我國信息安全等級保護法律框架及其完善

我國信息安全等級保護基本法律框架

1994年，國務院頒布的《信息安全保護條例》首次提出對計算機信息系統實行等級保護，并授權公安部會同有關部門制定等級劃分標準和管理辦法。2003年，中共中央辦公廳、國務院辦公廳轉發了《國務院信息化領導小組關于加強信息安全保障的意見》，再次強調對信息安全進行等級保護。 2004年公安部聯合國家保密局、密碼局、保密委員會和國務院信息化領導辦公室發布《關于信息安全等級保護工作的實施意見》，對信息安全等級保護的基本制度框架進行了規劃。2006年上述四部門發布《信息安全等級保護管理辦法（試行）》，開始具體構建信息安全等級保護制度，該辦法在試行一年后于2007年6月正式發布實施。以上法律文件從信息安全等級保護的提出到其具體制度的制定，構筑了我國信息安全等級保護的基本法律框架。

(一)等級的劃分

國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級根據信息系統在國家安全、經濟建設、社會生活中的重要程度；信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素劃分為五級：

第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。

信息系統運營、使用單位根據等級劃分，按照相關技術標準對信息系統進行保護，國家有關信息安全監管部門對三級以上信息系統的等級保護工作進行監督管理。

(二) 等級保護工作的職責分工

在開展等級保護工作中，涉及到的部門分工各不相同：

公安機關負責信息安全等級保護工作的監督、檢查、指導；國家保密工作部門負責等級保護工作中有關保密工作的監督檢查、指導；國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導；涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規的規定進行管理；國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。而信息系統主管部門應當組織并實施所管轄的信息系統的信息安全等級保護工作，督促、檢查、指導其主管的信息系統運營使用單位依照國家信息安全等級保護管理規范和技術標準，落實安全責任。

(三)等級保護的實施

等級保護的實施流程包括六項內容：

一是自主定級與審批。信息系統運營使用單位按照等級保護管理辦法和《信息系統安全等級保護定級指南》，確定信息系統的安全保護等級。有上級主管部門的，應當經上級主管部門審核批準。跨省或全國統一聯網運行的信息系統可以由其主管部門統一確定安全保護等級。

二是評審。在信息系統確定安全保護等級過程中，可以進行必要的業務和技術評估，組織專家進行咨詢評審。對擬確定為第四級以上信息系統的，運營、使用單位或者主管部門應當邀請國家信息安全保護等級專家評審委員會評審。

三是系統建設。信息系統的安全保護等級確定后，運營使用單位應當按照國家信息安全等級保護管理規范和劃分準則、基本要求、操作系統、數據庫、網絡、服務器、終端等技術要求，使用符合本系統安全保護等級要求的信息安全產品，同步建設符合本系統安全保護等級要求的信息安全設施。運營使用單位應當按照安全管理要求、安全工程管理要求等管理規范，建立安全組織，制定并落實符合本系統安全保護等級要求的安全管理制度。

四是等級測評。信息系統建設完成后，運營使用單位應當選擇符合本系統安全保護等級要求的檢測機構，依據《信息系統安全等級保護測評要求》等技術標準對信息系統安全等級狀況開展技術測評。第三級以上信息系統運營使用單位應當按照等級保護管理辦法要求選擇測評機構開展等級測評。

五是備案。第二級以上信息系統由其運營使用單位到所在地設區的市級以上公安機關辦理備案手續。隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統，應當向當地設區的市級以上公安機關備案。

六是監督檢查。公安機關依據信息安全等級保護管理規范，定期對第三級以上的信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導，如實向公安機關提供有關信息安全保護的情況資料。

(四)法律責任

第三級以上信息系統運營、使用單位違反《信息安全等級保護管理辦法》，有未按規定備案、審批，未按規定落實安全管理制度、措施，或者未按規定開展系統安全狀況檢查、系統安全技術測評，以及接到整改通知后拒不整改等行為之一的，由公安機關、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報情況，建議對其直接負責的主管人員和其他直接責任人員予以處理，并及時反饋處理結果。

信息安全監管部門及其工作人員在履行監督管理職責中，玩忽職守、濫用職權、徇私舞弊的，依法給予行政處分；構成犯罪的，依法追究刑事責任。

我國信息安全等級保護立法存在的問題

盡管我國出臺了一系列信息安全等級保護的相關政策和法規，構筑了我國信息安全等級保護的基本法律框架，但是，我國的信息安全等級保護立法總體來說還處于起步階段，存在著很多問題:

