等级保护技术下信息安全论文

（记者陈芳丹）今年是等级保护工作全面开展的第一年，作为一项基本制度，等级保护工作无疑将在我国未来信息安全保障工作中占据格外重要的地位。今天小编给大家找来了《等级保护技术下信息安全论文 (精选3篇)》相关资料，欢迎阅读！

等级保护技术下信息安全论文 篇1：

我国信息安全等级保护法律框架及其完善

我国信息安全等级保护基本法律框架

1994年，国务院颁布的《信息安全保护条例》首次提出对计算机信息系统实行等级保护，并授权公安部会同有关部门制定等级划分标准和管理办法。2003年，中共中央办公厅、国务院办公厅转发了《国务院信息化领导小组关于加强信息安全保障的意见》，再次强调对信息安全进行等级保护。 2004年公安部联合国家保密局、密码局、保密委员会和国务院信息化领导办公室发布《关于信息安全等级保护工作的实施意见》，对信息安全等级保护的基本制度框架进行了规划。2006年上述四部门发布《信息安全等级保护管理办法(试行)》，开始具体构建信息安全等级保护制度，该办法在试行一年后于2007年6月正式发布实施。以上法律文件从信息安全等级保护的提出到其具体制度的制定，构筑了我国信息安全等级保护的基本法律框架。

(一)等级的划分

国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度;信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素划分为五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统运营、使用单位根据等级划分，按照相关技术标准对信息系统进行保护，国家有关信息安全监管部门对三级以上信息系统的等级保护工作进行监督管理。

(二) 等级保护工作的职责分工

在开展等级保护工作中，涉及到的部门分工各不相同：

公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。而信息系统主管部门应当组织并实施所管辖的信息系统的信息安全等级保护工作，督促、检查、指导其主管的信息系统运营使用单位依照国家信息安全等级保护管理规范和技术标准，落实安全责任。

(三)等级保护的实施

等级保护的实施流程包括六项内容：

一是自主定级与审批。信息系统运营使用单位按照等级保护管理办法和《信息系统安全等级保护定级指南》，确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审核批准。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。

二是评审。在信息系统确定安全保护等级过程中，可以进行必要的业务和技术评估，组织专家进行咨询评审。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。

三是系统建设。信息系统的安全保护等级确定后，运营使用单位应当按照国家信息安全等级保护管理规范和划分准则、基本要求、操作系统、数据库、网络、服务器、终端等技术要求，使用符合本系统安全保护等级要求的信息安全产品，同步建设符合本系统安全保护等级要求的信息安全设施。运营使用单位应当按照安全管理要求、安全工程管理要求等管理规范，建立安全组织，制定并落实符合本系统安全保护等级要求的安全管理制度。

四是等级测评。信息系统建设完成后，运营使用单位应当选择符合本系统安全保护等级要求的检测机构，依据《信息系统安全等级保护测评要求》等技术标准对信息系统安全等级状况开展技术测评。第三级以上信息系统运营使用单位应当按照等级保护管理办法要求选择测评机构开展等级测评。

五是备案。第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

六是监督检查。公安机关依据信息安全等级保护管理规范，定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关信息安全保护的情况资料。

(四)法律责任

第三级以上信息系统运营、使用单位违反《信息安全等级保护管理办法》，有未按规定备案、审批，未按规定落实安全管理制度、措施，或者未按规定开展系统安全状况检查、系统安全技术测评，以及接到整改通知后拒不整改等行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果。

信息安全监管部门及其工作人员在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的，依法给予行政处分;构成犯罪的，依法追究刑事责任。

我国信息安全等级保护立法存在的问题

尽管我国出台了一系列信息安全等级保护的相关政策和法规，构筑了我国信息安全等级保护的基本法律框架，但是，我国的信息安全等级保护立法总体来说还处于起步阶段，存在着很多问题:

