今天我们继续讨论1994-2017等级保护政策及法律发展历程的2007年的政策文件,我们知道2007年的《信息安全等级保护管理办法》(公通字[2006]43号)(以下简称“43号文”)由公安部、国家保密局、国家密码管理局等四部门联合出台,该文件详细阐述了公安机关的具体工作任务。公安部牵头,会同国家保密局、国家密码管理局等部门共同组织全国各单位、各部门实施信息安全等级保护工作。这个文件同时明确了公安机关承担信息安全等级保护监督、检查、指导的任务。
开宗明义,为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)等有关法律法规,制定43号文。
在43号文第二章是等级划分与保护,其中第七条明确了信息系统的安全保护等级分为五级,这个五级与66号文的五个级别描述是不同的,27号文还延伸着66号文的描述方式,43号文则描述发生了变化,以第三级为例66号文是:第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。而43号文是:第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。我们可以看到,在66号文中描述是“会对国家安全、社会秩序、经济建设和公共利益造成较大损害”,而43号文则是“会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害”,描述上分的更细了,损害程度方面分级,客体也分级。其他四个等级别描述差异,你可以仔细研读我分享的66号文和接下来分享的43号文,在此不再过多赘述。从43号文开始,我们的定级指南基本上就遵循这个文件,我们的定级报告描述也用的是43号文的术语进行描述。
43号文的第八条对信息系统运营、使用单位的责任予以明确,要求依据43号文和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。在本条下也是五个级别,简单描述就是从第一级信息系统运营、使用单位自行保护,到第二级监管部门指导,再到第三级的监督、检查,再到第四级的强制监督、检查,最后到第五级的专门监督、检查。在这个五个级别中,都是要求信息系统运营、使用单位依据国家有关管理规范和技术标准(第五级是业务特殊安全需求)进行保护。
到第三章是等级保护的实施与管理,其中谈到了《信息系统安全等级保护实施指南》《信息系统安全等级保护定级指南》《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)等标准,在这里其实为我们学习标准指明了道路,等保绝不是也不能局限于《信息系统安全等级保护基本要求》,这里罗列的标准都应该好好掌握一下的,从而我们更应该明白这些罗列的标准后面有很多基础性知识的标准支撑着他们。
第三级系统每年测评一次,就是43号文规定的。在43号文第14条写到:第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。这里你应该看到,第三级系统系统每年至少进行一次测评,第四级系统则是半年一次(第四级系统现在也是每年进行一次测评)。记得,某次在某处见到一个方案,里面把第三级系统每年测评一次这个张冠李戴给《网络安全法》了。当然,这样却也能唬得住外行的。仔细看43号文,下面就是说到自查,自查频率与测评频率描述是一致的,即第三级信息系统每年 至少进行一次自查。等级保护的落脚点其实是整改,无论是测评还是自查,都应该将未达到安全保护等级要求等内容整改掉。
接下来,就谈到了第二级以上的信息系统,应当在投入运行后30日内到所在地设区的市级以上公安机关办理备案手续。在工作中,这里有两点需要注意。第一点,我发现有些兄弟测评机构,给客户传递的信息是需要测评完才能上线,这个是不对的,接下来我会再探讨这个问题。第二运营、使用单位需到“设区”的市级以上公安机关进行备案,简单理解就是要去地级市以上公安机关去办理备案。其他有关备案注意事项,请阅读43号原文,在此也不再赘述。
办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
43号的信息量比较大,今天暂时先介绍到这里。留一个问题是43号文的是《信息安全等级保护管理办法》,在接下来的第四章 涉及国家秘密信息系统的分级保护管理,第五章 信息安全等级保护的密码管理,所谓分级保护和密码测评与我们公安机关监管的等级保护是一个什么样的关系呢?
联系客服
