從維護國家安全、社會秩序和公共利益的戰(zhàn)略高度來看，做好信息系統(tǒng)安全等級保護越來越重要，其制度的落實和實施不能虛有其表。

分級保護意義重大

當(dāng)前信息系統(tǒng)安全保護等級的劃分共分為五級，分別為自主保護級、指導(dǎo)保護級、監(jiān)督保護級、強制保護級以及專控保護級。

實施信息安全等級保護意義重大，不僅有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)協(xié)調(diào)發(fā)展，而且為信息系統(tǒng)安全建設(shè)和管理提供了系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)，有效控制了信息安全建設(shè)成本。同時，信息安全等級保護對信息安全資源的配置進行了優(yōu)化，重點保障了關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全。需要重點提到的是，信息安全等級保護明確了國家、法人和其他組織、公民的信息安全責(zé)任，進一步加強了信息安全管理。

安全保障尚存問題

近幾年，針對我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升，同時敵對勢力的入侵、攻擊和破壞也時有發(fā)生。這類違法犯罪事件主要包括：

1.病毒侵襲

信息化應(yīng)用在社會生產(chǎn)中的作用日益凸顯，與之相對應(yīng)的，針對于此的攻擊也越來越多，并越來越具有破壞性。舉例來說，2010年7月，震網(wǎng)病毒開始在中國、印度、俄羅斯等多個國家爆發(fā)，其也是世界上首個以直接破壞工業(yè)基礎(chǔ)設(shè)施為目標(biāo)的蠕蟲病毒，被稱為網(wǎng)絡(luò)“超級武器”。據(jù)統(tǒng)計，當(dāng)時全球約4.5萬個網(wǎng)絡(luò)被該病毒感染。

2.系統(tǒng)漏洞

我國工控市場過度開放，國外產(chǎn)品占據(jù)大部分市場，如PLC(可編程邏輯控制器)國內(nèi)產(chǎn)品的市場占有率不到1%，衛(wèi)星導(dǎo)航芯片95%依賴進口。在現(xiàn)有的自動化系統(tǒng)中，國外產(chǎn)品在核心自動化控制部分仍占很大比例。而國外工業(yè)控制芯片和工業(yè)控制系統(tǒng)產(chǎn)品，在設(shè)計和配置上都可能存在漏洞，這些漏洞有可能為敵對勢力所利用，一旦得逞，所造成的后果難以估量。

3.黑客攻擊

在利益鏈條的驅(qū)動下，近年來，黑客入侵、后門植入等攻擊事件頻繁發(fā)生。2012年1月，Putty等服務(wù)器遠程管理工具的漢化中文版被曝出存在后門，其可以將服務(wù)器的IP地址、root密碼、連接端口等信息發(fā)送給攻擊者，攻擊者可通過后門對服務(wù)器承載的重要數(shù)據(jù)進行拷貝、添加、刪除等操作。

4.外包隱患

2011年，某單位信息中心數(shù)據(jù)備份系統(tǒng)服務(wù)外包，磁盤陣列中使用的一塊磁盤丟失。安全專家進行安全事件后果分析，認為不排除重要信息被泄露的可能。

近幾年來，我國高度重視信息系統(tǒng)的風(fēng)險防范，通過多種措施的制定和實施，信息安全保障工作取得了很大進展，但是從總體上看還存在一些問題。首先，信息安全工作不被重視，重要信息系統(tǒng)未落實關(guān)鍵安全保護技術(shù)措施;其次，信息安全管理制度體系不完善，信息安全責(zé)任制落實不到位，重要信息系統(tǒng)保護不得力;第三、缺少應(yīng)有的崗位設(shè)置，人員和資金投入不足;最后，我國信息技術(shù)產(chǎn)品與國外還存在一定差距，安全專業(yè)化服務(wù)力量薄弱。

謹(jǐn)防測評風(fēng)險

隨著我國國民經(jīng)濟和社會信息化進程的全面加快，信息系統(tǒng)的基礎(chǔ)性、全局性作用日益顯現(xiàn)，保障信息安全已成為當(dāng)前信息化發(fā)展中迫切需要解決的重大問題，信息系統(tǒng)安全等級保護的落實和實施勢在必行。

信息系統(tǒng)安全等級保護的核心，是對信息系統(tǒng)分等級和按標(biāo)準(zhǔn)進行建設(shè)、管理和監(jiān)督。要突出重點、分級負責(zé)、分類指導(dǎo)、分步實施，按照誰主管誰負責(zé)、誰運營誰負責(zé)、誰使用誰負責(zé)的要求，有效落實等級保護責(zé)任和措施。

1.科學(xué)定級，嚴(yán)格備案。信息系統(tǒng)的運營、使用單位必須按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，確定其信息系統(tǒng)的安全保護等級。對重要信息系統(tǒng)，其運營、使用單位及其主管部門應(yīng)通過專家委員會的安全評審。安全保護等級在二級以上的信息系統(tǒng)，以及跨地域的信息系統(tǒng)應(yīng)按要求向管轄公安機關(guān)備案。

2.建設(shè)整改，落實措施。對已有的信息系統(tǒng)，其運營、使用單位要根據(jù)已經(jīng)確定的信息安全保護等級，按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，采購和使用相應(yīng)等級的信息安全產(chǎn)品，落實安全技術(shù)措施，完成系統(tǒng)整改。對新建、改建、擴建的信息系統(tǒng)，應(yīng)當(dāng)按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行信息系統(tǒng)的規(guī)劃設(shè)計、建設(shè)施工。

3.自查自糾，落實要求。信息系統(tǒng)的運營、使用單位及其主管部門要按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對已經(jīng)完成安全等級保護建設(shè)的信息系統(tǒng)，定期進行安全狀況檢測評估，及時消除安全隱患和漏洞，發(fā)現(xiàn)問題及時整改，不斷加強信息安全等級保護能力。

4.監(jiān)督檢查，完善保護。公安機關(guān)要按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重點對三級及以上安全等級的信息系統(tǒng)進行監(jiān)督檢查。發(fā)現(xiàn)安全保護不符合管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，要通知相關(guān)部門限期整改，確保信息安全等級保護的完善實施。

在實施過程中，信息系統(tǒng)的運營、使用單位要謹(jǐn)防測評風(fēng)險。尤其是金融系統(tǒng)要加強風(fēng)險管控，嚴(yán)防測評過程中突發(fā)事故和泄密事件的發(fā)生。各級金融企業(yè)、單位要按照中國人民銀行發(fā)布的有關(guān)標(biāo)準(zhǔn)要求，嚴(yán)格選擇符合資質(zhì)的測評機構(gòu)和測評人員，同時要加強等級測評的資源管理和過程管理，做好測評設(shè)備和過程的隔離和封閉，確保測評過程在安全可控的前提下規(guī)范化實施。對等級測評中發(fā)現(xiàn)的問題，要及時采取防范措施加以防控或緩釋，并進一步制定和落實相應(yīng)的整改方案，使信息系統(tǒng)的安全等級保護得以有效落實。