(一)立法层次偏低

实际上，我国整个信息安全立法的层级都偏低，信息安全立法主要以行政法规形式存在，而具体到等级保护方面的立法更是主要以部门规章的形式存在,还没有一部高位阶、统领性的信息安全基本法律，因而难以形成科学、合理、专业、有序的法律体系。这与信息安全在国家安全中的战略地位，与等级保护在信息安全中的基本地位是不相符合的。由于信息安全等级保护制度立法层次低，主要以部门规章出现，囿于部门职权和利益，其制度设计往往存在天然的局限性，缺乏全局的统筹和制度设计。

而且，我国在信息安全等级保护立法乃至整个信息安全立法中都存在重政策轻法律的问题，习惯于采用规范性文件或者领导批示的方式，布置任务或者贯彻落实文件精神，忽视了法律在预防和处理信息安全问题上应当发挥的作用和效能。由于规范性文件、政策性文件因缺乏支配性、强制执行力，往往不能得到有效执行，因而不能转化为现实的有力地调整和指引工具。

(二)未能融入风险管理的理念

进入网络时代以后，安全威胁不断增加，所需的安全成本和资源也成倍增长,在当今复杂的、分布的、异构的信息系统环境下，无论采取多么完善的信息安全手段都难以达到绝对的安全，风险总会存在，因而很难采取风险消除的方法实现安全性，适宜的方法是将基于风险的安全理念引入到保障信息系统信息安全的过程中，对整个信息系统进行风险管理。在信息安全等级保护中乃至整个信息安全保障工作中融入风险管理的理念已经是信息安全保障工作的主流范式。如美国标准与技术研究院在《联邦信息安全管理法》的要求下制定的美国信息安全认证认可的标准框架即充分体现了风险管理的理念，这个框架贯彻了《联邦信息安全管理法》的要求，明确提出落实认证认可工作，要以风险管理的思想贯彻于其信息系统的生存周期。

但是令人遗憾的是，我国现行的信息安全等级保护法律框架并没有将风险管理的理念融入其中,而是将信息安全等级保护与作为风险管理代表的信息安全风险评估制度并行分别试点推进。目前，信息安全风险评估还只停留在政策推行阶段。这就造成了等级保护与风险管理或者更具体一点与风险评估的割裂,一方面使信息安全保障工作重复建设,更重要的另一方面是这种割裂导致了信息安全保障工作的不科学,致信息安全于危险的境地。

(三)立法内容不全面

虽然现行的行政法规和部门规章已经为信息安全等级保护构筑了一个基本的法律框架，但是，其立法内容还是很不全面的，还有许多重要的内容有待进一步立法明确，比如信息安全等级测评制度。

信息安全等级测评在整个信息安全等级保护中占有重要地位，它不仅是确定系统是否符合预定安全要求的重要依据，还是发现并弥补信息安全漏洞的过程。那么等级测评机构如何组成?如何管理?测评结果的效力如何?测评机构应当承当什么责任?现行法律框架没有给出明确的规定。

(四)法律责任体系不完善

现行法律框架并没有为推进信息安全等级保护提供强有力的法律责任保障，对于违法行为除了警告或者建议其主管上级处理外别无他法，这样的法律责任体系显然很不完善。第一，从法律责任性质上来讲，缺乏民事责任的规定。信息系统运营、使用人不履行等级保护之法定义务，会将信息系统置于危险状态，信息系统一旦受到破坏，会损害与之相关的他人权益。因此，信息系统运营、使用人承担着对该系统相关人的安全保障义务，其不履行或者不完全履行等级保护义务给他人造成损害的，应当承担民事赔偿责任。第二，行政责任单一、软弱，不能起到对于违法行为的惩治和对可能违法的震慑，不能起到预防违法的作用。根据《信息安全等级保护管理办法》，对于违法行为只能责令其限期改正，逾期不改正的，给予警告，并其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果。可以说，几乎没有什么强制性的处罚措施，在实际执行中显然要大打折扣。

