今天我們繼續(xù)討論1994-2017等級(jí)保護(hù)政策及法律發(fā)展歷程的2007年的政策文件，我們知道2007年的《信息安全等級(jí)保護(hù)管理辦法》（公通字[2006]43號(hào)）（以下簡(jiǎn)稱“43號(hào)文”）由公安部、國(guó)家保密局、國(guó)家密碼管理局等四部門(mén)聯(lián)合出臺(tái)，該文件詳細(xì)闡述了公安機(jī)關(guān)的具體工作任務(wù)。公安部牽頭，會(huì)同國(guó)家保密局、國(guó)家密碼管理局等部門(mén)共同組織全國(guó)各單位、各部門(mén)實(shí)施信息安全等級(jí)保護(hù)工作。這個(gè)文件同時(shí)明確了公安機(jī)關(guān)承擔(dān)信息安全等級(jí)保護(hù)監(jiān)督、檢查、指導(dǎo)的任務(wù)。

　　開(kāi)宗明義，為規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）等有關(guān)法律法規(guī)，制定43號(hào)文。

　　在43號(hào)文第二章是等級(jí)劃分與保護(hù)，其中第七條明確了信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)，這個(gè)五級(jí)與66號(hào)文的五個(gè)級(jí)別描述是不同的，27號(hào)文還延伸著66號(hào)文的描述方式，43號(hào)文則描述發(fā)生了變化，以第三級(jí)為例66號(hào)文是：第三級(jí)為監(jiān)督保護(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。而43號(hào)文是：第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。我們可以看到，在66號(hào)文中描述是“會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害”，而43號(hào)文則是“會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害”，描述上分的更細(xì)了，損害程度方面分級(jí)，客體也分級(jí)。其他三個(gè)等級(jí)別描述差異，你可以仔細(xì)研讀我分享的66號(hào)文和接下來(lái)分享的43號(hào)文，在此不再過(guò)多贅述。從43號(hào)文開(kāi)始，我們的定級(jí)指南基本上就遵循這個(gè)文件，我們的定級(jí)報(bào)告描述也用的是43號(hào)文的術(shù)語(yǔ)進(jìn)行描述。

　　43號(hào)文的第八條對(duì)信息系統(tǒng)運(yùn)營(yíng)、使用單位的責(zé)任予以明確，要求依據(jù)43號(hào)文和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)，國(guó)家有關(guān)信息安全監(jiān)管部門(mén)對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。在本條下也是五個(gè)級(jí)別，簡(jiǎn)單描述就是從第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位自行保護(hù)，到第二級(jí)監(jiān)管部門(mén)指導(dǎo)，再到第三級(jí)的監(jiān)督、檢查，再到第四級(jí)的強(qiáng)制監(jiān)督、檢查，最后到第五級(jí)的專門(mén)監(jiān)督、檢查。在這個(gè)五個(gè)級(jí)別中，都是要求信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)（第五級(jí)是業(yè)務(wù)特殊安全需求）進(jìn)行保護(hù)。

　　到第三章是等級(jí)保護(hù)的實(shí)施與管理，其中談到了《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T671-2006）等標(biāo)準(zhǔn)，在這里其實(shí)為我們學(xué)習(xí)標(biāo)準(zhǔn)指明了道路，等保絕不是也不能局限于《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，這里羅列的標(biāo)準(zhǔn)都應(yīng)該好好掌握一下的，從而我們更應(yīng)該明白這些羅列的標(biāo)準(zhǔn)后面有很多基礎(chǔ)性知識(shí)的標(biāo)準(zhǔn)支撐著他們。

　　第三級(jí)系統(tǒng)每年測(cè)評(píng)一次，就是43號(hào)文規(guī)定的。在43號(hào)文第14條寫(xiě)到：第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。這里你應(yīng)該看到，第三級(jí)系統(tǒng)系統(tǒng)每年至少進(jìn)行一次測(cè)評(píng)，第四級(jí)系統(tǒng)則是半年一次（第四級(jí)系統(tǒng)現(xiàn)在也是每年進(jìn)行一次測(cè)評(píng)）。記得，某次在某處見(jiàn)到一個(gè)方案，里面把第三級(jí)系統(tǒng)每年測(cè)評(píng)一次這個(gè)張冠李戴給《網(wǎng)絡(luò)安全法》了。當(dāng)然，這樣卻也能唬得住外行的。仔細(xì)看43號(hào)文，下面就是說(shuō)到自查，自查頻率與測(cè)評(píng)頻率描述是一致的，即第三級(jí)信息系統(tǒng)每年 至少進(jìn)行一次自查。等級(jí)保護(hù)的落腳點(diǎn)其實(shí)是整改，無(wú)論是測(cè)評(píng)還是自查，都應(yīng)該將未達(dá)到安全保護(hù)等級(jí)要求等內(nèi)容整改掉。

　　接下來(lái)，就談到了第二級(jí)以上的信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。在工作中，這里有兩點(diǎn)需要注意。第一點(diǎn)，我發(fā)現(xiàn)有些兄弟測(cè)評(píng)機(jī)構(gòu)，給客戶傳遞的信息是需要測(cè)評(píng)完才能上線，這個(gè)是不對(duì)的，接下來(lái)我會(huì)再探討這個(gè)問(wèn)題。第二運(yùn)營(yíng)、使用單位需到“設(shè)區(qū)”的市級(jí)以上公安機(jī)關(guān)進(jìn)行備案，簡(jiǎn)單理解就是要去地級(jí)市以上公安機(jī)關(guān)去辦理備案。其他有關(guān)備案注意事項(xiàng)，請(qǐng)閱讀43號(hào)原文，在此也不再贅述。

　　辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí)，應(yīng)當(dāng)填寫(xiě)《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料：

　　（一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明；

　　（二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度；

　　（三）系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案；

　　（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷(xiāo)售許可證明；

　　（五）測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告；

　　（六）信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見(jiàn)；

　　（七）主管部門(mén)審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見(jiàn)。

　　43號(hào)的信息量比較大，今天暫時(shí)先介紹到這里。留一個(gè)問(wèn)題是43號(hào)文的是《信息安全等級(jí)保護(hù)管理辦法》，在接下來(lái)的第四章 涉及國(guó)家秘密信息系統(tǒng)的分級(jí)保護(hù)管理，第五章 信息安全等級(jí)保護(hù)的密碼管理，所謂分級(jí)保護(hù)和密碼測(cè)評(píng)與我們公安機(jī)關(guān)監(jiān)管的等級(jí)保護(hù)是一個(gè)什么樣的關(guān)系呢？