言，也应根据实际确定自己的保护重点。其次，在系统定级的基础土，还要综合平衡信息安全风险和建设成本，进一步确定重点部位，将有限的资源用到最急需、最核心的地方，根据安全等级进行建设和管理，确保核心系统安全。第三，实行等级保护要坚持从实际出发。我国的信息化发展不平衡，东中西部差异较大，不同部门、不同地区信息化所处的发展阶段不同，面临的信息安全风险和信息安全需求也不一样。因此， 在信息安全保障中必须从实际安全需求出发，不能片面追求“绝对安全”，搞不计成本的安全，也不能搞一刀切、上下一般粗、全国一个模式。必须区分轻重缓急，根据不同等级、不同类别、不同阶段，突出重点，将有限的资源用到最急需保障的地方。这也是实事求是思想路线在信息安全保障工作中的具体体现。

信息安全等级保护是国家信息安全保障的基本制度和方法，开展信息安全等级保护工作是促进信息化发展，保障国家信息安全的重要举措，也是我国多年来信息安全工作的经验总结。开展信息安全等级保护，就是要解决我国信息安全面临的威胁和存在的主要问题，有效体现“适度安全、保护重点”的目的，将有限的财力、物力、人力投入到重要信息系统安全保护中，按标准建设安全保护措施，建立安全保护制度，落实安全责任，加强监督检查，有效提高我国信息和信息系统安全建设的整体水平。