我国信息安全等级保护制度的完善

完善我国的信息安全等级保护制度，既要立足于信息安全保障的基本规律，充分考虑我国信息网络发展的特殊性，又要吸收和借鉴各国的立法经验，笔者认为，我国的信息安全等级保护制度可以从以下几个方面进行完善：

(一)加强以等级保护为主要内容之一的信息安全基本法立法工作

制定一部高效力层次的信息安全基本法，有助于科学、合理、专业、有序的信息安全法体系的构建，也有助于推动信息化战略的实施。在信息安全基本法之下，可以克服现行等级保护以部门规章为主体的局限性，可以在更广范围内更科学地分配各部门职责，比如国家标准部门对于信息安全等级保护标准的制定和发展等。制定等级保护制度的完善。同时，高位阶的信息安全基本法可以创设更多法律责任制度，更有利于形成完善的法律责任体系，确保信息安全等级保护制度的强制力和执行力。

(二)引入风险评估机制

信息安全等级保护必须树立风险管理的思想，而风险评估是风险管理的基础，因此，笔者认为，三级以上信息系统必须定期进行信息安全风险评估。风险评估贯穿于等级保护周期的系统定级、安全实施和安全运维三个阶段：

1.系统定级。由于信息系统具有自身的行业和业务特点，且所受到的安全威胁均有所不同，因此，可以依据信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、以及系统自身脆弱性的严重程度进行识别和关联分析，判断信息系统应采取什么强度的安全措施，然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内。即将风险评估的结果作为确定信息系统安全措施的保护级别的一个参考依据。

2.安全实施。安全实施是根据信息安全等级保护国家标准的要求，从管理与技术两个方面选择不同强度的安全措施，来确保建设的安全措施满足相应的等级要求。风险评估在安全实施阶段就可以直接发挥作用，那就是对现有系统进行评估和加固，然后再进行安全设备部署等。在安全实施过程中也会发生事件并可能带来长期的安全隐患，如安全集成过程中设置的超级用户和口令没有完全移交给用户、防火墙部署后长时间保持透明策略等都会带来严重的问题，风险评估能够及早发现并解决这些问题。

3.安全运维。安全运维是指按照系统等级进行安全实施后开展运行维护的安全工作。安全运维包括两方面：一是维护现有安全措施等级的有效性。可依据国家有关等级划分准则对信息系统所采取的安全措施是否满足要求进行检验，以保证所采取的安全措施的强度持续有效;二是根据客观情况的变化以及系统内部建设的实际需要，等级要进行定期调整，以防止过度保护或保护不足。再定级的过程可参见系统定级部分的内容。

(三)建立健全等级测评法律机制

可以考虑从以下几个方面对信息安全等级测评机制进行完善:

1.等级测评的启动机制。等级测评可由信息系统运营、使用、主管和监督单位启动。

2.等级测评机构和测评人准入制度。等级测评是一项专业性和专职性很轻的工作，并且需要测评机构和测评人具有很高的职业操守，因此，必须设定一定的门槛，实行准入制度。测评人应当进行专业资格考试和考核，以确定其具备相应的专业素质和职业操守，有故意泄露工作秘密或者有犯罪记录的人员不能取得测评人资格。测评机构必须拥有专业化的测评团队、良好的测评手段，具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度，具有一定规模才能取得主体资格。

3.等级测评机构和测评人法律责任制度。被测评单位应该和测评机构就测评工作签订测评合同,测评机构应当对自身的测评行为负责，对违反法律规定的行为不仅要对被测评单位承担合同责任，而且要承担行政责任，接受行政管理机关对于其违法行为的处罚。对测评人的法律责任主要是行政责任和刑事责任。行政责任是指测评人违反法律法规，发生舞弊或过失行为并给有关方面造成经济等损失后，由政府部门或自律性组织对其追究的具有行政性质的责任，比如剥夺测评人资格等。一般来说，由于测评人在等级测评中是履行职务的行为，所以即使测评人由于过失或欺诈行为而使被测评单位受损，也应当由测评机构对外承担民事责任。

