论文部分内容阅读
我国信息安全等级保护基本法律框架
1994年,国务院颁布的《信息安全保护条例》首次提出对计算机信息系统实行等级保护,并授权公安部会同有关部门制定等级划分标准和管理办法。2003年,中共中央办公厅、国务院办公厅转发了《国务院信息化领导小组关于加强信息安全保障的意见》,再次强调对信息安全进行等级保护。 2004年公安部联合国家保密局、密码局、保密委员会和国务院信息化领导办公室发布《关于信息安全等级保护工作的实施意见》,对信息安全等级保护的基本制度框架进行了规划。2006年上述四部门发布《信息安全等级保护管理办法(试行)》,开始具体构建信息安全等级保护制度,该办法在试行一年后于2007年6月正式发布实施。以上法律文件从信息安全等级保护的提出到其具体制度的制定,构筑了我国信息安全等级保护的基本法律框架。
(一)等级的划分
国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度;信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素划分为五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统运营、使用单位根据等级划分,按照相关技术标准对信息系统进行保护,国家有关信息安全监管部门对三级以上信息系统的等级保护工作进行监督管理。
(二) 等级保护工作的职责分工
在开展等级保护工作中,涉及到的部门分工各不相同:
公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。而信息系统主管部门应当组织并实施所管辖的信息系统的信息安全等级保护工作,督促、检查、指导其主管的信息系统运营使用单位依照国家信息安全等级保护管理规范和技术标准,落实安全责任。
(三)等级保护的实施
等级保护的实施流程包括六项内容:
一是自主定级与审批。信息系统运营使用单位按照等级保护管理办法和《信息系统安全等级保护定级指南》,确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审核批准。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。
二是评审。在信息系统确定安全保护等级过程中,可以进行必要的业务和技术评估,组织专家进行咨询评审。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。
三是系统建设。信息系统的安全保护等级确定后,运营使用单位应当按照国家信息安全等级保护管理规范和划分准则、基本要求、操作系统、数据库、网络、服务器、终端等技术要求,使用符合本系统安全保护等级要求的信息安全产品,同步建设符合本系统安全保护等级要求的信息安全设施。运营使用单位应当按照安全管理要求、安全工程管理要求等管理规范,建立安全组织,制定并落实符合本系统安全保护等级要求的安全管理制度。
四是等级测评。信息系统建设完成后,运营使用单位应当选择符合本系统安全保护等级要求的检测机构,依据《信息系统安全等级保护测评要求》等技术标准对信息系统安全等级状况开展技术测评。第三级以上信息系统运营使用单位应当按照等级保护管理办法要求选择测评机构开展等级测评。
五是备案。第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
六是监督检查。公安机关依据信息安全等级保护管理规范,定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关信息安全保护的情况资料。
(四)法律责任
第三级以上信息系统运营、使用单位违反《信息安全等级保护管理办法》,有未按规定备案、审批,未按规定落实安全管理制度、措施,或者未按规定开展系统安全状况检查、系统安全技术测评,以及接到整改通知后拒不整改等行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果。
信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
我国信息安全等级保护立法存在的问题
