今天我們繼續討論1994-2017等級保護政策及法律發展歷程的2007年的政策文件,我們知道2007年的《信息安全等級保護管理辦法》(公通字[2006]43號)(以下簡稱“43號文”)由公安部、國家保密局、國家密碼管理局等四部門聯合出臺,該文件詳細闡述了公安機關的具體工作任務。公安部牽頭,會同國家保密局、國家密碼管理局等部門共同組織全國各單位、各部門實施信息安全等級保護工作。這個文件同時明確了公安機關承擔信息安全等級保護監督、檢查、指導的任務。
開宗明義,為規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,根據《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)等有關法律法規,制定43號文。
在43號文第二章是等級劃分與保護,其中第七條明確了信息系統的安全保護等級分為五級,這個五級與66號文的五個級別描述是不同的,27號文還延伸著66號文的描述方式,43號文則描述發生了變化,以第三級為例66號文是:第三級為監督保護級,適用于涉及國家安全、社會秩序、經濟建設和公共利益的信息和信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成較大損害。而43號文是:第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。我們可以看到,在66號文中描述是“會對國家安全、社會秩序、經濟建設和公共利益造成較大損害”,而43號文則是“會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害”,描述上分的更細了,損害程度方面分級,客體也分級。其他三個等級別描述差異,你可以仔細研讀我分享的66號文和接下來分享的43號文,在此不再過多贅述。從43號文開始,我們的定級指南基本上就遵循這個文件,我們的定級報告描述也用的是43號文的術語進行描述。
43號文的第八條對信息系統運營、使用單位的責任予以明確,要求依據43號文和相關技術標準對信息系統進行保護,國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。在本條下也是五個級別,簡單描述就是從第一級信息系統運營、使用單位自行保護,到第二級監管部門指導,再到第三級的監督、檢查,再到第四級的強制監督、檢查,最后到第五級的專門監督、檢查。在這個五個級別中,都是要求信息系統運營、使用單位依據國家有關管理規范和技術標準(第五級是業務特殊安全需求)進行保護。
到第三章是等級保護的實施與管理,其中談到了《信息系統安全等級保護實施指南》《信息系統安全等級保護定級指南》《計算機信息系統安全保護等級劃分準則》(GB17859-1999)、《信息系統安全等級保護基本要求》《信息安全技術信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術網絡基礎安全技術要求》(GB/T20270-2006)、《信息安全技術操作系統安全技術要求》(GB/T20272-2006)、《信息安全技術數據庫管理系統安全技術要求》(GB/T20273-2006)、《信息安全技術服務器技術要求》、《信息安全技術終端計算機系統安全等級技術要求》(GA/T671-2006)等標準,在這里其實為我們學習標準指明了道路,等保絕不是也不能局限于《信息系統安全等級保護基本要求》,這里羅列的標準都應該好好掌握一下的,從而我們更應該明白這些羅列的標準后面有很多基礎性知識的標準支撐著他們。
第三級系統每年測評一次,就是43號文規定的。在43號文第14條寫到:第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評,第五級信息系統應當依據特殊安全需求進行等級測評。這里你應該看到,第三級系統系統每年至少進行一次測評,第四級系統則是半年一次(第四級系統現在也是每年進行一次測評)。記得,某次在某處見到一個方案,里面把第三級系統每年測評一次這個張冠李戴給《網絡安全法》了。當然,這樣卻也能唬得住外行的。仔細看43號文,下面就是說到自查,自查頻率與測評頻率描述是一致的,即第三級信息系統每年 至少進行一次自查。等級保護的落腳點其實是整改,無論是測評還是自查,都應該將未達到安全保護等級要求等內容整改掉。
接下來,就談到了第二級以上的信息系統,應當在投入運行后30日內到所在地設區的市級以上公安機關辦理備案手續。在工作中,這里有兩點需要注意。第一點,我發現有些兄弟測評機構,給客戶傳遞的信息是需要測評完才能上線,這個是不對的,接下來我會再探討這個問題。第二運營、使用單位需到“設區”的市級以上公安機關進行備案,簡單理解就是要去地級市以上公安機關去辦理備案。其他有關備案注意事項,請閱讀43號原文,在此也不再贅述。
辦理信息系統安全保護等級備案手續時,應當填寫《信息系統安全等級保護備案表》,第三級以上信息系統應當同時提供以下材料:
(一)系統拓撲結構及說明;
(二)系統安全組織機構和管理制度;
(三)系統安全保護設施設計實施方案或者改建實施方案;
(四)系統使用的信息安全產品清單及其認證、銷售許可證明;
(五)測評后符合系統安全保護等級的技術檢測評估報告;
(六)信息系統安全保護等級專家評審意見;
(七)主管部門審核批準信息系統安全保護等級的意見。
43號的信息量比較大,今天暫時先介紹到這里。留一個問題是43號文的是《信息安全等級保護管理辦法》,在接下來的第四章 涉及國家秘密信息系統的分級保護管理,第五章 信息安全等級保護的密碼管理,所謂分級保護和密碼測評與我們公安機關監管的等級保護是一個什么樣的關系呢?