(四)完善等级保护法律责任体系

笔者认为，可以为信息系统的使用、运营单位创设一定的民事责任从而迫使其积极履行信息安全等级保护义务。可以规定，若信息系统的使用、运营单位对信息系统相关人依约或者依法承担有安全保障义务，则使用、运营单位不履行等级保护义务即为其未履行对相关人安全保障义务的明证，应当为相关人因此的损失承担民事责任。

另外，在行政责任方面，可以对违反信息安全等级保护相关法律规定的信息系统运营、使用单位给予罚款等行政处罚，促使其履行义务。

(作者系华中科技大学博士研究生)

作者：李　承

等级保护技术下信息安全论文 篇2：

奏响安全等级保护主旋律

(记者 陈芳丹)今年是等级保护工作全面开展的第一年，作为一项基本制度，等级保护工作无疑将在我国未来信息安全保障工作中占据格外重要的地位。

6月22日，《信息安全等级保护管理办法》(公通字[2007]43号)由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委制订完成并审批通过，办法的颁布标志着2006年《信息安全等级保护管理办法》(公通字[2006]7号)的废止。自此，全国范围的等级保护工作便轰轰烈烈地展开了。到12月2日，等级保护工作的开展已4个月有余。如何有效地总结各部委、行业等级保护工作的进展情况，并对下一步工作的开展进行合理展望，就成为本次IT两会“等级保护推广与实施”论坛的关注点。

本次论坛上，公安部公共信息网络安全监察局七处处长郭启全、信息化技术标准委员会副主任委员崔书昆、东软网络安全营销中心解决方案部部长曹鹏、e-Cop公司区域副总裁兼董事总经理徐为群等与会嘉宾，分别从主管部门的政策引导、专家的认识体会以及厂商的产业推动等方面，进行了等级保护相关的主题演讲。

等级保护意义重大

随着国民经济和社会发展信息化进程的全面加快、信息化程度的不断提高，关系国计民生的基础信息网络和重要信息系统已经成为国家的命脉所在。然而在当前，我国基础信息网络和重要信息系统却仍然面临着外部攻击、威胁、自身脆弱性、薄弱环节等诸多问题。2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)出台后，各单位、部门都在信息安全保障工作方面开展了多项工作并取得了一定成效。然而，在信息安全保障工作的具体落实过程中，却仍然存在着“工作重点不突出、找不出重点、没有标准”等问题，公安部公共信息网络安全监察局七处处长郭启全在本次论坛上指出，“总的来说，信息安全保障工作没有一个总体的牵头的带动工作，落实起来还显得比较弱，这样的形势促使国家大力推进等级保护制度。”

在基础信息网络和重要信息系统的安全严重关系到国家安全、社会稳定以及人民群众切身利益的今天，信息安全问题已然成为事关全局的战略性问题。信息化技术标准委员会副主任委员崔书昆认为，“在这种情势下，将信息安全等级保护确定为提高国家信息安全保障能力、维护国家安全、社会稳定和公共利益的一项基本制度，是非常必要的。”

其实，信息安全等级保护是欧、美等发达国家实现信息安全保障工作的通行做法。譬如，美国在1985年发布的《可信计算机系统评估准则》(TCSEC)将计算机系统安全等级分为四等七级;欧洲在1990年发布的《信息技术安全评估准则》(ITSEC)将信息系统安全功能分为十级，评估级分为七级;1996年，欧美六国七方制订的《信息技术安全共同评估准则》(后来成为ISO/IEC 15408(1999)国际标准)将评估保障级分为七级;2002年美国制订的《联邦信息安全管理法案》(FISMA)规定，每一联邦机构必须按照FIPS199等标准，依据信息系统及其所载信息的重要性和影响，分别划为高、中、低三个基本安全保护级别。由此可见，实施等级保护，将信息系统按其所载信息的重要程度划分级别、采取防护措施已经形成国际潮流，而我国的等级保护工作的开展是顺应国际潮流的举措。同时，对国外有益经验的借鉴也可以加速我国信息安全保障体系的建设。