尽管我国出台了一系列信息安全等级保护的相关政策和法规,构筑了我国信息安全等级保护的基本法律框架,但是,我国的信息安全等级保护立法总体来说还处于起步阶段,存在着很多问题:
(一)立法层次偏低
实际上,我国整个信息安全立法的层级都偏低,信息安全立法主要以行政法规形式存在,而具体到等级保护方面的立法更是主要以部门规章的形式存在,还没有一部高位阶、统领性的信息安全基本法律,因而难以形成科学、合理、专业、有序的法律体系。这与信息安全在国家安全中的战略地位,与等级保护在信息安全中的基本地位是不相符合的。由于信息安全等级保护制度立法层次低,主要以部门规章出现,囿于部门职权和利益,其制度设计往往存在天然的局限性,缺乏全局的统筹和制度设计。
而且,我国在信息安全等级保护立法乃至整个信息安全立法中都存在重政策轻法律的问题,习惯于采用规范性文件或者领导批示的方式,布置任务或者贯彻落实文件精神,忽视了法律在预防和处理信息安全问题上应当发挥的作用和效能。由于规范性文件、政策性文件因缺乏支配性、强制执行力,往往不能得到有效执行,因而不能转化为现实的有力地调整和指引工具。
(二)未能融入风险管理的理念
进入网络时代以后,安全威胁不断增加,所需的安全成本和资源也成倍增长,在当今复杂的、分布的、异构的信息系统环境下,无论采取多么完善的信息安全手段都难以达到绝对的安全,风险总会存在,因而很难采取风险消除的方法实现安全性,适宜的方法是将基于风险的安全理念引入到保障信息系统信息安全的过程中,对整个信息系统进行风险管理。在信息安全等级保护中乃至整个信息安全保障工作中融入风险管理的理念已经是信息安全保障工作的主流范式。如美国标准与技术研究院在《联邦信息安全管理法》的要求下制定的美国信息安全认证认可的标准框架即充分体现了风险管理的理念,这个框架贯彻了《联邦信息安全管理法》的要求,明确提出落实认证认可工作,要以风险管理的思想贯彻于其信息系统的生存周期。
但是令人遗憾的是,我国现行的信息安全等级保护法律框架并没有将风险管理的理念融入其中,而是将信息安全等级保护与作为风险管理代表的信息安全风险评估制度并行分别试点推进。目前,信息安全风险评估还只停留在政策推行阶段。这就造成了等级保护与风险管理或者更具体一点与风险评估的割裂,一方面使信息安全保障工作重复建设,更重要的另一方面是这种割裂导致了信息安全保障工作的不科学,致信息安全于危险的境地。
(三)立法内容不全面
虽然现行的行政法规和部门规章已经为信息安全等级保护构筑了一个基本的法律框架,但是,其立法内容还是很不全面的,还有许多重要的内容有待进一步立法明确,比如信息安全等级测评制度。
信息安全等级测评在整个信息安全等级保护中占有重要地位,它不仅是确定系统是否符合预定安全要求的重要依据,还是发现并弥补信息安全漏洞的过程。那么等级测评机构如何组成?如何管理?测评结果的效力如何?测评机构应当承当什么责任?现行法律框架没有给出明确的规定。
(四)法律责任体系不完善
现行法律框架并没有为推进信息安全等级保护提供强有力的法律责任保障,对于违法行为除了警告或者建议其主管上级处理外别无他法,这样的法律责任体系显然很不完善。第一,从法律责任性质上来讲,缺乏民事责任的规定。信息系统运营、使用人不履行等级保护之法定义务,会将信息系统置于危险状态,信息系统一旦受到破坏,会损害与之相关的他人权益。因此,信息系统运营、使用人承担着对该系统相关人的安全保障义务,其不履行或者不完全履行等级保护义务给他人造成损害的,应当承担民事赔偿责任。第二,行政责任单一、软弱,不能起到对于违法行为的惩治和对可能违法的震慑,不能起到预防违法的作用。根据《信息安全等级保护管理办法》,对于违法行为只能责令其限期改正,逾期不改正的,给予警告,并其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果。可以说,几乎没有什么强制性的处罚措施,在实际执行中显然要大打折扣。
我国信息安全等级保护制度的完善
完善我国的信息安全等级保护制度,既要立足于信息安全保障的基本规律,充分考虑我国信息网络发展的特殊性,又要吸收和借鉴各国的立法经验,笔者认为,我国的信息安全等级保护制度可以从以下几个方面进行完善:
(一)加强以等级保护为主要内容之一的信息安全基本法立法工作
