网络安全等级保护:一起回看2007等保重要政策文件43号文:上
今天我们继续讨论1994-2017等级保护政策及法律发展历程的2007年的政策文件,我们知道2007年的《信息安全等级保护管理办法》(公通字[2006]43号)(以下简称“43号文”)由国信办、公安部、国家保密局、国家密码管理局等四部门联合出台,该文件详细阐述了公安机关的具体工作任务。公安部牵头,会同国家保密局、国家密码管理局等部门共同组织全国各单位、各部门实施信息安全等级保护工作。
这个文件同时明确了公安机关承担信息安全等级保护监督、检查、指导的任务。
开宗明义,为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)等有关法律法规,制定43号文。
在43号文第二章是等级划分与保护,其中第七条明确了信息系统的安全保护等级分为五级,这个五级与66号文的五个级别描述是不同的,43号文则描述发生了变化,以第三级为例66号文是:第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。而43号文是:第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。我们可以看到,在66号文中描述是“会对国家安全、社会秩序、经济建设和公共利益造成较大损害”,而43号文则是“会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害”,描述上分的更细,损害程度方面分级,客体也分级。其他三个等级别描述差异,可以仔细研读66号文和接下来分享的43号文,在此不再过多赘述。从43号文开始,我们的定级指南基本上就遵循这个文件,定级报告描述也用的是43号文的术语进行描述。
43号文的第八条对信息系统运营、使用单位的责任予以明确,要求依据43号文和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。在本条下也是五个级别,简单描述就是从第一级信息系统运营、使用单位自行保护,到第二级监管部门指导,再到第三级的监督、检查,再到第四级的强制监督、检查,最后到第五级的专门监督、检查。在这个五个级别中,都是要求信息系统运营、使用单位依据国家有关管理规范和技术标准(第五级是业务特殊安全需求)进行保护。
到第三章是等级保护的实施与管理,其中谈到了《信息系统安全等级保护实施指南》《信息系统安全等级保护定级指南》《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)等标准,在这里其实为我们学习标准指明了道路,等保绝不是也不能局限于《等级保护基本要求》《等级保护测评要求》《等级保护测评过程指南》等几个含有“等级保护”字眼的标准,这里的标准都应该好好掌握一下的,从而我们更应该明白这些标准后面有很多基础性知识的标准支撑着他们,支撑着等级保护体系以及等级保护系统建设。
仔细看43号文,下面就说到自查,自查频率与测评频率描述是保持一致的,即第三级信息系统每年至少进行一次自查。等级保护的落脚点其实是建设整改,无论是测评还是自查,都应该将未达到安全保护等级要求的内容整改掉。