《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 网络安全等级保护:一起了解2007等保重要政策文件43号文(下)

网络安全等级保护:一起了解2007等保重要政策文件43号文(下)

2021-11-08
来源:河南等级保护测评
关键词: 等级保护

  我们讨论了《网络安全等级保护:一起回看2007等保重要政策文件43号文:上》,今天我们继续讨论循着1994-2017等级保护政策及法律发展历程的2007年的政策文件,我们知道2007年的《信息安全等级保护管理办法》(公通字[2006]43号)(以下简称“43号文”)由公安部、国家保密局、国家密码管理局等四部门联合出台,该文件详细阐述了公安机关的具体工作任务。

  43号文明确了等级保护的“定级、备案、建设、测评、监督检查”五个规定动作。上次,我们介绍到备案过程中,三级系统需要提交七个附件。

  接下来我们继续沿着上次说的往下走。

  微信图片_20211108185827.jpg

  在43号文中说到,信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。以及运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。

  接下来,是公安机关对第三级、第四级信息系统进行检查的规定和内容。及信息系统运营、使用单位接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供哪些信息资料及数据文件等。后面,又介绍了公安机关监督运营、使用单位整改等以及对第三级以上信息系统选用安全产品的要求,及选择什么样的测评机构进行测评等。

  在43号文中,也明确了测评机构应当履行的义务,如遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实等。

  微信图片_20211108185830.jpg

  43号文对于非涉密系统的测评,到该文件的第43号文第二十三条,到第四章就开始介绍涉及涉及国家秘密信息系统的分级保护管理的内容,即是我们常说的“分级保护”。分级保护由国家保密工作部门制定管理规定和技术标准,同时在第四章也明确要求非涉密信息系统不得处理国家秘密信息。其中,涉密信息系统的分级由低到高分为秘密、机密、绝密三个等级。其定级依据BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级,并接受保密部门的监督、检查、指导。

  在第二十七条,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。从这句话,基本上可以理解,非涉密的等级保护和涉密的分级保护,某种程度上是对标标准的。分级保护的采用的设备产品原则上应当选用国产产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。

  由于,分级保护工作我们常规涉及不多,如需了解更多,可以参阅43号文全文。在此,就不再赘述。

  微信图片_20211108185833.jpg

  43号文第五章则介绍了信息安全等级保护的密码管理,也是所谓的“密评”。这块工作由国家密码管理部门进行管理,遵照《信息安全等级保护密码管理办法》《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。

  有关密评,按照《密码法》规定:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商业密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。

  微信图片_20211108185835.jpg

  在后面法律责任方面,对信息系统运营、使用单位和信息安全监管部门及其工作人员进行了约束。

  总之,43号文是等级保护体系中一个重要的政策文件,是每一个等保人应该认真学习研究的一份文件。在刚刚入门等保时,有人分级保护,说的很神秘,最终发现对方只是知道“分级保护”这四个字,外延的东西少的可怜,再后来,有人告诉我分级保护与等保第三级、第四级、第五级的对标,而没有告诉我出自哪个文件?后来,初级测评师考试通过后,通过学习等级保护有关政策文件,慢慢的发现原来模棱两可的知识和认识,渐渐清晰起来了。

  很多看似很新的东西,其实已经存在很久了。可谓常读常新,不断积累吧。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。