《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 網(wǎng)絡安全等級保護:一起了解2007等保重要政策文件43號文(下)

網(wǎng)絡安全等級保護:一起了解2007等保重要政策文件43號文(下)

2021-11-08
來源:河南等級保護測評
關鍵詞: 等級保護

  我們討論了《網(wǎng)絡安全等級保護:一起回看2007等保重要政策文件43號文:上》,今天我們繼續(xù)討論循著1994-2017等級保護政策及法律發(fā)展歷程的2007年的政策文件,我們知道2007年的《信息安全等級保護管理辦法》(公通字[2006]43號)(以下簡稱“43號文”)由公安部、國家保密局、國家密碼管理局等四部門聯(lián)合出臺,該文件詳細闡述了公安機關的具體工作任務。

  43號文明確了等級保護的“定級、備案、建設、測評、監(jiān)督檢查”五個規(guī)定動作。上次,我們介紹到備案過程中,三級系統(tǒng)需要提交七個附件。

  接下來我們繼續(xù)沿著上次說的往下走。

  微信圖片_20211108185827.jpg

  在43號文中說到,信息系統(tǒng)備案后,公安機關應當對信息系統(tǒng)的備案情況進行審核,對符合等級保護要求的,應當在收到備案材料之日起的10個工作日內頒發(fā)信息系統(tǒng)安全等級保護備案證明;發(fā)現(xiàn)不符合本辦法及有關標準的,應當在收到備案材料之日起的10個工作日內通知備案單位予以糾正;發(fā)現(xiàn)定級不準的,應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。以及運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后,應當按照本辦法向公安機關重新備案。

  接下來,是公安機關對第三級、第四級信息系統(tǒng)進行檢查的規(guī)定和內容。及信息系統(tǒng)運營、使用單位接受公安機關、國家指定的專門部門的安全監(jiān)督、檢查、指導,如實向公安機關、國家指定的專門部門提供哪些信息資料及數(shù)據(jù)文件等。后面,又介紹了公安機關監(jiān)督運營、使用單位整改等以及對第三級以上信息系統(tǒng)選用安全產(chǎn)品的要求,及選擇什么樣的測評機構進行測評等。

  在43號文中,也明確了測評機構應當履行的義務,如遵守國家有關法律法規(guī)和技術標準,提供安全、客觀、公正的檢測評估服務,保證測評的質量和效果;保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私,防范測評風險;對測評人員進行安全保密教育,與其簽訂安全保密責任書,規(guī)定應當履行的安全保密義務和承擔的法律責任,并負責檢查落實等。

  微信圖片_20211108185830.jpg

  43號文對于非涉密系統(tǒng)的測評,到該文件的第43號文第二十三條,到第四章就開始介紹涉及涉及國家秘密信息系統(tǒng)的分級保護管理的內容,即是我們常說的“分級保護”。分級保護由國家保密工作部門制定管理規(guī)定和技術標準,同時在第四章也明確要求非涉密信息系統(tǒng)不得處理國家秘密信息。其中,涉密信息系統(tǒng)的分級由低到高分為秘密、機密、絕密三個等級。其定級依據(jù)BMB17-2006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術要求》確定系統(tǒng)等級,并接受保密部門的監(jiān)督、檢查、指導。

  在第二十七條,按照秘密、機密、絕密三級的不同要求,結合系統(tǒng)實際進行方案設計,實施分級保護,其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。從這句話,基本上可以理解,非涉密的等級保護和涉密的分級保護,某種程度上是對標標準的。分級保護的采用的設備產(chǎn)品原則上應當選用國產(chǎn)產(chǎn)品,并應當通過國家保密局授權的檢測機構依據(jù)有關國家保密標準進行的檢測,通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。

  由于,分級保護工作我們常規(guī)涉及不多,如需了解更多,可以參閱43號文全文。在此,就不再贅述。

  微信圖片_20211108185833.jpg

  43號文第五章則介紹了信息安全等級保護的密碼管理,也是所謂的“密評”。這塊工作由國家密碼管理部門進行管理,遵照《信息安全等級保護密碼管理辦法》《信息安全等級保護商用密碼技術要求》等密碼管理規(guī)定和相關標準。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的,應報經(jīng)國家密碼管理局審批,密碼的設計、實施、使用、運行維護和日常管理等,應當按照國家密碼管理有關規(guī)定和相關標準執(zhí)行;采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的,須遵守《商用密碼管理條例》和密碼分類分級保護有關規(guī)定與相關標準,其密碼的配備使用情況應當向國家密碼管理機構備案。

  有關密評,按照《密碼法》規(guī)定:法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商業(yè)密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

  微信圖片_20211108185835.jpg

  在后面法律責任方面,對信息系統(tǒng)運營、使用單位和信息安全監(jiān)管部門及其工作人員進行了約束。

  總之,43號文是等級保護體系中一個重要的政策文件,是每一個等保人應該認真學習研究的一份文件。在剛剛入門等保時,有人分級保護,說的很神秘,最終發(fā)現(xiàn)對方只是知道“分級保護”這四個字,外延的東西少的可憐,再后來,有人告訴我分級保護與等保第三級、第四級、第五級的對標,而沒有告訴我出自哪個文件?后來,初級測評師考試通過后,通過學習等級保護有關政策文件,慢慢的發(fā)現(xiàn)原來模棱兩可的知識和認識,漸漸清晰起來了。

  很多看似很新的東西,其實已經(jīng)存在很久了??芍^常讀常新,不斷積累吧。




電子技術圖片.png

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。