6月22日，《信息安全等级保护管理办法》(公通字[2007]43号)由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委制订完成并审批通过。7月，四部委又联合下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)。43号文与861号文的出台，不仅为等级保护工作的开展提供了规范保障，也从政策文件角度标志着这项工作的成熟。两个里程碑式的文件正式出台并下发后，7月20日，由公安部牵头的“全国重要信息系统安全等级保护定级工作电视电话会议”在北京召开，标志着信息安全等级保护工作在全国范围内正式开展与实施。同时，公安部、国家保密局、国家密码管理局联合成立的“国家信息安全等级保护协调小组”的建立，也为等级保护工作的开展提供了有力的组织保障。

“通过实施等级保护，充分体现‘适度安全、保护重点’的目的，可以把国家的重要网络、重要系统挑出来，把国家有限的精力、财力投入到信息保护当中去，提高国家基础网络和重要信息系统的安全保护水平，同时提高信息安全保障工作的整体水平。”郭启全处长表示。在本次论坛上，郭启全特别强调了等级保护的两个属性——“惟一性”与“强制性”。“等级保护的工作是国家信息保障的基本制度，具有惟一性，不具有选择性。信息安全等级保护是国家意志的体现，国家信息安全保障工作只有等级保护制度是强制实施的，也只有等级保护工作是由四个部委共同组织实施、公安机关牵头实施的。”

定级工作火热开展

7月20日，“全国重要信息系统安全等级保护定级工作电视电话会议”召开后，酝酿多年的信息安全等级保护工作便在全国正式展开了。在本次论坛上，崔书昆用“定级热潮”来形容轰轰烈烈的等级保护定级工作，“其规模之大，涉及面之广，各级领导之重视，在我国信息安全工作史上甚是少见。”

据他介绍，在工作开展过程中，由四部委代表国家执行三个方面的工作：第一，组织制订国家等级保护的政策标准规范;第二，组织各单位实施、开展等级保护工作;第三，对等级保护工作进行监督检查指导。谈到刚刚过去的2007下半年各部委开展的自主定级工作时，郭启全表示，“所谓自主定级，是由于各单位了解自己信息系统的重要部位，因此需要进行自主定级。而需要强调的是，自主定级不是绝对的。”据悉，单位在自主定级后，还需要经过领导部门的审批、专家评审以及公安机关备案的“三关”审核。各单位对信息系统自主定级，并向公安机关以及保密部门备案，是今年国家等级保护的主要工作。

在4个多月等级保护定级工作的开展过程中，崔书昆参与了多个部门、单位的定级讨论工作。谈到定级工作的体会，崔书昆认为，“吃透文件、把握重点、掌握相关政策并严格依据、把握定级工作的流程”是做好定级的关键。他认为，在定级过程中，各单位还应“结合本行业的特点”。他表示，“实际上，在本次定级当中，各个部委、各个部门都根据自己的工作特点、系统状况,做了具体的系统与等级划分。这次定级工作涉及的面非常广，各个单位的工作特点和信息系统的情况也不一样。如果千篇一律地定级，那么定出来的等级会有很多不适合。”

“另外，进行由上而下的指导也很重要，要坚持评审、审批与备案制度。”崔书昆在论坛上指出，各单位应初步确定信息系统安全保护等级，并聘请专家进行评审;对拟确定为第四级以上信息系统的，还要请国家信息安全保护等级专家评审委员会评审。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，可以进行相应的协调。

