我們討論了《網(wǎng)絡(luò)安全等級保護：一起回看2007等保重要政策文件43號文：上》，今天我們繼續(xù)討論循著1994-2017等級保護政策及法律發(fā)展歷程的2007年的政策文件，我們知道2007年的《信息安全等級保護管理辦法》（公通字[2006]43號）（以下簡稱“43號文”）由公安部、國家保密局、國家密碼管理局等四部門聯(lián)合出臺，該文件詳細闡述了公安機關(guān)的具體工作任務(wù)。

　　43號文明確了等級保護的“定級、備案、建設(shè)、測評、監(jiān)督檢查”五個規(guī)定動作。上次，我們介紹到備案過程中，三級系統(tǒng)需要提交七個附件。

　　接下來我們繼續(xù)沿著上次說的往下走。

　　在43號文中說到，信息系統(tǒng)備案后，公安機關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。以及運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當(dāng)按照本辦法向公安機關(guān)重新備案。

　　接下來，是公安機關(guān)對第三級、第四級信息系統(tǒng)進行檢查的規(guī)定和內(nèi)容。及信息系統(tǒng)運營、使用單位接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo)，如實向公安機關(guān)、國家指定的專門部門提供哪些信息資料及數(shù)據(jù)文件等。后面，又介紹了公安機關(guān)監(jiān)督運營、使用單位整改等以及對第三級以上信息系統(tǒng)選用安全產(chǎn)品的要求，及選擇什么樣的測評機構(gòu)進行測評等。

　　在43號文中，也明確了測評機構(gòu)應(yīng)當(dāng)履行的義務(wù)，如遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公正的檢測評估服務(wù)，保證測評的質(zhì)量和效果；保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私，防范測評風(fēng)險；對測評人員進行安全保密教育，與其簽訂安全保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負責(zé)檢查落實等。

　　43號文對于非涉密系統(tǒng)的測評，到該文件的第43號文第二十三條，到第四章就開始介紹涉及涉及國家秘密信息系統(tǒng)的分級保護管理的內(nèi)容，即是我們常說的“分級保護”。分級保護由國家保密工作部門制定管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，同時在第四章也明確要求非涉密信息系統(tǒng)不得處理國家秘密信息。其中，涉密信息系統(tǒng)的分級由低到高分為秘密、機密、絕密三個等級。其定級依據(jù)BMB17-2006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求》確定系統(tǒng)等級，并接受保密部門的監(jiān)督、檢查、指導(dǎo)。

　　在第二十七條，按照秘密、機密、絕密三級的不同要求，結(jié)合系統(tǒng)實際進行方案設(shè)計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。從這句話，基本上可以理解，非涉密的等級保護和涉密的分級保護，某種程度上是對標(biāo)標(biāo)準(zhǔn)的。分級保護的采用的設(shè)備產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)產(chǎn)品，并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機構(gòu)依據(jù)有關(guān)國家保密標(biāo)準(zhǔn)進行的檢測，通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。

　　由于，分級保護工作我們常規(guī)涉及不多，如需了解更多，可以參閱43號文全文。在此，就不再贅述。

　　43號文第五章則介紹了信息安全等級保護的密碼管理，也是所謂的“密評”。這塊工作由國家密碼管理部門進行管理，遵照《信息安全等級保護密碼管理辦法》《信息安全等級保護商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的，應(yīng)報經(jīng)國家密碼管理局審批，密碼的設(shè)計、實施、使用、運行維護和日常管理等，應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機構(gòu)備案。

　　有關(guān)密評，按照《密碼法》規(guī)定：法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施，其運營者應(yīng)當(dāng)使用商業(yè)密碼進行保護，自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估。

　　在后面法律責(zé)任方面，對信息系統(tǒng)運營、使用單位和信息安全監(jiān)管部門及其工作人員進行了約束。

　　總之，43號文是等級保護體系中一個重要的政策文件，是每一個等保人應(yīng)該認(rèn)真學(xué)習(xí)研究的一份文件。在剛剛?cè)腴T等保時，有人分級保護，說的很神秘，最終發(fā)現(xiàn)對方只是知道“分級保護”這四個字，外延的東西少的可憐，再后來，有人告訴我分級保護與等保第三級、第四級、第五級的對標(biāo)，而沒有告訴我出自哪個文件？后來，初級測評師考試通過后，通過學(xué)習(xí)等級保護有關(guān)政策文件，慢慢的發(fā)現(xiàn)原來模棱兩可的知識和認(rèn)識，漸漸清晰起來了。

　　很多看似很新的東西，其實已經(jīng)存在很久了?？芍^常讀常新，不斷積累吧。