我們討論了《網(wǎng)絡(luò)安全等級(jí)保護(hù):一起回看2007等保重要政策文件43號(hào)文:上》,,今天我們繼續(xù)討論循著1994-2017等級(jí)保護(hù)政策及法律發(fā)展歷程的2007年的政策文件,,我們知道2007年的《信息安全等級(jí)保護(hù)管理辦法》(公通字[2006]43號(hào))(以下簡(jiǎn)稱“43號(hào)文”)由公安部、國(guó)家保密局,、國(guó)家密碼管理局等四部門聯(lián)合出臺(tái),,該文件詳細(xì)闡述了公安機(jī)關(guān)的具體工作任務(wù),。
43號(hào)文明確了等級(jí)保護(hù)的“定級(jí),、備案,、建設(shè)、測(cè)評(píng),、監(jiān)督檢查”五個(gè)規(guī)定動(dòng)作,。上次,我們介紹到備案過程中,,三級(jí)系統(tǒng)需要提交七個(gè)附件,。
接下來我們繼續(xù)沿著上次說的往下走。
在43號(hào)文中說到,,信息系統(tǒng)備案后,,公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核,對(duì)符合等級(jí)保護(hù)要求的,,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明,;發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正,;發(fā)現(xiàn)定級(jí)不準(zhǔn)的,,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。以及運(yùn)營(yíng),、使用單位或者主管部門重新確定信息系統(tǒng)等級(jí)后,,應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。
接下來,,是公安機(jī)關(guān)對(duì)第三級(jí),、第四級(jí)信息系統(tǒng)進(jìn)行檢查的規(guī)定和內(nèi)容。及信息系統(tǒng)運(yùn)營(yíng),、使用單位接受公安機(jī)關(guān),、國(guó)家指定的專門部門的安全監(jiān)督、檢查,、指導(dǎo),,如實(shí)向公安機(jī)關(guān)、國(guó)家指定的專門部門提供哪些信息資料及數(shù)據(jù)文件等,。后面,,又介紹了公安機(jī)關(guān)監(jiān)督運(yùn)營(yíng)、使用單位整改等以及對(duì)第三級(jí)以上信息系統(tǒng)選用安全產(chǎn)品的要求,,及選擇什么樣的測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)等,。
在43號(hào)文中,也明確了測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)履行的義務(wù),,如遵守國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn),,提供安全,、客觀、公正的檢測(cè)評(píng)估服務(wù),,保證測(cè)評(píng)的質(zhì)量和效果,;保守在測(cè)評(píng)活動(dòng)中知悉的國(guó)家秘密、商業(yè)秘密和個(gè)人隱私,,防范測(cè)評(píng)風(fēng)險(xiǎn),;對(duì)測(cè)評(píng)人員進(jìn)行安全保密教育,與其簽訂安全保密責(zé)任書,,規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任,,并負(fù)責(zé)檢查落實(shí)等。
43號(hào)文對(duì)于非涉密系統(tǒng)的測(cè)評(píng),,到該文件的第43號(hào)文第二十三條,,到第四章就開始介紹涉及涉及國(guó)家秘密信息系統(tǒng)的分級(jí)保護(hù)管理的內(nèi)容,即是我們常說的“分級(jí)保護(hù)”,。分級(jí)保護(hù)由國(guó)家保密工作部門制定管理規(guī)定和技術(shù)標(biāo)準(zhǔn),,同時(shí)在第四章也明確要求非涉密信息系統(tǒng)不得處理國(guó)家秘密信息。其中,,涉密信息系統(tǒng)的分級(jí)由低到高分為秘密,、機(jī)密,、絕密三個(gè)等級(jí),。其定級(jí)依據(jù)BMB17-2006《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》確定系統(tǒng)等級(jí),并接受保密部門的監(jiān)督,、檢查,、指導(dǎo)。
在第二十七條,,按照秘密,、機(jī)密、絕密三級(jí)的不同要求,,結(jié)合系統(tǒng)實(shí)際進(jìn)行方案設(shè)計(jì),,實(shí)施分級(jí)保護(hù),其保護(hù)水平總體上不低于國(guó)家信息安全等級(jí)保護(hù)第三級(jí),、第四級(jí),、第五級(jí)的水平。從這句話,,基本上可以理解,,非涉密的等級(jí)保護(hù)和涉密的分級(jí)保護(hù),某種程度上是對(duì)標(biāo)標(biāo)準(zhǔn)的,。分級(jí)保護(hù)的采用的設(shè)備產(chǎn)品原則上應(yīng)當(dāng)選用國(guó)產(chǎn)產(chǎn)品,,并應(yīng)當(dāng)通過國(guó)家保密局授權(quán)的檢測(cè)機(jī)構(gòu)依據(jù)有關(guān)國(guó)家保密標(biāo)準(zhǔn)進(jìn)行的檢測(cè),,通過檢測(cè)的產(chǎn)品由國(guó)家保密局審核發(fā)布目錄。
由于,,分級(jí)保護(hù)工作我們常規(guī)涉及不多,,如需了解更多,可以參閱43號(hào)文全文,。在此,,就不再贅述。
43號(hào)文第五章則介紹了信息安全等級(jí)保護(hù)的密碼管理,,也是所謂的“密評(píng)”,。這塊工作由國(guó)家密碼管理部門進(jìn)行管理,遵照《信息安全等級(jí)保護(hù)密碼管理辦法》《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn),。采用密碼對(duì)涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的,,應(yīng)報(bào)經(jīng)國(guó)家密碼管理局審批,密碼的設(shè)計(jì),、實(shí)施,、使用、運(yùn)行維護(hù)和日常管理等,,應(yīng)當(dāng)按照國(guó)家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行,;采用密碼對(duì)不涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的,須遵守《商用密碼管理?xiàng)l例》和密碼分類分級(jí)保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn),,其密碼的配備使用情況應(yīng)當(dāng)向國(guó)家密碼管理機(jī)構(gòu)備案,。
有關(guān)密評(píng),按照《密碼法》規(guī)定:法律,、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,,其運(yùn)營(yíng)者應(yīng)當(dāng)使用商業(yè)密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估,。
在后面法律責(zé)任方面,,對(duì)信息系統(tǒng)運(yùn)營(yíng)、使用單位和信息安全監(jiān)管部門及其工作人員進(jìn)行了約束,。
總之,,43號(hào)文是等級(jí)保護(hù)體系中一個(gè)重要的政策文件,是每一個(gè)等保人應(yīng)該認(rèn)真學(xué)習(xí)研究的一份文件,。在剛剛?cè)腴T等保時(shí),,有人分級(jí)保護(hù),說的很神秘,,最終發(fā)現(xiàn)對(duì)方只是知道“分級(jí)保護(hù)”這四個(gè)字,,外延的東西少的可憐,再后來,有人告訴我分級(jí)保護(hù)與等保第三級(jí),、第四級(jí),、第五級(jí)的對(duì)標(biāo),而沒有告訴我出自哪個(gè)文件,?后來,,初級(jí)測(cè)評(píng)師考試通過后,通過學(xué)習(xí)等級(jí)保護(hù)有關(guān)政策文件,,慢慢的發(fā)現(xiàn)原來模棱兩可的知識(shí)和認(rèn)識(shí),,漸漸清晰起來了。
很多看似很新的東西,,其實(shí)已經(jīng)存在很久了,。可謂常讀常新,,不斷積累吧,。
