今天我們繼續(xù)討論1994-2017等級保護(hù)政策及法律發(fā)展歷程的2007年的政策文件，我們知道2007年的《信息安全等級保護(hù)管理辦法》（公通字[2006]43號）（以下簡稱“43號文”）由公安部、國家保密局、國家密碼管理局等四部門聯(lián)合出臺，該文件詳細(xì)闡述了公安機(jī)關(guān)的具體工作任務(wù)。公安部牽頭，會同國家保密局、國家密碼管理局等部門共同組織全國各單位、各部門實施信息安全等級保護(hù)工作。這個文件同時明確了公安機(jī)關(guān)承擔(dān)信息安全等級保護(hù)監(jiān)督、檢查、指導(dǎo)的任務(wù)。

　　開宗明義，為規(guī)范信息安全等級保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令）等有關(guān)法律法規(guī)，制定43號文。

　　在43號文第二章是等級劃分與保護(hù)，其中第七條明確了信息系統(tǒng)的安全保護(hù)等級分為五級，這個五級與66號文的五個級別描述是不同的，27號文還延伸著66號文的描述方式，43號文則描述發(fā)生了變化，以第三級為例66號文是：第三級為監(jiān)督保護(hù)級，適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。而43號文是：第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。我們可以看到，在66號文中描述是“會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害”，而43號文則是“會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害”，描述上分的更細(xì)了，損害程度方面分級，客體也分級。其他三個等級別描述差異，你可以仔細(xì)研讀我分享的66號文和接下來分享的43號文，在此不再過多贅述。從43號文開始，我們的定級指南基本上就遵循這個文件，我們的定級報告描述也用的是43號文的術(shù)語進(jìn)行描述。

　　43號文的第八條對信息系統(tǒng)運(yùn)營、使用單位的責(zé)任予以明確，要求依據(jù)43號文和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行保護(hù)，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護(hù)工作進(jìn)行監(jiān)督管理。在本條下也是五個級別，簡單描述就是從第一級信息系統(tǒng)運(yùn)營、使用單位自行保護(hù)，到第二級監(jiān)管部門指導(dǎo)，再到第三級的監(jiān)督、檢查，再到第四級的強(qiáng)制監(jiān)督、檢查，最后到第五級的專門監(jiān)督、檢查。在這個五個級別中，都是要求信息系統(tǒng)運(yùn)營、使用單位依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)（第五級是業(yè)務(wù)特殊安全需求）進(jìn)行保護(hù)。

　　到第三章是等級保護(hù)的實施與管理，其中談到了《信息系統(tǒng)安全等級保護(hù)實施指南》《信息系統(tǒng)安全等級保護(hù)定級指南》《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級保護(hù)基本要求》《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計算機(jī)系統(tǒng)安全等級技術(shù)要求》（GA/T671-2006）等標(biāo)準(zhǔn)，在這里其實為我們學(xué)習(xí)標(biāo)準(zhǔn)指明了道路，等保絕不是也不能局限于《信息系統(tǒng)安全等級保護(hù)基本要求》，這里羅列的標(biāo)準(zhǔn)都應(yīng)該好好掌握一下的，從而我們更應(yīng)該明白這些羅列的標(biāo)準(zhǔn)后面有很多基礎(chǔ)性知識的標(biāo)準(zhǔn)支撐著他們。

　　第三級系統(tǒng)每年測評一次，就是43號文規(guī)定的。在43號文第14條寫到：第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。這里你應(yīng)該看到，第三級系統(tǒng)系統(tǒng)每年至少進(jìn)行一次測評，第四級系統(tǒng)則是半年一次（第四級系統(tǒng)現(xiàn)在也是每年進(jìn)行一次測評）。記得，某次在某處見到一個方案，里面把第三級系統(tǒng)每年測評一次這個張冠李戴給《網(wǎng)絡(luò)安全法》了。當(dāng)然，這樣卻也能唬得住外行的。仔細(xì)看43號文，下面就是說到自查，自查頻率與測評頻率描述是一致的，即第三級信息系統(tǒng)每年 至少進(jìn)行一次自查。等級保護(hù)的落腳點其實是整改，無論是測評還是自查，都應(yīng)該將未達(dá)到安全保護(hù)等級要求等內(nèi)容整改掉。

　　接下來，就談到了第二級以上的信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。在工作中，這里有兩點需要注意。第一點，我發(fā)現(xiàn)有些兄弟測評機(jī)構(gòu)，給客戶傳遞的信息是需要測評完才能上線，這個是不對的，接下來我會再探討這個問題。第二運(yùn)營、使用單位需到“設(shè)區(qū)”的市級以上公安機(jī)關(guān)進(jìn)行備案，簡單理解就是要去地級市以上公安機(jī)關(guān)去辦理備案。其他有關(guān)備案注意事項，請閱讀43號原文，在此也不再贅述。

　　辦理信息系統(tǒng)安全保護(hù)等級備案手續(xù)時，應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級保護(hù)備案表》，第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料：

　?。ㄒ唬┫到y(tǒng)拓?fù)浣Y(jié)構(gòu)及說明；

　　（二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度；

　?。ㄈ┫到y(tǒng)安全保護(hù)設(shè)施設(shè)計實施方案或者改建實施方案；

　?。ㄋ模┫到y(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；

　?。ㄎ澹y評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報告；

　?。┬畔⑾到y(tǒng)安全保護(hù)等級專家評審意見；

　?。ㄆ撸┲鞴懿块T審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見。

　　43號的信息量比較大，今天暫時先介紹到這里。留一個問題是43號文的是《信息安全等級保護(hù)管理辦法》，在接下來的第四章 涉及國家秘密信息系統(tǒng)的分級保護(hù)管理，第五章 信息安全等級保護(hù)的密碼管理，所謂分級保護(hù)和密碼測評與我們公安機(jī)關(guān)監(jiān)管的等級保護(hù)是一個什么樣的關(guān)系呢？