崔书昆还强调，在等级保护工作中，除了要贯彻有关的法律法规外，还要全面贯彻信息安全等级保护有关的信息安全技术标准。据他介绍，近几年我国发布的一系列信息安全标准，大体上可以分为五组：实施指南、定级指南、保护要求(包括系统和产品)、管理要求(包括工程管理)和测评要求。“在完成定级之后的各工作阶段，应特别强调贯彻执行已有标准。在信息安全等级保护工作开展的全过程，需要认真学习和应用这些标准，并在应用中提出修订建议，以便不断完善这些标准，使我国信息安全等级保护工作做得更好。”多年来，我国还制订了一系列与涉密系统分级保护工作相关的技术标准与管理标准，这些也应当在相关工作中认真贯彻。

到目前为止，纳入此次重要信息系统定级备案范围的全国各个重点行业、单位和部门，绝大多数都已完成了信息系统定级备案工作。其中50多个部(委、局)以及各省(区、市)专门成立了由主要领导挂帅的等级保护领导(协调)机构，形成了等级保护工作的组织领导机制。铁道部、人民银行、海关总署等40多个部(委、局)召开了全系统会议，部署定级工作，开展集中培训。此外，公安部上门督促指导了17个部委定级工作，并配合20多个部委开展了定级工作培训。“根据我们现在得到的备案数据以及统计结果，绝大多数的部委、省市都已经完成工作，取得了非常大的成效。目前，重要领域、命脉行业的定级工作都完成得非常好。”郭启全用“收获季节”来形容当前的定级工作。

等级保护影响深远

在政策层面和实施层面对等级保护工作进行深入分析后我们看到，实施等级保护或者说通过实施等级保护最终将更好地保障信息安全，其实更多的是在谈论如何划分级别、如何实施管理。在日新月异的安全技术更替中，如何将技术与管理很好地融合，成为值得探讨的话题。技术的进步使得众多安全产品，譬如FW、IDS、防病毒、IPS、CA、PKI等产品百花齐放，令人目不暇接。然而在很多时候，管理制度却是原地踏步。东软网络安全营销中心解决方案部部长曹鹏认为，“没有优秀的管理策略制度支撑的安全产品，只是安全矩阵中的散兵游勇。”作为安全产业的推动者，东软详细阐述了应该将人、技术、管理三者进行融合，并且借此将等级保护工作进行到底。曹鹏认为，“管理是从严到疏，再到自觉;从面面俱到，到点点细致;从技术升华，到回归技术本质。实质上，管理应该走人性化与中国化的创新融合之路。”

在本次论坛上，来自新加坡e-Cop公司的区域副总裁兼董事总经理徐为群，与参会嘉宾分享了新加坡等东南亚国家类似我国等级保护制度的信息安全相关制度，并就e-Cop公司包括安全设备支持维护、安全设备管理、安全咨询服务、安全设备监控、日志分析、事件处理/响应 (7×24安全监控服务)等的可管理安全服务(MSS，Managed Security Service)，进行了翔实细致的介绍。

今年是等级保护工作全面正式开展的第一年，而作为一项基本制度，等级保护工作无疑将在我国未来信息安全保障工作中占据格外重要的地位。在推进等级保护工作贯彻落实的过程中，如何更准确完整地理解、把握政策要求，如何在每个阶段性工作进展中对经验教训进行及时的回顾和总结，如何有效地借鉴国外等级保护工作的方式方法，如何将日新月异的技术真正融合入安全管理，并最终更好地贯彻于国家制度……诸多问题，都需要整个产业界进行不断地探索、认识和总结。

在本次论坛上，与会各方一致认为，今年定级备案工作的圆满完成，为等级保护的后续工作开了个好头。我们有理由期待建设、整改、测评、检察等工作在今后更完美地开展，并以此从根本上提高我国信息安全保障工作的整体水平。

