今天我們繼續(xù)討論1994-2017等級保護政策及法律發(fā)展歷程的2007年的政策文件，我們知道2007年的《信息安全等級保護管理辦法》（公通字[2006]43號）（以下簡稱“43號文”）由公安部、國家保密局、國家密碼管理局等四部門聯(lián)合出臺，該文件詳細闡述了公安機關(guān)的具體工作任務(wù)。公安部牽頭，會同國家保密局、國家密碼管理局等部門共同組織全國各單位、各部門實施信息安全等級保護工作。這個文件同時明確了公安機關(guān)承擔信息安全等級保護監(jiān)督、檢查、指導的任務(wù)。

　　開宗明義，為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務(wù)院147號令）等有關(guān)法律法規(guī)，制定43號文。

　　在43號文第二章是等級劃分與保護，其中第七條明確了信息系統(tǒng)的安全保護等級分為五級，這個五級與66號文的五個級別描述是不同的，27號文還延伸著66號文的描述方式，43號文則描述發(fā)生了變化，以第三級為例66號文是：第三級為監(jiān)督保護級，適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成較大損害。而43號文是：第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。我們可以看到，在66號文中描述是“會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成較大損害”，而43號文則是“會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害”，描述上分的更細了，損害程度方面分級，客體也分級。其他三個等級別描述差異，你可以仔細研讀我分享的66號文和接下來分享的43號文，在此不再過多贅述。從43號文開始，我們的定級指南基本上就遵循這個文件，我們的定級報告描述也用的是43號文的術(shù)語進行描述。

　　43號文的第八條對信息系統(tǒng)運營、使用單位的責任予以明確，要求依據(jù)43號文和相關(guān)技術(shù)標準對信息系統(tǒng)進行保護，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。在本條下也是五個級別，簡單描述就是從第一級信息系統(tǒng)運營、使用單位自行保護，到第二級監(jiān)管部門指導，再到第三級的監(jiān)督、檢查，再到第四級的強制監(jiān)督、檢查，最后到第五級的專門監(jiān)督、檢查。在這個五個級別中，都是要求信息系統(tǒng)運營、使用單位依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準（第五級是業(yè)務(wù)特殊安全需求）進行保護。

　　到第三章是等級保護的實施與管理，其中談到了《信息系統(tǒng)安全等級保護實施指南》《信息系統(tǒng)安全等級保護定級指南》《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）、《信息系統(tǒng)安全等級保護基本要求》《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求》（GA/T671-2006）等標準，在這里其實為我們學習標準指明了道路，等保絕不是也不能局限于《信息系統(tǒng)安全等級保護基本要求》，這里羅列的標準都應(yīng)該好好掌握一下的，從而我們更應(yīng)該明白這些羅列的標準后面有很多基礎(chǔ)性知識的標準支撐著他們。

　　第三級系統(tǒng)每年測評一次，就是43號文規(guī)定的。在43號文第14條寫到：第三級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評，第四級信息系統(tǒng)應(yīng)當每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級測評。這里你應(yīng)該看到，第三級系統(tǒng)系統(tǒng)每年至少進行一次測評，第四級系統(tǒng)則是半年一次（第四級系統(tǒng)現(xiàn)在也是每年進行一次測評）。記得，某次在某處見到一個方案，里面把第三級系統(tǒng)每年測評一次這個張冠李戴給《網(wǎng)絡(luò)安全法》了。當然，這樣卻也能唬得住外行的。仔細看43號文，下面就是說到自查，自查頻率與測評頻率描述是一致的，即第三級信息系統(tǒng)每年 至少進行一次自查。等級保護的落腳點其實是整改，無論是測評還是自查，都應(yīng)該將未達到安全保護等級要求等內(nèi)容整改掉。

　　接下來，就談到了第二級以上的信息系統(tǒng)，應(yīng)當在投入運行后30日內(nèi)到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。在工作中，這里有兩點需要注意。第一點，我發(fā)現(xiàn)有些兄弟測評機構(gòu)，給客戶傳遞的信息是需要測評完才能上線，這個是不對的，接下來我會再探討這個問題。第二運營、使用單位需到“設(shè)區(qū)”的市級以上公安機關(guān)進行備案，簡單理解就是要去地級市以上公安機關(guān)去辦理備案。其他有關(guān)備案注意事項，請閱讀43號原文，在此也不再贅述。

　　辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應(yīng)當填寫《信息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應(yīng)當同時提供以下材料：

　?。ㄒ唬┫到y(tǒng)拓撲結(jié)構(gòu)及說明；

　?。ǘ┫到y(tǒng)安全組織機構(gòu)和管理制度；

　?。ㄈ┫到y(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案；

　?。ㄋ模┫到y(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；

　　（五）測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告；

　　（六）信息系統(tǒng)安全保護等級專家評審意見；

　?。ㄆ撸┲鞴懿块T審核批準信息系統(tǒng)安全保護等級的意見。

　　43號的信息量比較大，今天暫時先介紹到這里。留一個問題是43號文的是《信息安全等級保護管理辦法》，在接下來的第四章 涉及國家秘密信息系統(tǒng)的分級保護管理，第五章 信息安全等級保護的密碼管理，所謂分級保護和密碼測評與我們公安機關(guān)監(jiān)管的等級保護是一個什么樣的關(guān)系呢？