世界上没有百分之百的安全。怎样才能采取性能价格比较好的措施,既保护关键财产,又降低投资成本呢?如何界定信息安全的综合成本?如何评估信息安全风险?如何使二者达到平衡?这些困扰了用户多年的问题,在公安部、信息产业部等部委近10年的努力后,实施信息安全等级保护制度再次成为信息化用户和产业界共同关注的焦点。
中国的信息安全等级保护的源头最早可以追溯到1994年国务院发布的147号令,规定计算机信息系统必须实行等级保护。等级的管理办法和等级的划分标准,由公安部门和有关部门制定。1998年,公安部制定了等级保护制度建设的纲要,对等级标准划分作了一个基本规划。2003年9月发布的27号文,是国家信息安全建设方面重要的指导文件,其中明确提出了“积极防御、综合防范”的安全方针,2004年11月发布的66号文,明确提出了“等级保护是今后我们国家信息安全基本政策和根本方法。”
根据“定级——管理要求——建设方案”三步走的原则,形成等级化安全体系,可以满足大系统的复杂要求。依据信息系统的使命与目标和系统重要程度,将系统划分为不同的安全等级,并综合平衡考虑系统安全要求、系统所面临安全风险和实施安全保护措施的成本,进行安全措施的调整和定制,形成不同等级的安全措施进行保护。(钟晓军)