国内信息安全政策、标准探讨1

天下第二

好久没来了，今天近来看看，发现人气不足啊。发个帖子加点人气吧。\r\n\r\n这大半年一直跟政府和涉密单位，研究了一段时间觉得对这个领域有了一些收获，同时也有很多的迷茫。写出来抛砖引玉，希望大家能一起探讨一下。\r\n\r\n这个文章我是现想现写，没有完整的思路和成熟的思考，因此可能会有顺序上的混乱，希望大家不要介意。\r\n\r\n在接触政府行业以前，对国家层面的信息安全政策一点都不了解。后来才发现其实这里很深。\r\n首先，从大家都比较熟悉的几个政策和标准说起吧。\r\n国家层面专门为信息安全制定的政策，首推03年发布的27号文。也就是中办《国家信息化领导小组关于加强信息安全保障工作的意见》。（别问我谁是中办）这个文件最大的意义是提出了“我国信息安全保障工作实行等级保护制度”,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。也就是说，这是个指导文件，告诉我们国家今后准备怎么做。（而没有说具体怎么做）\r\n随后，04年公安部、中办、国办等四部委联合下发了《关于信息安全等级保护工作的实施意见》进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。文件提出了三年规划。（需要注意的是，还是没说具体怎么做）\r\n05年，27号文中强调的制定技术指南这件事情有了突破！制定了《电子政务等级保护实施指南》。（中国做点事情不容易啊，2年才出一个指南）这个25号文比较详细的说明了现在大家都知道的电子政务个等级都是怎么划分的。也说了每个等级大概都要达到什么样的安全目标。需要注意的是，等级划分的依据是国家安全层面，所以其中的四、五两级级别太高了，以至于只有在国家相关单位的指导下才能做。（也就是咱们这些公司都不能做）这也是这两年来作试点的几家单位都把自己的网络自定级为最高三级的原因。（你要是定了四级，自己就不能做了，国家相关单位也不给你做，因为还没具体政策和标准）\r\n05年还有一个大动作就是开展了电子政务试点工作。这个试点实际上分为两个部分，一部分是在公安部指导下作的，另一个部分是国办作的。具体哪些地方做了，我就不多说了。全国有十几个省市的部分业务网都作了试点。\r\n06年《信息安全等级保护管理办法》也就使7号文发布。这个文件中有很多以前扯不清的东西得到了明确。比如第六条规定“公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。”这就把几个指导部门的责权利都分清了。还有一点很重要的是，把等级化保护和涉密网的等级划分也作了结合。具体可以看第三章部分。\r\n\r\n好了，今天就胡写到这儿。写着写着，发现前面很多文件的内容都没写完，没写透。大家看了给提提意见，哪儿想多了解的，跟贴吧\r\n不同意见欢迎发问！