三、信息安全等级保护与复杂大网络系统

信息系统安全等级保护的实现方法是，由简到繁，从小到大，从里到外，实现纵深防护。对于复杂大系统安全等级防护的实现可简化为：巨复杂大型信息系统   复杂大系统   大系统   局域网系统   信息安全处理环境（主机服务器）加安全终端。再复杂的大系统也可以简化处理，简化后的基本安全模型：局域信息安全处理环境+安全终端系统+安全通信线路，对大用户量系统可设置集中式安全控制管理中心。复杂大网络系统也是由包括安全处理环境、安全终端系统和安全通信线路等部分的多个子系统（局域网）组合而成的，安全等级保护完全可以从小从里做起，实现多级防范，纵深防护，并保障互联互通互操作，有条件地进行信息共享。

四、信息安全等级保护与现有信息系统

当前的实际情况是，各部门、各单位早就建立了各自的信息系统，但其中绝大部分系统的应用业务并不多，效益不明显。许多部门的业务办理还停留在PC公文处理上，文件的签发仍旧在纸面上。除应用开发和人们的习惯的改变缓慢等因素外，安全问题没有从根本上得到解决也是关键因素。因此，实行信息安全等级保护，首先应当以等级保护的方法对现有系统进行加固改造，保障安全的互联互通和信息共享，保障现有系统安全，使现有系统活起来，发挥现有系统在电子政务和电子商务方面的作用，而不是弃之不用或推倒重来，其次逐步考虑和解决大系统大平台的安全问题。对互联网的网管中心、关键节点、重要网站等，也可以实行等级保护，用等级保护办法控制有害信息和数据对社会和网络的危害。

五、信息系统安全管理与监督

信息系统安全等级保护实行自我保护和国家保护相结合。自我保护是指信息系统所属部门和单位要对其系统安全保护负主要责任，尤其是要全面负责系统安全管理工作。鉴于信息安全事关国家主权、政治、经济、社会、国防、公民合法权益保障，国家不可放任不管。因此，国家信息安全主管机关和信息安全相关职能部门有责任指导、监督、检查信息系统所属部门和单位做好信息系统安全管理。信息系统安全等级保护包括系统所属部门和单位及其上级主管部门的自管、自查、自评和国家监管两个方面，两两方面相结合形成安全保护机制，提高信息系统的安全保护能力和水平，保障国家信息安全。

六、信息系统安全等级保护各方责任关系

按照谁主管谁负责的原则，进一步明确以下各方的责任：

信息系统所属部门和单位的责任。自我保护是指信息系统所属部门和单位要对其系统安全保护负主要责任，尤其是要全面负责系统安全管理工作，建立信息系统系列安全管理制度，建立并落实安全责任制，明确各级的安全责任，按法律规定和安全等级标准的要求进行信息系统的建设和管理，在信息系统生命周期内进行自管、自查、自评。

信息安全等级保护监管机关的职责。有国家信息安全法定事权的职能部门是公安机关、国家保密部门、国家密码管理部门。三部门依法行政，完善信息安全监督体系。

在社会信息化发展时期，公安机关肩负着巩固党的执政地位、维护国家长治久安、保障人民安居乐业的重大政治和社会责任。公安机关的总任务是维护国家安全和社会稳定，保障全面建设小康的社会环境。在信息安全保护方面，根据《人民警察法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》的规定，公安机关是信息系统安全保护工作的主管部门。在信息安全等级保护工作中，公安机关依法行政，以等级保护标准监督、检查、指导基础信息网络和重要信息系统安全等级保护建设、管理。帮助和指导信息系统所属部门和单位做好安全等级保护工作，对安全等级技术产品实行监管，对安全服务机构实施监管。

国家保密部门和国家密码管理部门都有专门的法定职能，各自应当依照法定职能做好信息安全等级保护工作。

信息系统安全服务者、安全产品的研发者应当贯彻执行国家法律法规和标准做好信息系统安全服务工作，提供符合安全等级标准要求的技术产品。

七、安全管理与安全技术
信息系统是为满足人的需求而建立的，信息系统的生命周期内的一切活动是有人介入、支配和使用的，甚至形成了信息系统网络空间社会。因此信息安全重在管理。信息系统安全保护工作七分在于管理，三分在于技术支撑和保障。国家信息安全等级保护制度首先是信息安全等级保护管理制度。管理制度分总制度和专项制度，构成信息安全等级保护制度体系。总制度要求各部门、各单位根据其业务的重要程度、信息系统资源的经济和社会价值级别及其面临的风险，参照国家有关信息安全等级保护标准，确定相应的安全保护等级，并合理进行建设、使用、管理。