制定一部高效力层次的信息安全基本法,有助于科学、合理、专业、有序的信息安全法体系的构建,也有助于推动信息化战略的实施。在信息安全基本法之下,可以克服现行等级保护以部门规章为主体的局限性,可以在更广范围内更科学地分配各部门职责,比如国家标准部门对于信息安全等级保护标准的制定和发展等。制定等级保护制度的完善。同时,高位阶的信息安全基本法可以创设更多法律责任制度,更有利于形成完善的法律责任体系,确保信息安全等级保护制度的强制力和执行力。
(二)引入风险评估机制
信息安全等级保护必须树立风险管理的思想,而风险评估是风险管理的基础,因此,笔者认为,三级以上信息系统必须定期进行信息安全风险评估。风险评估贯穿于等级保护周期的系统定级、安全实施和安全运维三个阶段:
1.系统定级。由于信息系统具有自身的行业和业务特点,且所受到的安全威胁均有所不同,因此,可以依据信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、以及系统自身脆弱性的严重程度进行识别和关联分析,判断信息系统应采取什么强度的安全措施,然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内。即将风险评估的结果作为确定信息系统安全措施的保护级别的一个参考依据。
2.安全实施。安全实施是根据信息安全等级保护国家标准的要求,从管理与技术两个方面选择不同强度的安全措施,来确保建设的安全措施满足相应的等级要求。风险评估在安全实施阶段就可以直接发挥作用,那就是对现有系统进行评估和加固,然后再进行安全设备部署等。在安全实施过程中也会发生事件并可能带来长期的安全隐患,如安全集成过程中设置的超级用户和口令没有完全移交给用户、防火墙部署后长时间保持透明策略等都会带来严重的问题,风险评估能够及早发现并解决这些问题。
3.安全运维。安全运维是指按照系统等级进行安全实施后开展运行维护的安全工作。安全运维包括两方面:一是维护现有安全措施等级的有效性。可依据国家有关等级划分准则对信息系统所采取的安全措施是否满足要求进行检验,以保证所采取的安全措施的强度持续有效;二是根据客观情况的变化以及系统内部建设的实际需要,等级要进行定期调整,以防止过度保护或保护不足。再定级的过程可参见系统定级部分的内容。
(三)建立健全等级测评法律机制
可以考虑从以下几个方面对信息安全等级测评机制进行完善:
1.等级测评的启动机制。等级测评可由信息系统运营、使用、主管和监督单位启动。
2.等级测评机构和测评人准入制度。等级测评是一项专业性和专职性很轻的工作,并且需要测评机构和测评人具有很高的职业操守,因此,必须设定一定的门槛,实行准入制度。测评人应当进行专业资格考试和考核,以确定其具备相应的专业素质和职业操守,有故意泄露工作秘密或者有犯罪记录的人员不能取得测评人资格。测评机构必须拥有专业化的测评团队、良好的测评手段,具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度,具有一定规模才能取得主体资格。
3.等级测评机构和测评人法律责任制度。被测评单位应该和测评机构就测评工作签订测评合同,测评机构应当对自身的测评行为负责,对违反法律规定的行为不仅要对被测评单位承担合同责任,而且要承担行政责任,接受行政管理机关对于其违法行为的处罚。对测评人的法律责任主要是行政责任和刑事责任。行政责任是指测评人违反法律法规,发生舞弊或过失行为并给有关方面造成经济等损失后,由政府部门或自律性组织对其追究的具有行政性质的责任,比如剥夺测评人资格等。一般来说,由于测评人在等级测评中是履行职务的行为,所以即使测评人由于过失或欺诈行为而使被测评单位受损,也应当由测评机构对外承担民事责任。
(四)完善等级保护法律责任体系
笔者认为,可以为信息系统的使用、运营单位创设一定的民事责任从而迫使其积极履行信息安全等级保护义务。可以规定,若信息系统的使用、运营单位对信息系统相关人依约或者依法承担有安全保障义务,则使用、运营单位不履行等级保护义务即为其未履行对相关人安全保障义务的明证,应当为相关人因此的损失承担民事责任。
另外,在行政责任方面,可以对违反信息安全等级保护相关法律规定的信息系统运营、使用单位给予罚款等行政处罚,促使其履行义务。
