昨天我們簡單談了一下27號(hào)文，今天繼續(xù)順著我整理的《1994-2017等級(jí)保護(hù)政策及法律發(fā)展歷程》繼續(xù)往下看。

　　今天我們沿著等保的歷史時(shí)間線了解一下公通字[2004]66號(hào)，即《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》，通過閱讀學(xué)習(xí)我們能夠得出該文件是為貫徹落實(shí)國務(wù)院第147號(hào)令和中辦27號(hào)文件，而在有關(guān)等保培訓(xùn)材料也是這么寫的，測評(píng)師培訓(xùn)考試時(shí)老師們也是這么解讀的。該文件是由公安部、國家保密局、國家密碼管理局、原國務(wù)院信息辦等四部委共同會(huì)簽印發(fā)的，是一個(gè)指導(dǎo)相關(guān)部門實(shí)施信息安全等級(jí)保護(hù)工作的綱領(lǐng)性文件，主要內(nèi)容包括貫徹落實(shí)信息安全等級(jí)保護(hù)制度的基本原則，等級(jí)保護(hù)工作的基本內(nèi)容、工作要求和實(shí)施計(jì)劃，以及各部門工作職責(zé)分工等。

　　該文件給我們講述了開展信息安全等級(jí)保護(hù)工作的重要意義，在這里文件里歸結(jié)成了五個(gè)“有利于”，鄙人當(dāng)初剛?cè)腴T等級(jí)保護(hù)時(shí)，比較笨還費(fèi)了九牛二虎之力背誦了好幾遍這五個(gè)“有利于”，到現(xiàn)在回看這五個(gè)“有利于”倍感親切，卻也忘卻差不多了。文件談到：實(shí)施信息安全等級(jí)保護(hù)，能夠有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平，有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)，有效控制信息安全建設(shè)成本；有利于優(yōu)化信息安全資源的配置，對(duì)信息系統(tǒng)分級(jí)實(shí)施保護(hù)，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)的安全；有利于明確國家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)信息安全管理；有利于推動(dòng)信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應(yīng)社會(huì)主義市場經(jīng)濟(jì)發(fā)展的信息安全模式。

　　從這五個(gè)“有利于”不難看出，我們國家發(fā)展等級(jí)保護(hù)制度方向是明確的，該文件確實(shí)也真真切切的指導(dǎo)了我們等級(jí)保護(hù)的開展，所以我們談完27號(hào)文，再談66號(hào)文，逐步展開，循著中國等級(jí)保護(hù)制度的發(fā)展去看，體會(huì)循序漸進(jìn)中的進(jìn)步。一天接一天的看，好像變化不大，而看完這些文件，再看看當(dāng)下我們會(huì)發(fā)現(xiàn)已經(jīng)取得了巨大的進(jìn)步，不得不佩服我們制度的優(yōu)越性，能夠著眼當(dāng)下又具備長遠(yuǎn)發(fā)展的戰(zhàn)略思路?；氐?6號(hào)文，上面談到五個(gè)“有利于”，而接下來文件就談了信息安全等級(jí)保護(hù)制度的原則。

　　66號(hào)文談到信息安全等級(jí)保護(hù)的核心是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。遵循以下四個(gè)原則：明確責(zé)任，共同保護(hù)；依照標(biāo)準(zhǔn)，自行保護(hù)；同步建設(shè)，動(dòng)態(tài)調(diào)整；指導(dǎo)監(jiān)督，重點(diǎn)保護(hù)。這四個(gè)原則當(dāng)然很重要，而且也不僅僅是上面32個(gè)字，每個(gè)原則都在文件里進(jìn)行了解讀，需要了解詳情的朋友，可以在原文鏈接中下載我發(fā)的分享。

　　而在講完原則，則進(jìn)入了信息安全等級(jí)保護(hù)制度的基本內(nèi)容章節(jié)，這部分提到根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度；遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對(duì)信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達(dá)到的基本的安全保護(hù)水平等因素，信息和信息系統(tǒng)的安全保護(hù)等級(jí)共分五級(jí)。這五個(gè)級(jí)別的分法與現(xiàn)在備案時(shí)談?wù)摰姆址ㄟ€是有一定區(qū)別的，現(xiàn)在我們?nèi)ス矀浒笗r(shí)的五個(gè)級(jí)別來自以后要談到的是43號(hào)文即《信息安全等級(jí)保護(hù)管理辦法》定義的，所以大家看文件時(shí)要注意區(qū)別一下。