(一)立法層次偏低

實際上，我國整個信息安全立法的層級都偏低，信息安全立法主要以行政法規形式存在，而具體到等級保護方面的立法更是主要以部門規章的形式存在，還沒有一部高位階、統領性的信息安全基本法律，因而難以形成科學、合理、專業、有序的法律體系。這與信息安全在國家安全中的戰略地位，與等級保護在信息安全中的基本地位是不相符合的。由于信息安全等級保護制度立法層次低，主要以部門規章出現，囿于部門職權和利益，其制度設計往往存在天然的局限性，缺乏全局的統籌和制度設計。

而且，我國在信息安全等級保護立法乃至整個信息安全立法中都存在重政策輕法律的問題，習慣于采用規范性文件或者領導批示的方式，布置任務或者貫徹落實文件精神，忽視了法律在預防和處理信息安全問題上應當發揮的作用和效能。由于規范性文件、政策性文件因缺乏支配性、強制執行力，往往不能得到有效執行，因而不能轉化為現實的有力地調整和指引工具。

(二)未能融入風險管理的理念

進入網絡時代以后，安全威脅不斷增加，所需的安全成本和資源也成倍增長，在當今復雜的、分布的、異構的信息系統環境下，無論采取多么完善的信息安全手段都難以達到絕對的安全，風險總會存在，因而很難采取風險消除的方法實現安全性，適宜的方法是將基于風險的安全理念引入到保障信息系統信息安全的過程中，對整個信息系統進行風險管理。在信息安全等級保護中乃至整個信息安全保障工作中融入風險管理的理念已經是信息安全保障工作的主流范式。如美國標準與技術研究院在《聯邦信息安全管理法》的要求下制定的美國信息安全認證認可的標準框架即充分體現了風險管理的理念，這個框架貫徹了《聯邦信息安全管理法》的要求，明確提出落實認證認可工作，要以風險管理的思想貫徹于其信息系統的生存周期。

但是令人遺憾的是，我國現行的信息安全等級保護法律框架并沒有將風險管理的理念融入其中，而是將信息安全等級保護與作為風險管理代表的信息安全風險評估制度并行分別試點推進。目前，信息安全風險評估還只停留在政策推行階段。這就造成了等級保護與風險管理或者更具體一點與風險評估的割裂，一方面使信息安全保障工作重復建設，更重要的另一方面是這種割裂導致了信息安全保障工作的不科學，致信息安全于危險的境地。

(三)立法內容不全面

雖然現行的行政法規和部門規章已經為信息安全等級保護構筑了一個基本的法律框架，但是，其立法內容還是很不全面的，還有許多重要的內容有待進一步立法明確，比如信息安全等級測評制度。

信息安全等級測評在整個信息安全等級保護中占有重要地位，它不僅是確定系統是否符合預定安全要求的重要依據，還是發現并彌補信息安全漏洞的過程。那么等級測評機構如何組成？如何管理？測評結果的效力如何？測評機構應當承當什么責任？現行法律框架沒有給出明確的規定。

(四)法律責任體系不完善

現行法律框架并沒有為推進信息安全等級保護提供強有力的法律責任保障，對于違法行為除了警告或者建議其主管上級處理外別無他法，這樣的法律責任體系顯然很不完善。第一，從法律責任性質上來講，缺乏民事責任的規定。信息系統運營、使用人不履行等級保護之法定義務，會將信息系統置于危險狀態，信息系統一旦受到破壞，會損害與之相關的他人權益。因此，信息系統運營、使用人承擔著對該系統相關人的安全保障義務，其不履行或者不完全履行等級保護義務給他人造成損害的，應當承擔民事賠償責任。第二，行政責任單一、軟弱，不能起到對于違法行為的懲治和對可能違法的震懾，不能起到預防違法的作用。根據《信息安全等級保護管理辦法》，對于違法行為只能責令其限期改正，逾期不改正的，給予警告，并其上級主管部門通報情況，建議對其直接負責的主管人員和其他直接責任人員予以處理，并及時反饋處理結果。可以說，幾乎沒有什么強制性的處罰措施，在實際執行中顯然要大打折扣。

我國信息安全等級保護制度的完善

完善我國的信息安全等級保護制度，既要立足于信息安全保障的基本規律，充分考慮我國信息網絡發展的特殊性，又要吸收和借鑒各國的立法經驗，筆者認為，我國的信息安全等級保護制度可以從以下幾個方面進行完善：