重要的专项制度包括：系统建设、运行、使用安全等级管理和风险管理制度；系统资源安全管理制度；用户管理制度；信息分类分级管理制度；信息保密标识与管理制度；密码使用管理制度；安全等级产品管理制度等。安全技术部分是指计算机及其安全功能构成的分安全级别的信息系统。分安全级别的安全信息系统，其安全功能和安全保护技术替人起了一定的安全管理和保护的作用。但是安全信息系统也需要由人来支配，因此，安全管理制度建设十分重要，实现严格管理、规范管理。

八、信息安全等级保护与国家安全
信息化发展涉及到各部门和社会各个领域。信息技术应用的渗透面更广、更深。且信息化网络化发展是全球范围的。信息化的正面作用和影响力很大，但是如果忽视信息安全问题，其负面影响必然会显现出严重的后果，如传统的现实社会的违法、犯罪已经演变成网络信息系统上的违法、犯罪，即利用网络化的信息系统资源，针对信息系统，实施危害国家、社会、公民利益的行为，违法、犯罪分子、组织、集团跨国跨地区进行这类活动也是很方便的。各种类型的战争也会演变为信息战。因此，国家必须从战略上研究考虑信息安全问题。国家发展战略和国家安全战略都不可缺少信息安全部分，信息安全战略是国家安全战略的重要组成部分，也是国家发展战略的重要组成部分。因此，信息安全等级保护必须在战略上保持全国一盘棋。

九、信息安全等级保护与信息化发展
国家搞信息化建设的目的是为了加速工业化、现代化和经济发展，为了国家更为强盛和经济更为繁荣。但是如果没有强大的安全保护体系作保障，各部门、各行业即使建立了网络化的信息系统，重要的电子政务和电子商务应用业务也不敢上，没有这些应用，就不会有安全需求。发展需要安全，没有发展就没有安全，没有安全就不会有发展。安全需要发展，安全保障和促进发展。没有信息科学技术和应用技术的发展，安全保护的科学技术也不会有大的发展。安全与发展的关系是发展为前提，安全为保障。信息安全本身也需要不断发展和完善。

十、信息安全等级保护与国际接轨的有关问题
在信息系统网络互联互通的大环境大背景下，信息安全的实质就是保障和维护国家主权、国家安全社会秩序、稳定和安全、经济安全与发展、公民合法权益。WTO游戏规则商业流通领域的规则，为了交流、吸收、发展，我们必须加入WTO，要与国际接轨。但是，信息安全直接涉及国家政治、经济、国防、社会稳定与安全、人民生命财产安全的问题，这方面不在必须遵守的国际游戏规则之例。因此，国家信息安全无“国际接轨”可言，更不能简单地谈“遵守国际游戏规则”。WTO的例外条款（TBT协议）就是为各国划出的自留地，WTO条款的制定者首先考虑的是自身利益，而不是他国的利益。因此，在国际接轨方面，我们决不可以“忘我”，“忘我”的后果必定是更严重的受制于人。

在信息安全标准化建设方面。信息安全必须实现规范化，信息安全标准化建设和安全标准实施的国家监管机制是信息安全等级保护规范化、制度化、法制化发展的首要条件，在信息安全标准化建设方面，我们要参照国外标准，但不能照搬，更不能把国际标准作为国家标准强制执行。我国的基础信息技术和信息技术设备的核心部分基本上是国外的，在信息系统互联互通的必然发展趋势下，如果我们的信息安全标准不能保持独立，没有自己的标准体系，那么不论在发展方面，还是在安全方面，都是很危险的，也没有地位、主动权和发言权。因此，我们必须建立国家信息安全标准体系。国际接轨要讲原则，要有利于发展和安全两个方面，而不是只顾一面，不管其他。为了发展，我们应当在大体上保持与国际接轨，目的是有利于吸收先进的东西，有利于自己发展，而在关键安全技术、实现安全的技术思路和管理体系方面，要保持独立，目的是保护自己，保障安全，走出自己的路。

