我們討論了《網(wǎng)絡(luò)安全等級(jí)保護(hù)：一起回看2007等保重要政策文件43號(hào)文：上》，今天我們繼續(xù)討論循著1994-2017等級(jí)保護(hù)政策及法律發(fā)展歷程的2007年的政策文件，我們知道2007年的《信息安全等級(jí)保護(hù)管理辦法》（公通字[2006]43號(hào)）（以下簡(jiǎn)稱“43號(hào)文”）由公安部、國(guó)家保密局、國(guó)家密碼管理局等四部門(mén)聯(lián)合出臺(tái)，該文件詳細(xì)闡述了公安機(jī)關(guān)的具體工作任務(wù)。

　　43號(hào)文明確了等級(jí)保護(hù)的“定級(jí)、備案、建設(shè)、測(cè)評(píng)、監(jiān)督檢查”五個(gè)規(guī)定動(dòng)作。上次，我們介紹到備案過(guò)程中，三級(jí)系統(tǒng)需要提交七個(gè)附件。

　　接下來(lái)我們繼續(xù)沿著上次說(shuō)的往下走。

　　在43號(hào)文中說(shuō)到，信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核，對(duì)符合等級(jí)保護(hù)要求的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級(jí)不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。以及運(yùn)營(yíng)、使用單位或者主管部門(mén)重新確定信息系統(tǒng)等級(jí)后，應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。

　　接下來(lái)，是公安機(jī)關(guān)對(duì)第三級(jí)、第四級(jí)信息系統(tǒng)進(jìn)行檢查的規(guī)定和內(nèi)容。及信息系統(tǒng)運(yùn)營(yíng)、使用單位接受公安機(jī)關(guān)、國(guó)家指定的專門(mén)部門(mén)的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)、國(guó)家指定的專門(mén)部門(mén)提供哪些信息資料及數(shù)據(jù)文件等。后面，又介紹了公安機(jī)關(guān)監(jiān)督運(yùn)營(yíng)、使用單位整改等以及對(duì)第三級(jí)以上信息系統(tǒng)選用安全產(chǎn)品的要求，及選擇什么樣的測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)等。

　　在43號(hào)文中，也明確了測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)履行的義務(wù)，如遵守國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公正的檢測(cè)評(píng)估服務(wù)，保證測(cè)評(píng)的質(zhì)量和效果；保守在測(cè)評(píng)活動(dòng)中知悉的國(guó)家秘密、商業(yè)秘密和個(gè)人隱私，防范測(cè)評(píng)風(fēng)險(xiǎn)；對(duì)測(cè)評(píng)人員進(jìn)行安全保密教育，與其簽訂安全保密責(zé)任書(shū)，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實(shí)等。

　　43號(hào)文對(duì)于非涉密系統(tǒng)的測(cè)評(píng)，到該文件的第43號(hào)文第二十三條，到第四章就開(kāi)始介紹涉及涉及國(guó)家秘密信息系統(tǒng)的分級(jí)保護(hù)管理的內(nèi)容，即是我們常說(shuō)的“分級(jí)保護(hù)”。分級(jí)保護(hù)由國(guó)家保密工作部門(mén)制定管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，同時(shí)在第四章也明確要求非涉密信息系統(tǒng)不得處理國(guó)家秘密信息。其中，涉密信息系統(tǒng)的分級(jí)由低到高分為秘密、機(jī)密、絕密三個(gè)等級(jí)。其定級(jí)依據(jù)BMB17-2006《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》確定系統(tǒng)等級(jí)，并接受保密部門(mén)的監(jiān)督、檢查、指導(dǎo)。

　　在第二十七條，按照秘密、機(jī)密、絕密三級(jí)的不同要求，結(jié)合系統(tǒng)實(shí)際進(jìn)行方案設(shè)計(jì)，實(shí)施分級(jí)保護(hù)，其保護(hù)水平總體上不低于國(guó)家信息安全等級(jí)保護(hù)第三級(jí)、第四級(jí)、第五級(jí)的水平。從這句話，基本上可以理解，非涉密的等級(jí)保護(hù)和涉密的分級(jí)保護(hù)，某種程度上是對(duì)標(biāo)標(biāo)準(zhǔn)的。分級(jí)保護(hù)的采用的設(shè)備產(chǎn)品原則上應(yīng)當(dāng)選用國(guó)產(chǎn)產(chǎn)品，并應(yīng)當(dāng)通過(guò)國(guó)家保密局授權(quán)的檢測(cè)機(jī)構(gòu)依據(jù)有關(guān)國(guó)家保密標(biāo)準(zhǔn)進(jìn)行的檢測(cè)，通過(guò)檢測(cè)的產(chǎn)品由國(guó)家保密局審核發(fā)布目錄。

　　由于，分級(jí)保護(hù)工作我們常規(guī)涉及不多，如需了解更多，可以參閱43號(hào)文全文。在此，就不再贅述。

　　43號(hào)文第五章則介紹了信息安全等級(jí)保護(hù)的密碼管理，也是所謂的“密評(píng)”。這塊工作由國(guó)家密碼管理部門(mén)進(jìn)行管理，遵照《信息安全等級(jí)保護(hù)密碼管理辦法》《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。采用密碼對(duì)涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，應(yīng)報(bào)經(jīng)國(guó)家密碼管理局審批，密碼的設(shè)計(jì)、實(shí)施、使用、運(yùn)行維護(hù)和日常管理等，應(yīng)當(dāng)按照國(guó)家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；采用密碼對(duì)不涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，須遵守《商用密碼管理?xiàng)l例》和密碼分類分級(jí)保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，其密碼的配備使用情況應(yīng)當(dāng)向國(guó)家密碼管理機(jī)構(gòu)備案。

　　有關(guān)密評(píng)，按照《密碼法》規(guī)定：法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用商業(yè)密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。

　　在后面法律責(zé)任方面，對(duì)信息系統(tǒng)運(yùn)營(yíng)、使用單位和信息安全監(jiān)管部門(mén)及其工作人員進(jìn)行了約束。

　　總之，43號(hào)文是等級(jí)保護(hù)體系中一個(gè)重要的政策文件，是每一個(gè)等保人應(yīng)該認(rèn)真學(xué)習(xí)研究的一份文件。在剛剛?cè)腴T(mén)等保時(shí)，有人分級(jí)保護(hù)，說(shuō)的很神秘，最終發(fā)現(xiàn)對(duì)方只是知道“分級(jí)保護(hù)”這四個(gè)字，外延的東西少的可憐，再后來(lái)，有人告訴我分級(jí)保護(hù)與等保第三級(jí)、第四級(jí)、第五級(jí)的對(duì)標(biāo)，而沒(méi)有告訴我出自哪個(gè)文件？后來(lái)，初級(jí)測(cè)評(píng)師考試通過(guò)后，通過(guò)學(xué)習(xí)等級(jí)保護(hù)有關(guān)政策文件，慢慢的發(fā)現(xiàn)原來(lái)模棱兩可的知識(shí)和認(rèn)識(shí)，漸漸清晰起來(lái)了。

　　很多看似很新的東西，其實(shí)已經(jīng)存在很久了。可謂常讀常新，不斷積累吧。