作者：陈芳丹

等级保护技术下信息安全论文 篇3：

医院信息系统信息安全等级保护的实施探讨

摘 要：随着信息技术及时代的发展，我国各个领域都得到了突破性的发展，同样，医疗行业也不例外，大数据时代背景下，信息技术在医疗领域得到了广泛应用，与此同时，医院信息系统信息安全等级保护工作也受到人们广泛关注，《关于开展信息安全等级保护安全建设整改工作的指导意见》的颁布以及其他政策的提出及完善表明，国家信息安全等级保护制度建设工作面临着巨大的挑战。因此，如何依据现实情况，落实法律政策，结合信息技术，全面保障医院信息系统信息安全等级保护，成为当前发展等级保护的重要内容。本文将就等级保护的定义进行简述，探讨医院信息系统信息安全等级保护的重要性，并根据现状提出几点改善措施，以期为相关研究提供参考。

关键词：医院信息系统;信息安全;等级保护

Discussion on the Implementation of Information Security Level Protection in

Hospital Information System

YU Zhaoming

(Ningxia University，Yinchuan 750021，China)

0 引 言

醫院信息系统信息安全等级保护在医疗领域发展建设中的重要性越来越突出，而一直以来，我国技术支撑及技术人才的不足，以及安全等级保护意识的淡薄，导致这项工作起步较国外晚了几年，不过近年来无论在政策方面还是技术方面，政府对医院信息技术应用及信息安全保障工作越来越重视。

同时，医院信息管理人员安全意识也在不断提升，医院相关部门严格按照政策规定规范医疗行业的信息安全等级保护，并不断落实政策的信息保护工作，根据实际发现的问题寻求解决方案。

因此，不断保障和促进医疗行业信息化建设的顺利进行，全面开展信息安全等级保护工作是医疗行业发展的必然趋势。

1 信息安全等级保护简述

信息安全等级保护是根据信息的重要性等级，对信息和信息载体分等级实施保护的一种工作。其根本目的是对一些隐私和机密性质的信息进行整合、处理、保护，其保护的信息一般是国家级的信息和公民个人重要信息，而信息安全等级保护包括对信息的储存、传输进行保护，按照不同等级对文件中的信息进行安全管理;另外还包括对信息储存过程中的变化进行跟进处理，对信息安全突发事件进行及时的决策处理。其是在保障信息基本安全的基础上，对安全事故进行处理，并对信息进行长久性的保存三个方面落实信息安全等级保护工作。如今，随着互联网的飞速发展和普及，基本上每个领域都会通过网络进行数据传输和储存，因此网络信息泄露逐渐成为信息安全面临的重要问题。在此背景下，信息安全等级保护逐渐受到各领域的重视。在此过程中，信息安全等级保护工作也不断细节化、系统化、科学化、技术化等，每个领域都有具体的信息安全保护工作。总之，重视医疗领域信息安全等级保护工作意义重大。

2 医院信息系统信息安全等级保护的重要性

上文简单介绍了信息安全等级保护的基本工作，不同领域都有各自的信息保护系统，医院也不例外，信息安全等级保护工作对保障医院信息安全具有重要意义。首先，医院等级保护工作不仅是对医院产品进行安全保障，其次，还对医院信息及重要工作内容进行安全管理。

作为保障医院资料信息安全的重要措施和医院信息系统正常运行的有效方法，首先，信息安全等级保护可对私人信息进行有效保障。其次，其可以有效监督信息传输过程中危险因素，发现信息管理的安全隐患，从而进行更加标准化的建设监督，提升信息管理工作的高效性。可以说等級保护是信息安全体系中最基本的管理措施，在信息时代，将信息安全等级保护落实到每个行业的制度管理中意义非凡，在医疗行业其重要性更是不容置疑。

医疗行业的信息数量庞大，信息储存与传输工作量极大，若缺乏合理的信息管理策略，则很容易造成医疗信息的杂乱无序甚至导致致命性的错误，影响医疗决策的准确性。

因此，在医疗信息数据传输过程中，信息安全等级保护借助网络的便捷性，可有效防止医院或者病人的私密信息泄露，减少网络传输的安全隐患，确保医院信息的安全性与隐私性，保障医疗信息体系的健康运行，促进医院信息化建设;同时，信息安全等级保护还可有效减少医患纠纷，保障医院的经济利益和名誉。所以，医院重视信息安全等级保护工作，具有重要的现实意义。