(作者系华中科技大学博士研究生)
1994年,国务院颁布的《信息安全保护条例》首次提出对计算机信息系统实行等级保护,并授权公安部会同有关部门制定等级划分标准和管理办法。2003年,中共中央办公厅、国务院办公厅转发了《国务院信息化领导小组关于加强信息安全保障的意见》,再次强调对信息安全进行等级保护。 2004年公安部联合国家保密局、密码局、保密委员会和国务院信息化领导办公室发布《关于信息安全等级保护工作的实施意见》,对信息安全等级保护的基本制度框架进行了规划。2006年上述四部门发布《信息安全等级保护管理办法(试行)》,开始具体构建信息安全等级保护制度,该办法在试行一年后于2007年6月正式发布实施。以上法律文件从信息安全等级保护的提出到其具体制度的制定,构筑了我国信息安全等级保护的基本法律框架。
(一)等级的划分
国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度;信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素划分为五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统运营、使用单位根据等级划分,按照相关技术标准对信息系统进行保护,国家有关信息安全监管部门对三级以上信息系统的等级保护工作进行监督管理。
(二) 等级保护工作的职责分工
在开展等级保护工作中,涉及到的部门分工各不相同:
公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。而信息系统主管部门应当组织并实施所管辖的信息系统的信息安全等级保护工作,督促、检查、指导其主管的信息系统运营使用单位依照国家信息安全等级保护管理规范和技术标准,落实安全责任。
(三)等级保护的实施
等级保护的实施流程包括六项内容:
一是自主定级与审批。信息系统运营使用单位按照等级保护管理办法和《信息系统安全等级保护定级指南》,确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审核批准。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。
二是评审。在信息系统确定安全保护等级过程中,可以进行必要的业务和技术评估,组织专家进行咨询评审。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。
三是系统建设。信息系统的安全保护等级确定后,运营使用单位应当按照国家信息安全等级保护管理规范和划分准则、基本要求、操作系统、数据库、网络、服务器、终端等技术要求,使用符合本系统安全保护等级要求的信息安全产品,同步建设符合本系统安全保护等级要求的信息安全设施。运营使用单位应当按照安全管理要求、安全工程管理要求等管理规范,建立安全组织,制定并落实符合本系统安全保护等级要求的安全管理制度。
四是等级测评。信息系统建设完成后,运营使用单位应当选择符合本系统安全保护等级要求的检测机构,依据《信息系统安全等级保护测评要求》等技术标准对信息系统安全等级状况开展技术测评。第三级以上信息系统运营使用单位应当按照等级保护管理办法要求选择测评机构开展等级测评。
五是备案。第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
六是监督检查。公安机关依据信息安全等级保护管理规范,定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关信息安全保护的情况资料。
(四)法律责任
第三级以上信息系统运营、使用单位违反《信息安全等级保护管理办法》,有未按规定备案、审批,未按规定落实安全管理制度、措施,或者未按规定开展系统安全状况检查、系统安全技术测评,以及接到整改通知后拒不整改等行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果。
信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
我国信息安全等级保护立法存在的问题
