关于银行信息安全等级保护建设的几点思考

近年来，随着我行信息化建设的不断推进和深入，上线的系统越来越多，**行业务对信息科技的依赖显著增强，目前已经无法想象如果没有信息系统的支持，**行的业务如何运行。随之而来带给信息科技部门的问题是如何建设一套高效、安全的信息系统支持和引领业务的发展，同时如何通过加强信息安全的建设保证信息系统的安全平稳运行。在**行信息化建设从信息技术向信息科技转变的时刻，以国家和相关主管部门对信息安全等级保护建设的要求和规范为主要依据，思考如何通过落实信息安全等级保护管理制度，按阶段、分级别提高我行信息安全保障能力和水平，促进信息化建设的健康发展。

一、什么是信息安全等级保护

要落实信息安全等级保护管理制度，首先要了解信息安全等级保护是什么及其推进历程，国家相关主管部门对信息安全等级保护的相关要求。

（一）信息安全等级保护的概念。

从概念上讲信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

（二）实施信息安全等级保护的作用。实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本；有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。

（三）信息安全等级保护的推进历程和要求。

1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。2003年，中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发„2003‟27号），其明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年9月，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》，对信息安全等级保护的基本制度框架进行了规划，明确了信息安全等级保护的重要意义、原则、基本内容、职责分工、实施计划。2006年1月，四部委又下发了《信息安全等级保护管理办法（试行）》，开始具体搭建信息安全等级保护制度，该办法试行一年后于2007年6月正式发布实施，与之配套的相关国家技术标准也在逐步建立和完善。从2007年下半年开始，公安部开始组织全国各行业、各单位开展了信息系统的定级和备案工作，并推进系统的等级测评和整改。