大数据时代信息安全及保护
                Information Security and Protection in the Era of Big Data



                第三，网络安全等级保护制度。严格来说，中国在基础信息网络和重要信息
            系统安全保护制度设计上，最初就开始于信息安全等级保护制度。1994年《计算
            机信息系统安全保护条例》奠定了中国信息系统实行等级保护的基础，后来出台

            的《计算机信息系统安全保护等级划分准则》《信息安全等级保护管理办法》等
            法律规定明确了信息安全等级保护的原则、内容、方法等。但是这些文件都不是

            法律位阶的，而是行政法规和规章。《网络安全法》中提出了国家实施网络安全
            等级保护制度的规定，并没有具体的细化规定。实践证明了该制度在中国实施得
            并不如期理想，突出问题表现在管理权不明确且易变动，保护重点不明确、范围
            不清楚，实施程序不科学等方面。

                第四，对重点岗位和人员的特殊管理制度。实现国家信息安全空网络空间
            的有效治理，最终要以人为本。目前中国互联网行业领域内，涉及国家安全的重

            点岗位和人员并没有一个明确的限定标准和范围，更没有针对这部分岗位和人员
            的安全管理制度，导致一部分重点岗位和人员对涉及国家安全的信息保护意识淡
            薄，保护技能不足，保护措施缺乏。即便中国出台法律实现对网络安全等级保护
            制度，也会由于人员管理能力地下致使实际效果不理想。因此只有实现了重点

            岗位和人员的有效管理，才能建立起一个由硬件设施、信息数据和人员管理构成
            的三位一体防御体制。而目前中国在立法上并没有确立这样一种制度，在《保密

            法》第35条建立了涉密岗位人员管理制度。但是该条所限定的主体只是涉及国家
            秘密的人员，国家秘密是特定的、关系国家安全和利益，泄露后会对国家造成严
            重损失的秘密。而从事互联网行业的重点岗位人员并不一定会涉及国家秘密，例
            如大量信息数据集中的数据服务平台的工作人员，虽然不接触国家秘密，但依然

            有可能因为利益驱使或极端个人行为而导致大量关键信息泄露或损害，进而影响
            国家政治、经济、社会造成重大不良影响和严重损失。因此不能将该条中的“涉

            密人员”理解为涉及国家信息安全的重点岗位人员。《网络安全法》第34条仅对
            关键信息基础设施运营部门的重点岗位人员做出了规定，这使得其他行业内掌握
            能影响国家和社会稳定的信息资源的从业人员没有统一严格的管理制度。
                综上，目前中国网络空间立法在国家信息安全保护上处于保护架构刚刚完成

            的阶段，关键的制度还有待完善和细化。在对危险源的防控上只是初步解决了的
            针对硬件和信息的最基本的防护问题，该防护体系在宏观上还有待进一步完善。



            ·198·