3 医院信息系统信息安全等级保护的改善措施

就目前的医院信息系统信息安全等级保护工作的效率来看，安全等级保护在管理员意识、管理员技术，以及政府管理政策方面，都有着很大的改善空间。因此，根据医院信息系统信息安全等级保护现状，探讨医院信息系统信息安全等级保护的改善措施十分必要。

3.1 提高信息安全等级保护技术

我国信息安全等级保护技术还存在许多不足，再加上信息安全保护工作较为繁琐，信息安全保障覆盖面广，其广泛覆盖医院网络安全、信息系统安全、软件应用安全、管理工作安全等方面，因此，我国医院信息安全等级保护工作还不够完善，医院若想全面保障医院系统信息安全，则需要根据医院信息安全保障工作的实际需要不断采取有效措施。首先，医院信息安全管理人员要不断提升自己的信息安全等级保护技术，熟练地构建安全保护框架，提高信息安全保护工作的及时性与高效性，对医院信息安全系统进行严格的监督，及时发现医院信息安全管理各个方面可能存在的隐患，对风险进行及时妥善的处理，以满足医院信息系统最基本安全需求。其次，应重视网络信息人才的培养，招聘时应适当关注应聘人员的计算机知识能力状况，对医院工作人员，可以进行计算机培训。做到重要岗位的工作人员具备相应的工作能力。

3.2 完善信息安全等级保护政策

信息安全管理中等级保护工作体系建设还存在诸多不足，其主要体现在技术建设性不足和信息安全等级保护政策尚不完善。当下我国医疗领域的安全体系管理主要依据《信息系统安全等级保护基本要求》，安全管理的信息保护政策存在单一性，无法对实际工作进行全面的指导，同时，当前的信息安全等级保护政策可操作性低，管理规定与方法难以落实，导致医院信息安全等级保护工作效率无法得到质的提升。因此，政府部门应根据实际情况，对医疗行业的安全原则进行全面剖析，完善保护政策，使之更加具体化，提高基本政策落实的可操作性，促进制度的有效推行和实施。同时，医院应注重政府关于信息安全等级保护政策的落实，通过政府政策的实施，在医院中构建完善的信息安全等级保护制度。

4 结 论

综上所述，医院信息系统安全体系建设不仅需要从管理员意识、管理员技术，以及政府管理政策方面进行努力，还需要不断地从实践中总结经验，实现自身的进一步完善。当下医疗行业的信息安全保障要求以及医疗活动中风险处理体系建设都不断得到落实，大数据时代下，技术不断渗透到信息化建设中，医院应本着与时俱进、与国家各个领域同步建设的原则，在信息系统新建、改建、扩建时同步规划和设计安全方案，实现一体化的信息安全保障机制的建设，促进自身安全体系建设及我国医疗行业的健康发展。坚持信息安全等级保护原则，进一步完善信息系统工作和安全保护措施，保障医院信息安全是医疗行业信息安全保护发展的主要方向。

参考文献：

[1] 郑万松，袁军，黄志中，等.以病人为中心的自助医疗系统研究与应用 [J].中国数字医学，2013，8(11)：40-42.

[2] 刘伟，邓建强.基于.NET的医院信息仿真实验系统的设计与实现 [J].中国数字医学，2013，8(11)：28-30+42.

[3] 康锴，李凤丽，吴琼，等.医疗信息系统应用于传染病报告管理中的效果探析 [J].中国卫生产业，2016，13(10)：125-127.

作者简介：余兆明(1973.12-)，男，云南昆明人，就职于网络与信息管理中心，高级工程师，本科，硕士，研究方向：计算机网络、网络安全、大数据应用。

作者：余兆明