　　66號(hào)文的第一級(jí)為自主保護(hù)級(jí)、第二級(jí)為指導(dǎo)保護(hù)級(jí)、第三級(jí)為監(jiān)督保護(hù)級(jí)、第四級(jí)為強(qiáng)制保護(hù)級(jí)、第五級(jí)為?？乇Ｗo(hù)級(jí)，共五個(gè)級(jí)別。同時(shí)，該文件也提到了國家對(duì)信息安全產(chǎn)品的使用實(shí)行分等級(jí)管理，接下來該文件又明確了信息安全等級(jí)保護(hù)工作職責(zé)分工，公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)，公安機(jī)關(guān)在等級(jí)保護(hù)中的主導(dǎo)地位再次強(qiáng)調(diào)。接下來，則談到了實(shí)施信息安全等級(jí)保護(hù)工作的要求。

　　實(shí)施信息安全等級(jí)保護(hù)工作的要求強(qiáng)調(diào)應(yīng)當(dāng)做好以下六個(gè)方面工作：完善標(biāo)準(zhǔn)，分類指導(dǎo)；科學(xué)定級(jí)，嚴(yán)格備案；建設(shè)整改，落實(shí)措施；自查自糾，落實(shí)要求；建立制度，加強(qiáng)管理；監(jiān)督檢查，完善保護(hù)。這六個(gè)方面，其實(shí)是各司其職的，必須監(jiān)督檢查，完善保護(hù)是指公安機(jī)關(guān)按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重點(diǎn)對(duì)第三、第四級(jí)信息和信息系統(tǒng)的安全等級(jí)保護(hù)狀況進(jìn)行監(jiān)督檢查。發(fā)現(xiàn)確定的安全保護(hù)等級(jí)不符合等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，要通知信息和信息系統(tǒng)的主管部門及運(yùn)營、使用單位進(jìn)行整改；發(fā)現(xiàn)存在安全隱患或未達(dá)到等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求的，要限期整改，使信息和信息系統(tǒng)的安全保護(hù)措施更加完善。對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品的等級(jí)進(jìn)行監(jiān)督檢查。其他幾個(gè)方面，大家可以在通過我分享的原文，仔細(xì)閱讀。在此，不再贅述。

　　最后談到的是信息安全等級(jí)保護(hù)工作實(shí)施計(jì)劃，當(dāng)然該文件當(dāng)時(shí)是談的未來，站在今天已經(jīng)是過去式了。不過，我們可以比對(duì)一下，當(dāng)年的計(jì)劃是否都付諸實(shí)施了，是否都應(yīng)得到驗(yàn)證了。

　　該文件提到當(dāng)年計(jì)劃用三年左右的時(shí)間在全國范圍內(nèi)分三個(gè)階段實(shí)施信息安全等級(jí)保護(hù)制度。準(zhǔn)備階段、重點(diǎn)實(shí)行階段、全面實(shí)行階段，共三個(gè)階段。這三個(gè)階段，基本上已經(jīng)全都實(shí)現(xiàn)。達(dá)到了當(dāng)初預(yù)定的，經(jīng)過三年的努力，逐步將信息安全等級(jí)保護(hù)制度落實(shí)到信息安全規(guī)劃、建設(shè)、評(píng)估、運(yùn)行維護(hù)等各個(gè)環(huán)節(jié)，使我國信息安全保障狀況得到基本改善。從等保培訓(xùn)資料中，我們看到三年后，2008年北京奧運(yùn)會(huì)舉辦，所有涉及奧運(yùn)的重要信息系統(tǒng)嚴(yán)格落實(shí)國家信息安全等級(jí)保護(hù)制度，組織開展了信息系統(tǒng)定級(jí)、備案、安全測評(píng)和滲透性攻擊測試、風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)漏洞、安全隱患和問題，督促有關(guān)部門進(jìn)行整改，提高了涉奧信息網(wǎng)絡(luò)的安全防護(hù)能力。從而證明落實(shí)等級(jí)保護(hù)制度，開展風(fēng)險(xiǎn)評(píng)估等工作是提高重要信息系統(tǒng)安全防范能力、抵御攻擊能力的有效措施。