三网融合下的信息系统等级保护划分标准研究(3)

3 划分标准的规章依据与比较法研究

3.1我国有关等级保护划分标准的行政规章体系

《中华人民共和国计算机信息系统安全保护条例》(以下称《保护条例》)第九条规定：计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。公安部会同国家保密局、国家密码管理局、国务院信息化办公室共同制定一系列关于信息安全等级划分标准的行政规章。信息安全等级保护体系由以下规章组成：《信息安全等级保护管理办法》(以下称《管理办法》)、《计算机信息系统安全保护划分准则》(以下称《划分准则》)、《信息安全等级保护实施指南》(以下称《实施指南》)、《信息安全等级保护定级指南》(以下称《定级指南》)、《信息安全等级保护基本要求》(以下称《基本要求》)《信息安全等级保护测评准则》(以下称《测评准则》)以及关于信息安全技术网络基础、信息系统、操作系统、管理系统的安全技术要求。

其中《保护条例》法律效力最高，具有基础性地位，对其他法律文件具有指导作用。《管理办法》依据信息系统的重要性和受威胁程度，将信息系统从高到底划分为五个等级，但是《管理办法》对五个等级规定的比较概括。《定级指南》给出了《管理办法》中五个等级的具体解释，并详细规定了认定定级的流程，具有较强的操作性。《划分准则》从安全保护能力角度，将安全保护能力从高到低划分为五个等级。但是《划分准则》只是粗线条式的描述了安全保护能力，由于规定的过于抽象和概括，不具有较强的操作性。《基本要求》在尊重《划分准则》五个保护能力等级的基础上，给出了安全保护能力的新定义，并且详细规定每个等级应该采取的安全保护措施和达到的保护效果。当信息系统依据上述法律定级后，需要按照所属级别的要求采取相应的安全保护措施，此时国家监管部门会依据《测评准则》对该信息系统运营商采取的安全保护措施是否符合该安全等级的保护要求进行测评。《实施指南》规定了信息系统等级保护整体流程：认定信息系统的重要性等级—依据信息系统重要性等级认定保护能力等级—实施安全措施整体规划—安全措施的实施、管理—对安全措施是否符合等级要求进行检查和测评。

3.2美国三网融合下的等级保护标准

三网融合下，美国在认定信息安全等级保护时考虑的因素和传统环境下并无差异。仍然考虑以下因素：资产(包括有形资产和无形资产)，信息系统所包含的硬件设备、支撑系统以及各种无形资产的经济价值越大，适用的等级就越高；威胁，信息系统越容易遭受较大的威胁，适用等级应越高；破坏后对国家、社会公共利益和单位或个人的影响，遭遇破坏后造成的影响越恶劣，适用的等级就越高；单位业务对信息系统的依赖程度，单位业务对信息系统的依赖程度越高，适用的等级越高。

三网融合下的信息系统保护能力等级仍然遵守传统环境下的等级划分。保护能力依旧划分为四个等级：系统强健度等级、系统认证级、系统影响等级、全认证级。我国在信息系统的保护能力等级划分方面，将信息系统划分为五个等级，这样分类更加细化，使一些介于两个等级之间的运营商可以更加从容地评估和选择自己所属的等级。

我国是在借鉴美国等级保护制度的基础上，结合我国实际情况制定了信息安全等级保护一系列划分标准。美国的等级保护标准对我国的借鉴意义在于：三网融合后，在认定信息系统重要性时，不能仅仅将该系统对国家、公共利益的影响放在第一位，而应该重点考虑该信息系统的资产和受到威胁程度。三网融合下，多数运营商的业务部门都涉及公共利益，而且对公共利益影响程度的大小很难评测。对信息系统的保护，不只是保护信息系统本身，还间接保护社会公共利益，该信息系统本身也应具有较强的可保护性。如果该信息系统本身资产经济价值较大，若受到破坏，就会造成社会性损失。资产价值大小和受威胁程度相对比较容易评测，因此在进行评级时应适当增加这两个因素的比重。(责任编辑：admin)