尽管我国出台了一系列信息安全等级保护的相关政策和法规,构筑了我国信息安全等级保护的基本法律框架,但是,我国的信息安全等级保护立法总体来说还处于起步阶段,存在着很多问题:
(一)立法层次偏低
实际上,我国整个信息安全立法的层级都偏低,信息安全立法主要以行政法规形式存在,而具体到等级保护方面的立法更是主要以部门规章的形式存在,还没有一部高位阶、统领性的信息安全基本法律,因而难以形成科学、合理、专业、有序的法律体系。这与信息安全在国家安全中的战略地位,与等级保护在信息安全中的基本地位是不相符合的。由于信息安全等级保护制度立法层次低,主要以部门规章出现,囿于部门职权和利益,其制度设计往往存在天然的局限性,缺乏全局的统筹和制度设计。
而且,我国在信息安全等级保护立法乃至整个信息安全立法中都存在重政策轻法律的问题,习惯于采用规范性文件或者领导批示的方式,布置任务或者贯彻落实文件精神,忽视了法律在预防和处理信息安全问题上应当发挥的作用和效能。由于规范性文件、政策性文件因缺乏支配性、强制执行力,往往不能得到有效执行,因而不能转化为现实的有力地调整和指引工具。
(二)未能融入风险管理的理念
进入网络时代以后,安全威胁不断增加,所需的安全成本和资源也成倍增长,在当今复杂的、分布的、异构的信息系统环境下,无论采取多么完善的信息安全手段都难以达到绝对的安全,风险总会存在,因而很难采取风险消除的方法实现安全性,适宜的方法是将基于风险的安全理念引入到保障信息系统信息安全的过程中,对整个信息系统进行风险管理。在信息安全等级保护中乃至整个信息安全保障工作中融入风险管理的理念已经是信息安全保障工作的主流范式。如美国标准与技术研究院在《联邦信息安全管理法》的要求下制定的美国信息安全认证认可的标准框架即充分体现了风险管理的理念,这个框架贯彻了《联邦信息安全管理法》的要求,明确提出落实认证认可工作,要以风险管理的思想贯彻于其信息系统的生存周期。
但是令人遗憾的是,我国现行的信息安全等级保护法律框架并没有将风险管理的理念融入其中,而是将信息安全等级保护与作为风险管理代表的信息安全风险评估制度并行分别试点推进。目前,信息安全风险评估还只停留在政策推行阶段。这就造成了等级保护与风险管理或者更具体一点与风险评估的割裂,一方面使信息安全保障工作重复建设,更重要的另一方面是这种割裂导致了信息安全保障工作的不科学,致信息安全于危险的境地。
(三)立法内容不全面
虽然现行的行政法规和部门规章已经为信息安全等级保护构筑了一个基本的法律框架,但是,其立法内容还是很不全面的,还有许多重要的内容有待进一步立法明确,比如信息安全等级测评制度。
信息安全等级测评在整个信息安全等级保护中占有重要地位,它不仅是确定系统是否符合预定安全要求的重要依据,还是发现并弥补信息安全漏洞的过程。那么等级测评机构如何组成?如何管理?测评结果的效力如何?测评机构应当承当什么责任?现行法律框架没有给出明确的规定。
(四)法律责任体系不完善
现行法律框架并没有为推进信息安全等级保护提供强有力的法律责任保障,对于违法行为除了警告或者建议其主管上级处理外别无他法,这样的法律责任体系显然很不完善。第一,从法律责任性质上来讲,缺乏民事责任的规定。信息系统运营、使用人不履行等级保护之法定义务,会将信息系统置于危险状态,信息系统一旦受到破坏,会损害与之相关的他人权益。因此,信息系统运营、使用人承担着对该系统相关人的安全保障义务,其不履行或者不完全履行等级保护义务给他人造成损害的,应当承担民事赔偿责任。第二,行政责任单一、软弱,不能起到对于违法行为的惩治和对可能违法的震慑,不能起到预防违法的作用。根据《信息安全等级保护管理办法》,对于违法行为只能责令其限期改正,逾期不改正的,给予警告,并其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果。可以说,几乎没有什么强制性的处罚措施,在实际执行中显然要大打折扣。
我国信息安全等级保护制度的完善
完善我国的信息安全等级保护制度,既要立足于信息安全保障的基本规律,充分考虑我国信息网络发展的特殊性,又要吸收和借鉴各国的立法经验,笔者认为,我国的信息安全等级保护制度可以从以下几个方面进行完善:
(一)加强以等级保护为主要内容之一的信息安全基本法立法工作
