|
今天我們繼續(xù)討論1994-2017等級(jí)保護(hù)政策及法律發(fā)展歷程的2007年的政策文件��,我們知道2007年的《信息安全等級(jí)保護(hù)管理辦法》(公通字[2006]43號(hào))(以下簡(jiǎn)稱“43號(hào)文”)由國(guó)信辦���、公安部���、國(guó)家保密局、國(guó)家密碼管理局等四部門聯(lián)合出臺(tái)���,該文件詳細(xì)闡述了公安機(jī)關(guān)的具體工作任務(wù)���。公安部牽頭,會(huì)同國(guó)家保密局��、國(guó)家密碼管理局等部門共同組織全國(guó)各單位��、各部門實(shí)施信息安全等級(jí)保護(hù)工作���。 這個(gè)文件同時(shí)明確了公安機(jī)關(guān)承擔(dān)信息安全等級(jí)保護(hù)監(jiān)督���、檢查、指導(dǎo)的任務(wù)��。 
開(kāi)宗明義,為規(guī)范信息安全等級(jí)保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國(guó)家安全�����、社會(huì)穩(wěn)定和公共利益���,保障和促進(jìn)信息化建設(shè)���,根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令)等有關(guān)法律法規(guī)�����,制定43號(hào)文�����。 
在43號(hào)文第二章是等級(jí)劃分與保護(hù)�,其中第七條明確了信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)�,這個(gè)五級(jí)與66號(hào)文的五個(gè)級(jí)別描述是不同的,43號(hào)文則描述發(fā)生了變化����,以第三級(jí)為例66號(hào)文是:第三級(jí)為監(jiān)督保護(hù)級(jí)���,適用于涉及國(guó)家安全、社會(huì)秩序����、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng),其受到破壞后�����,會(huì)對(duì)國(guó)家安全�、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害����。而43號(hào)文是:第三級(jí),信息系統(tǒng)受到破壞后�����,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害�,或者對(duì)國(guó)家安全造成損害。我們可以看到���,在66號(hào)文中描述是“會(huì)對(duì)國(guó)家安全�����、社會(huì)秩序����、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害”,而43號(hào)文則是“會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害��,或者對(duì)國(guó)家安全造成損害”�����,描述上分的更細(xì)�����,損害程度方面分級(jí)��,客體也分級(jí)��。其他三個(gè)等級(jí)別描述差異��,可以仔細(xì)研讀66號(hào)文和接下來(lái)分享的43號(hào)文�����,在此不再過(guò)多贅述����。從43號(hào)文開(kāi)始,我們的定級(jí)指南基本上就遵循這個(gè)文件�����,定級(jí)報(bào)告描述也用的是43號(hào)文的術(shù)語(yǔ)進(jìn)行描述�����。 43號(hào)文的第八條對(duì)信息系統(tǒng)運(yùn)營(yíng)���、使用單位的責(zé)任予以明確�,要求依據(jù)43號(hào)文和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)����,國(guó)家有關(guān)信息安全監(jiān)管部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。在本條下也是五個(gè)級(jí)別���,簡(jiǎn)單描述就是從第一級(jí)信息系統(tǒng)運(yùn)營(yíng)���、使用單位自行保護(hù)���,到第二級(jí)監(jiān)管部門指導(dǎo),再到第三級(jí)的監(jiān)督�、檢查,再到第四級(jí)的強(qiáng)制監(jiān)督����、檢查,最后到第五級(jí)的專門監(jiān)督�、檢查。在這個(gè)五個(gè)級(jí)別中����,都是要求信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)(第五級(jí)是業(yè)務(wù)特殊安全需求)進(jìn)行保護(hù)�。 
到第三章是等級(jí)保護(hù)的實(shí)施與管理,其中談到了《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)��、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)�����、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)����、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)���、《信息安全技術(shù)服務(wù)器技術(shù)要求》����、《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》(GA/T671-2006)等標(biāo)準(zhǔn)�,在這里其實(shí)為我們學(xué)習(xí)標(biāo)準(zhǔn)指明了道路,等保絕不是也不能局限于《等級(jí)保護(hù)基本要求》《等級(jí)保護(hù)測(cè)評(píng)要求》《等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》等幾個(gè)含有“等級(jí)保護(hù)”字眼的標(biāo)準(zhǔn)��,這里的標(biāo)準(zhǔn)都應(yīng)該好好掌握一下的�,從而我們更應(yīng)該明白這些標(biāo)準(zhǔn)后面有很多基礎(chǔ)性知識(shí)的標(biāo)準(zhǔn)支撐著他們,支撐著等級(jí)保護(hù)體系以及等級(jí)保護(hù)系統(tǒng)建設(shè)����。 
第三級(jí)系統(tǒng)每年測(cè)評(píng)一次,就是43號(hào)文規(guī)定的��。在43號(hào)文第14條寫到:第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)���,第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)�����,第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)���。這里你應(yīng)該看到���,第三級(jí)系統(tǒng)每年至少進(jìn)行一次測(cè)評(píng),第四級(jí)系統(tǒng)則是半年一次(第四級(jí)系統(tǒng)現(xiàn)在也是每年進(jìn)行一次測(cè)評(píng))����。記得,某次在某處見(jiàn)到某機(jī)構(gòu)出具一個(gè)方案�,里面把第三級(jí)系統(tǒng)每年測(cè)評(píng)一次這個(gè)要求張冠李戴給《網(wǎng)絡(luò)安全法》了,顯然這樣的機(jī)構(gòu)是非常不專業(yè)不負(fù)責(zé)的�。當(dāng)然,卻也能唬得住外行的����。仔細(xì)看43號(hào)文,下面就說(shuō)到自查�����,自查頻率與測(cè)評(píng)頻率描述是保持一致的��,即第三級(jí)信息系統(tǒng)每年至少進(jìn)行一次自查��。等級(jí)保護(hù)的落腳點(diǎn)其實(shí)是建設(shè)整改�����,無(wú)論是測(cè)評(píng)還是自查����,都應(yīng)該將未達(dá)到安全保護(hù)等級(jí)要求的內(nèi)容整改掉。 
接下來(lái)�����,就談到了第二級(jí)以上的信息系統(tǒng)����,應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。在工作中�����,這里有兩點(diǎn)需要注意��。第一點(diǎn)��,我發(fā)現(xiàn)有些兄弟測(cè)評(píng)機(jī)構(gòu)���,給客戶傳遞的信息是需要測(cè)評(píng)完才能上線��,這個(gè)是不對(duì)的�,接下來(lái)我會(huì)再探討這個(gè)問(wèn)題。
|