信息安全等级保护标准体系由以下不同层次的安全标准组成：
基础性标准——作为信息安全保护等级划分基础的标准（GB17859-1999）；
总体框架标准——为按等级保护的要求，实施信息系统安全从总体上提供指导的标准；
要求类系列标准——为按等级保护的要求，建设安全的信息系统从技术和管理方面提供指导的标准；
评估类系列标准——为按等级保护的要求，对安全的信息系统进行评估从技术和管理方面提供指导的标准；
实施指导类标准——从系统角度，对等级保护的具体实施提供指导的标准，包括信息安全等级保护实施指南、信息系统安全方案设计指南、信息安全等级保护监督检查与管理工作手册等；
各应用领域实施指导方案——按等级保护要求，对各个应用领域按照上述标准的要求建设安全的信息系统的参考性方案。

关于安全认证、认可与安全验证、审批。所谓“认证”和“认可”两个词是翻译过来的名词，认证的同义词还可以译成“验证”，认可同义词还可以译成“审批”、“授权”、“批准”。美国国家标准与技术研究所(NIST)最新提出的标准文本进一步明确规定，信息系统所属部门和单位对的系统安全设计、工程实施、检测验收、投入运行、应用项目等进行检测、检查为安全检查验证。所谓“认可”，实际上是指信息系统所属部门和单位将安全检查验证的结果报上级主管里领导或部门管理层对有关信息系统安全的验证结果报告进行审查和批准，决定是否授权准予投入使用或批准某项安全方案等。

在我国，根据国家有关法律法规的规定，认可还包括国家信息安全职能部门的对信息系统安全保护等级监督、检查、许可。
在产品流通领域里，认证是指检验质量检验结果的认定。认可是指产品检验检测机构资质的认定。互认是指国际商品流通领域的对商品质量的相互承认。但互认的范围是有限的，特别是信息安全保护领域的信息技术安全产品的互认更有限。因为信息安全事关国家安全和主权，越是重要的安全技术产品越不能互认，人家也不会与我们互认，这是事实，也是国际商业关系中的常识。各国都不会拿带有信息安全保护技术诀窍的产品与别人互认，重要的产品出口都要经过严格控制或审批。

十一、信息系统安全分级保护与信息安全技术产品分级管理
信息安全等级保护产品是指对信息系统安全等级保护功能起支撑作用的信息技术产品。重要、关键的信息安全等级保护技术和产品是国家信息安全之安全。信息安全等级保护产品是国家信息等级保护的基础，没有符合国家信息安全等级保护标准的系列产品,信息信息系统就无法实现安全等级保护。国家基础信息网络和重要信息系统等级保护建设与管理所需的系列信息安全等级保护产品的可靠和可控性是国家信息安全等级保护之关键。信息安全等级保护产品同样要受国家信息安全等级保护制度的保护。

信息安全等级保护产品也是实行等级保护制度的管理与技术措施的基础,没有信息安全等级保护管理与技术措施，等级保护制度的贯彻实施也就不能得到保障。不同安全等级保护的信息系统必须由相应安全保护级别的产品构建，安全等级保护产品失控就等于国家信息系统安全失控，也等于失去了安全等级保护制度实施的基础保障。目前，国家信息安全保护科学技术水平低，关键技术和产品缺乏，技术产品功能自主可控能力不强，核心技术不掌握在国人手中，特别是基础信息网络和重要信息系统关键设备基本依赖国外，国家网络和国际网络互联的发展，网络远程访问控制技术的广泛使用，国外信息技术产品已经在国家、组织和个人工作、生活中的广泛使用，而信息技术产品中的漏洞、“后门”、“远程钥匙”、“非正常功能”和各种恶意代码、指令、程序已经成为世人皆知的信息安全问题。

因此，国家安全等级保护技术产品应当实行分类管理政策，分政府用、军用、商用三类实行特别安全管理政策。国外早就实行了这种政策。国家基础信息网络和重要信息系统所用的安全等级保护功能技术产品：由政府信息安全职能部门从研发、生产、销售、采购使用诸环节严格的分级管理；军用信息安全等级保护技术产品有军队有关部门进行管理；普通商用信息技术产品可实行质量管理，进行国际交流互认。