沈昌祥演讲:信息安全的等级保护(1)

　　各位领导、各位专家、同志们，早上好！今天有机会跟大家交换一下关于信息安全等级保护的一些敏感的问题，我称之为焦点。去年中办发2003年27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》，不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。要重点保护基础信息网络和关系信息安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。

　　今年1月份在全国信息安全保障工作会议上，黄菊同志又一次强调了实现信息安全等级保护是当务之急，当务之急方面有几个工作要做，其中一个很重要的方面，坚持从实际出发，保障重点的原则，综合平衡建设成本和安全风险，区别不同情况，分级、分类、分阶段进行信息安全建设和管理。

　　我个人考虑为有效推行信息安全等级保护，要把握以下几点焦点问题：

　　一、等级保护是国家信息安全保障体系中的一项基础性、制度性工作；

　　二、分级分类是等级保护中的关键；如果分级分类不科学，就不可能采取适度安全的保障措施，也有可能是盲目地浪费资源，也有可能达不到目的。

　　三、等级保护是贯穿于信息安全保障各环节工作的大过程，而不是一个具体的措施。

　　等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性的管理制度，是一项基础性和制度性的工作。