一、為什么要等級保護

信息安全保護存在的主要問題與政策: 正確的信息安全政策和策略是搞好國家信息安全保護工作的關鍵，而正確的信息安全保護政策和策略必須依賴于對信息安全問題的正確認識和信息安全保護抉擇的正確取向。

社會發展的不同階段有不同特質的信息安全問題，在社會發展要求網絡化信息系統互連互通的信息化時代，信息安全問題的實質直接表現為國家主權、政治、經濟、國防、社會安全和公民合法權益保障。

引發信息安全問題的因素有多個方面，有外部因素和內部的，但最主要的因素在于內部。信息安全政策不確定、信息安全發展方向不明朗；信息安全保護工作組織管理制度不健全，安全責任制不落實，導致管理混亂與不規范、安全管理與技術規范不統一、沒有形成配套體系；信息安全市場和服務混亂、不規范；國家監管機制（執法隊伍及其技術支撐體系）不健全，監管手段缺乏等。因此導致：國家對信息安全狀況很難有效把握；信息系統主管、建設、使用者對如何搞好信息信息系統安全建設和管理，信息系統安全究竟存在什么問題、如何改進、需要多少投資等，心中無數；科研單位和企業對開發生產什么樣的安全產品心中無數；信息安全專家對安全產品審查不好提出評審結果意見；信息安全職能部門對如何進行有效監督、檢查評估、服務指導，如何處罰違規者等，也是心中無數。進而導致國家信息安全科學技術水平和整體信息安全保護能力很難提高，國家信息安全只好看國外，依賴國外，受國外思潮主導。對這些問題認識不足，不盡快采取有效的解決辦法，勢必影響信息化建設、經濟發展、社會穩定、國防建設、國家安全。

為此，國家高度重視信息安全保護工作。經黨中央和國務院批準，國家信息化領導小組決定加強信息安全保障工作，實行信息安全等級保護，重點保護基礎信息網絡和重要信息系統安全，要抓緊安全等級保護制度建設。這一重大決定，明確落實了《中華人民共和國計算機信息系統安全保護條例》中關于實行信息安全等級保護制度的有關規定，提出了從整體上根本上解決國家信息安全問題的辦法,進一步確定了信息安全發展主線、中心任務,提出了總要求。對信息系統實行等級保護是國家法定制度和基本國策，是開展信息安全保護工作的有效辦法，是信息安全保護工作的發展方向。實行信息安全等級保護的決定具有重大的現實和戰略意義。

國家實行信息安全等級保護制度，有利于建立長效機制，保證安全保護工作穩固、持久地進行下去；有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協調；有利于突出重點，加強對涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統的安全保護和管理監督；有利于明確國家、企業、個人的安全責任，強化政府監管職能，共同落實各項安全建設和安全管理措施；有利于提高安全保護的科學性、針對性，推動網絡安全服務機制的建立和完善；有利于采取系統、規范、經濟有效、科學的管理和技術保障措施，提高整體安全保護水平，保障信息系統安全正常運行，保障信息安全，進而保障各行業、部門和單位的職能與業務安全、高速、高效地運轉。有利于信息安全保護科學技術和產業化發展。

二、等級保護是什么？

1. 等級保護概念：對涉及國計民生的基礎信息網絡和重要信息系統按其重要程度及實際安全需求，合理投入，分級進行保護，分類指導，分階段實施，保障信息系統安全正常運行和信息安全，提高信息安全綜合防護能力，保障國家安全，維護社會秩序和穩定，保障并促進信息化建設健康發展，拉動信息安全和基礎信息科學技術發展與產業化，進而牽動經濟發展，提高綜合國力。

國家實行信息系統安全等級保護的型式：國家意志、政府行為、科研單位、企業、社會廣泛參與。國家意志：國家必須有統一的信息系統安全保護的法律規范、技術規范。政府行為：在國家信息化領導小組的統一領導，在國務院信息化工作辦公室的統一組織、協調下，各級政府及其內部各部門應當對其信息系統安全建設與管理負責，開展信息系統安全等級保護工作。首先，各級政府在信息化建設過程中，應該按照等級保護政策法規規定、管理與技術規范，組織進行信息系統安全等級保護建設、管理。其次，信息安全保護職能部門要當嚴格依法行政，履行職責，做好安全等級保護工作。法律、法規和標準確定之后，政府信息安全保護職能部門的監督管理是推進和保障信息安全保護的關鍵。如果沒有有效貫徹推進措施，再好的法律和標準也發揮不了其應有的效力。第三，信息系統安全涉及到社會的方方面面，有關科研機構和企業應積極開發市場所需等級保護安全技術和產品。全社會要提高信息安全保護意識，職業道德，自覺遵守有關法律、法規，創造和維護良好的信息安全保護社會環境。

信息安全等級保護要貫徹突出重點（國家保護重點和基礎信息網絡與重要信息系統內分區重點）、兼顧一般的原則。等級保護制度要求落實各級安全責任。國家重點保護下列基礎信息網絡和重要信息系統：

(1) 國家事務處理信息系統（黨政機關辦公系統）；

(2) 金融、稅務、工商、海關、能源、交通運輸、社會保障、教育等基礎設施的信息系統；

(3) 國防工業、國家科研等單位的信息系統；

(4) 公用通信、廣播電視傳輸等基礎信息網絡中的計算機信息系統；

(5) 互聯網網絡管理中心、關鍵節點、重要網站以及重要應用系統；

(6)其他領域的重要信息系統。

2. 為什么要實行等級保護？網絡信息系統與現實社會的組織體系構成是對應的。信息系統是應社會發展、社會生活和工作的需要而設計、建立的，是社會構成、行政組織體系的反映。這種體系是分層次和級別的，這種組織體系中的各種信息系統具有重要的社會和經濟價值，不同的系統具有不同的價值。系統基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統重要程度的區別等就是級別的客觀體現。信息安全保護必須符合客觀存在和發展規律。信息安全保護分級、分區域、分類、分階段是做好國家信息安全保護必須遵循的客觀規律。

3. 實行等級保護制度目的: 是統一信息安全保護工作，推進規范化、法制化建設，保障安全，促進發展。

三、等級保護做什么？

1. 信息系統安全等級保護監管級別劃分為:

第一級 :自主性保護 ；第二級 :指導性保護；第三級 :監督性保護 ；第四級 :強制性保護 ；第五級 :?？匦员Ｗo 。政府信息安全保護職能部門應當逐級加大安全保護力度。系統主管部門也應按級加強自管、自查、自評力度。

2. 國家已發布實施《計算機信息系統安全保護等級劃分準則》GB17859-1999。這是一部強制性國家標準，是技術法規。它從功能上對信息系統的安全等級劃分為五個級別的安全保護能力：第一級：用戶自主保護級 ；第二級：系統審計保護級 ；第三級：安全標記保護級 ；第四級：結構化保護級 ；第五級：訪問驗證保護級。 安全保護能力從第一級到第五級逐級增強。以此為基礎，有關部門已經研究提出了信息安全等級保護管理與技術標準體系，正在開展等級保護標準體系的建設，目前已發布了一些重要標準，并完成該標準體系的實施指南。各部門、各單位應當依照等級保護實施指南及相關標準，根據實際安全需求，按照等級的確定原則、要求和方法，確定本部門所屬信息系統的安全保護等級，制定各自的安全等級保護解決方案，組織對現有信息系統進行加固改造，逐步開展新建系統的安全等級保護工作。