目前,我国各信息安全主管部门对信息安全监管工作要求主要包括如下几方面:
《中华人民共和国网络安全法》
《中华人民共和国网络安全法》第二条规定“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。”第八条明确规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”网络安全法中对网络安全的监督管理进行了明确。
信息安全等级保护工作
2007 年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等四部委联合出台了《信息安全等级保护管理办法》(公通字[2007]43 号),该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上,由四部委共同会签印发的重要管理规范,主要内容包括信息安全等级保护制度的基本内容、流程及工作要求,信息系统定级、备案、安全建设整改、等级测评的实施与管理,信息安全产品和测评机构选择等,为开展信息安全等级保护工作提供了规范保障。后公安部又分别下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)、《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429 号)、《关于推动信息安全等保测评体系建设和开展等级测评工作的通知》(公信安[2010]303 号)等相关文件在重要的行业和政府部门推动信息安全等保工作。
信息安全认证认可
信息安全认证认可工作是确保网络安全的基础性制度安排,是国家信息安全保障体系的重要组成部分。加快信息安全认证的应用及推广,对于引导信息技术产业发展、推动转型升级具有现实的必要性和紧迫性。
2004 年10 月,国家认监委、公安部、信息产业部、国家质检总局、国务院信息化工作办公室等八个部委联合发布《关于建立国家信息安全产品认证认可体系的通知》(国认证联[2004]57号),提出建立既符合国家利益的需要又遵循国际通行规则的统一的国家信息安全产品认证认可体系,国家对信息安全产品实施统一认证,信息安全认证认可工作在国家认监委的统一管理、监督和综合协调下,由政府相关部门和各有关方面共同实施,提出设立专门从事信息安全产品认证的认证机构,以彻底解决重复检测和一个产品多张证书等问题。
2010 年4 月,财政部、工业和信息化部、质检总局、认监委联合发布《关于信息安全产品实施政府采购的通知》(财库〔2010〕48 号)中指出,“在政府采购活动中,采购人或其委托的采购代理机构按照政府采购法的规定,在政府采购招标文件( 包括谈判文件、询价文件)中应当载明对产品获得信息安全认证的要求,并要求产品供应商提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书。”
经过10 余年的建设和发展,我国已经建立了覆盖产品、服务、管理体系、人员等门类的较为完善的信息安全认证认可体系。通过认证认可传递信任,已成为社会各行业采信信息安全认证结果的普遍共识。
信息安全通报工作
国家网络和信息安全信息通报中心于2003 年10 月筹建, 2004 年8 月经中编办正式批准成立。自组建以来,在国家网络与信息安全协调小组办公室和公安部的领导下,通报中心全力做好重要敏感期、重大政治活动和重大网络安全事件的信息通报工作,目前,信息通报机制成员单位发展到48 个成员单位、50 家中央企业。从2005 年起,通报中心陆续向多家企业发放“国家网络与信息安全信息通报中心组织中心技术支持单位”牌照。2013 年,国家网络与信息安全信息通报专家组成立。国家网络与信息安全通报中心印发的《关于印发< 网络与信息安全信息通报暂行办法> 的通知》(信安通[2003]10 号)中第五条要求“各成员单位和主管部门应及时掌握本网络和信息系统出现的安全事故苗头和发生的安全事故,进行汇总、分析、研判工作,并及时将汇总、分析、研判结果向通报中心通报。各成员单位和主管部门内部应建立网络与信息安全信息通报制度。”第七条要求“应充分利用现有资源建立各成员单位和主管部门间的信息通报网络系统和技术平台,保证信息通报和联络渠道畅通。”
信息安全检查工作
2009 年3 月,国务院办公厅印发了《国务院办公厅关于印发< 政府信息系统安全检查办法> 的通知》(国办发[2009]28 号)(以下简称《检查办法》),要求“各级政府及其部门对自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、业务系统、网站系统等,定期进行全面的安全检查。通过检查,及时掌握本部门本单位信息安全状况,发现存在的主要问题和薄弱环节并整改,持续改进信息安全技术措施,健全信息安全管理制度,提高信息安全防护能力,确保政府信息系统安全稳定运行。”《通知》还要求“各部委每年都要组织开展信息安全检查工作,并将检查结果报送国家网络与信息安全协调小组办公室。
信息安全应急工作
2002 年9 月,为更好的应对信息安全应急工作,成立了国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT 或CNCERT/CC)。作为国家级应急中心,CNCERT 的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行。CNCERT 在中国大陆31 个省、自治区、直辖市设有分支机构。目前,CNCERT 作为我国网络安全应急体系的核心协调机构,通过组织网络安全企业、学校、民间团体和研究机构,协调骨干网络运营单位、域名服务机构和其他应急组织等,构建我国互联网安全应急体系,共同处理各类互联网重大网络安全事件。
2017 年1 月,中央网信办下发关于印发《国家网络安全事件应急预案》的通知(中网办发文[2017]4 号),主要用于建立健全国家网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序,对推动我国信息安全应急工作有着较为深远的意义。
通过上述网络安全法中规定的信息安全监管、信息安全等级保护工作、信息安全认证认可、信息安全通报工作、信息安全检查工作和信息安全应急工作,将推动我国的信息安全监管工作向纵深发展,以成体系的工作内容推动信息安全监管工作稳步发展。
