金城梨花番号:关注金保工程

　　信息系统能否安全稳定运行直接影响到广大参保人员的权益与社会的和谐稳定。随着人力资源社会保障信息化工作的不断推进，对信息系统安全防范能力和信息安全抗风险能力的要求越来越高。为贯彻落实《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》文件精神，提高人力资源社会保障信息系统的信息安全整体防护能力和保护水平，应将开展信息安全等级保护工作作为今后信息安全工作中的一个重点和方向。

一、何谓“等级保护”

　　信息安全等级保护是带有很强技术性的国家风险控制行为。它对涉及国计民生的基础信息网络和重要信息系统按重要程度及实际安全需求实行合理投入，进行分级保护、分类指导和分阶段实施，以保障信息系统安全正常运行和信息安全，提高信息安全综合防护能力。

二、等级保护基本内容

　　信息安全等级保护的基本内容是根据信息系统在国家安全、经济建设、社会生活中的重要程度，以及遭到破坏后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。具体划分为五个级别：第一级依照国家管理规范和技术标准进行自主保护；第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护；第三级依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查；第四级依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查；第五级依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督。

三、等级保护实施的考虑

　　1、等级保护的实施流程

　　等级保护的实施主要分为五个环节，即定级、备案、建设整改、等级测评和监督检查。其中定级和备案是信息安全等级保护的首要环节，可以梳理各信息系统类型、重要程度和数量等，确定信息安全保护的重点。安全建设整改是信息安全等级保护工作落实的关键，目的是使不同等级的信息系统达到相应等级的基本保护能力，从而提高重要信息系统整体防护能力。等级测评工作的主体是第三方测评机构，目的是检验和评价信息系统的安全建设整改工作成效，判断安全保护能力是否达到相关要求，监督检查工作的主体是信息安全职能管理部门，通过定期的监督、检查和指导，保障重要信息安全保护能力不断提高。

　　2、信息系统定级备案

　　在等级保护工作实施过程中，存在着一些关键的工作环节。首先是业务系统的定级工作，如果对业务系统的安全级别定不准，会使系统备案、建设整改、等级测评工作都失去针对性。因此准确定级，是开展后续整改和测评工作的基础。实施定级工作应重点参考《关于开展劳动保障重要信息系统安全等级保护定级工作的指导意见》（劳社信息函[2007]19号）的相关要求进行，目前人力资源社会保障系统所定级别普遍是2级和3级。按照等级保护实行属地管理的原则,对于第二级以上的信息系统,应到当地公安部门办理备案手续，只有先定级备案，方可开展安全建设整改。

　　3、安全建设整改内容

　　按照公安部关于等级保护整改工作总体部署和要求,对已备案的第二级（含）以上信息系统和新建系统应及时开展安全建设整改工作，力争2012年基本完成行业内已定级信息系统的安全建设整改工作。

　　开展安全建设整改工作中应坚持管理和技术并重的原则，落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

　　4、安全建设整改依据

　　等级保护安全建设整改应参考《信息安全等级保护基本要求》，在等级保护相关文件中，国家在对现在的技术发展水平、黑客攻击能力等多方面因素进行分析、综合的基础上，对已经确定安全保护等级的系统制定了1-5级系统相应的保护要求。这个要求就是等级保护的基本要求。比如人力资源和社会保障部综合网和业务专网均定位3级的系统，这样的系统在技术和管理两个方面十个部分必须明确系统最底线达到等级保护3级。

　　那么 ，是不是满足了基本要求就等于这个系统万无一失了？不是这样的。满足了基本要求只是达到了基本安全状态，是一种相对安全的状态。对于系统本身来说，根据它自身的特点，等级保护就是要把国家管理要求和系统自身安全保护需求结合起来。系统在达到基本安全状态情况下，还要从系统特殊的安全需求出发，不断挖掘和完善，只可以高过它，不能低于它。

　　目前，人力资源和社会保障部部本级已结合金保工程建设，开展了信息安全等级保护安全整改工作，基本建立起有针对性的基础安全防护体系。各地应在完成等级保护定级工作的基础上，进一步开展等级保护建设整改和测评工作，落实等级保护制度的各项要求。

作者：谷轶男

单位：人力资源和社会保障部 信息中心