制定一部高效力层次的信息安全基本法,有助于科学、合理、专业、有序的信息安全法体系的构建,也有助于推动信息化战略的实施。在信息安全基本法之下,可以克服现行等级保护以部门规章为主体的局限性,可以在更广范围内更科学地分配各部门职责,比如国家标准部门对于信息安全等级保护标准的制定和发展等。制定等级保护制度的完善。同时,高位阶的信息安全基本法可以创设更多法律责任制度,更有利于形成完善的法律责任体系,确保信息安全等级保护制度的强制力和执行力。
(二)引入风险评估机制
信息安全等级保护必须树立风险管理的思想,而风险评估是风险管理的基础,因此,笔者认为,三级以上信息系统必须定期进行信息安全风险评估。风险评估贯穿于等级保护周期的系统定级、安全实施和安全运维三个阶段:
1.系统定级。由于信息系统具有自身的行业和业务特点,且所受到的安全威胁均有所不同,因此,可以依据信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、以及系统自身脆弱性的严重程度进行识别和关联分析,判断信息系统应采取什么强度的安全措施,然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内。即将风险评估的结果作为确定信息系统安全措施的保护级别的一个参考依据。
2.安全实施。安全实施是根据信息安全等级保护国家标准的要求,从管理与技术两个方面选择不同强度的安全措施,来确保建设的安全措施满足相应的等级要求。风险评估在安全实施阶段就可以直接发挥作用,那就是对现有系统进行评估和加固,然后再进行安全设备部署等。在安全实施过程中也会发生事件并可能带来长期的安全隐患,如安全集成过程中设置的超级用户和口令没有完全移交给用户、防火墙部署后长时间保持透明策略等都会带来严重的问题,风险评估能够及早发现并解决这些问题。
3.安全运维。安全运维是指按照系统等级进行安全实施后开展运行维护的安全工作。安全运维包括两方面:一是维护现有安全措施等级的有效性。可依据国家有关等级划分准则对信息系统所采取的安全措施是否满足要求进行检验,以保证所采取的安全措施的强度持续有效;二是根据客观情况的变化以及系统内部建设的实际需要,等级要进行定期调整,以防止过度保护或保护不足。再定级的过程可参见系统定级部分的内容。
(三)建立健全等级测评法律机制
可以考虑从以下几个方面对信息安全等级测评机制进行完善:
1.等级测评的启动机制。等级测评可由信息系统运营、使用、主管和监督单位启动。
2.等级测评机构和测评人准入制度。等级测评是一项专业性和专职性很轻的工作,并且需要测评机构和测评人具有很高的职业操守,因此,必须设定一定的门槛,实行准入制度。测评人应当进行专业资格考试和考核,以确定其具备相应的专业素质和职业操守,有故意泄露工作秘密或者有犯罪记录的人员不能取得测评人资格。测评机构必须拥有专业化的测评团队、良好的测评手段,具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度,具有一定规模才能取得主体资格。
3.等级测评机构和测评人法律责任制度。被测评单位应该和测评机构就测评工作签订测评合同,测评机构应当对自身的测评行为负责,对违反法律规定的行为不仅要对被测评单位承担合同责任,而且要承担行政责任,接受行政管理机关对于其违法行为的处罚。对测评人的法律责任主要是行政责任和刑事责任。行政责任是指测评人违反法律法规,发生舞弊或过失行为并给有关方面造成经济等损失后,由政府部门或自律性组织对其追究的具有行政性质的责任,比如剥夺测评人资格等。一般来说,由于测评人在等级测评中是履行职务的行为,所以即使测评人由于过失或欺诈行为而使被测评单位受损,也应当由测评机构对外承担民事责任。
(四)完善等级保护法律责任体系
笔者认为,可以为信息系统的使用、运营单位创设一定的民事责任从而迫使其积极履行信息安全等级保护义务。可以规定,若信息系统的使用、运营单位对信息系统相关人依约或者依法承担有安全保障义务,则使用、运营单位不履行等级保护义务即为其未履行对相关人安全保障义务的明证,应当为相关人因此的损失承担民事责任。
另外,在行政责任方面,可以对违反信息安全等级保护相关法律规定的信息系统运营、使用单位给予罚款等行政处罚,促使其履行义务。
(作者系华中科技大学博士研究生)