(一)加強以等級保護為主要內容之一的信息安全基本法立法工作

制定一部高效力層次的信息安全基本法，有助于科學、合理、專業、有序的信息安全法體系的構建，也有助于推動信息化戰略的實施。在信息安全基本法之下，可以克服現行等級保護以部門規章為主體的局限性，可以在更廣范圍內更科學地分配各部門職責，比如國家標準部門對于信息安全等級保護標準的制定和發展等。制定等級保護制度的完善。同時，高位階的信息安全基本法可以創設更多法律責任制度，更有利于形成完善的法律責任體系，確保信息安全等級保護制度的強制力和執行力。

(二)引入風險評估機制

信息安全等級保護必須樹立風險管理的思想，而風險評估是風險管理的基礎，因此，筆者認為，三級以上信息系統必須定期進行信息安全風險評估。風險評估貫穿于等級保護周期的系統定級、安全實施和安全運維三個階段：

1.系統定級。由于信息系統具有自身的行業和業務特點，且所受到的安全威脅均有所不同，因此，可以依據信息安全風險評估國家標準對所評估資產的重要性、客觀威脅發生的頻率、以及系統自身脆弱性的嚴重程度進行識別和關聯分析，判斷信息系統應采取什么強度的安全措施，然后將安全事件一旦發生后可能造成的影響控制在可接受的范圍內。即將風險評估的結果作為確定信息系統安全措施的保護級別的一個參考依據。

2.安全實施。安全實施是根據信息安全等級保護國家標準的要求，從管理與技術兩個方面選擇不同強度的安全措施，來確保建設的安全措施滿足相應的等級要求。風險評估在安全實施階段就可以直接發揮作用，那就是對現有系統進行評估和加固，然后再進行安全設備部署等。在安全實施過程中也會發生事件并可能帶來長期的安全隱患，如安全集成過程中設置的超級用戶和口令沒有完全移交給用戶、防火墻部署后長時間保持透明策略等都會帶來嚴重的問題，風險評估能夠及早發現并解決這些問題。

3.安全運維。安全運維是指按照系統等級進行安全實施后開展運行維護的安全工作。安全運維包括兩方面：一是維護現有安全措施等級的有效性。可依據國家有關等級劃分準則對信息系統所采取的安全措施是否滿足要求進行檢驗，以保證所采取的安全措施的強度持續有效；二是根據客觀情況的變化以及系統內部建設的實際需要，等級要進行定期調整，以防止過度保護或保護不足。再定級的過程可參見系統定級部分的內容。

(三)建立健全等級測評法律機制

可以考慮從以下幾個方面對信息安全等級測評機制進行完善:

1.等級測評的啟動機制。等級測評可由信息系統運營、使用、主管和監督單位啟動。

2.等級測評機構和測評人準入制度。等級測評是一項專業性和專職性很輕的工作，并且需要測評機構和測評人具有很高的職業操守，因此，必須設定一定的門檻，實行準入制度。測評人應當進行專業資格考試和考核，以確定其具備相應的專業素質和職業操守，有故意泄露工作秘密或者有犯罪記錄的人員不能取得測評人資格。測評機構必須擁有專業化的測評團隊、良好的測評手段，具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度，具有一定規模才能取得主體資格。

3.等級測評機構和測評人法律責任制度。被測評單位應該和測評機構就測評工作簽訂測評合同，測評機構應當對自身的測評行為負責，對違反法律規定的行為不僅要對被測評單位承擔合同責任，而且要承擔行政責任，接受行政管理機關對于其違法行為的處罰。對測評人的法律責任主要是行政責任和刑事責任。行政責任是指測評人違反法律法規，發生舞弊或過失行為并給有關方面造成經濟等損失后，由政府部門或自律性組織對其追究的具有行政性質的責任，比如剝奪測評人資格等。一般來說，由于測評人在等級測評中是履行職務的行為，所以即使測評人由于過失或欺詐行為而使被測評單位受損，也應當由測評機構對外承擔民事責任。

(四)完善等級保護法律責任體系

筆者認為，可以為信息系統的使用、運營單位創設一定的民事責任從而迫使其積極履行信息安全等級保護義務。可以規定，若信息系統的使用、運營單位對信息系統相關人依約或者依法承擔有安全保障義務，則使用、運營單位不履行等級保護義務即為其未履行對相關人安全保障義務的明證，應當為相關人因此的損失承擔民事責任。

另外，在行政責任方面，可以對違反信息安全等級保護相關法律規定的信息系統運營、使用單位給予罰款等行政處罰，促使其履行義務。

(作者系華中科技大學博士研究生)