闲话等级保护:等保1.0里程碑规范文件43号文(下)

admin 2022年7月24日10:45:54制度法规评论0 views1883字阅读6分16秒阅读模式

今天我们继续讨论1994-2017等级保护政策及法律发展历程的2007年的政策文件,我们知道2007年的《信息安全等级保护管理办法》(公通字[2006]43号)(以下简称“43号文”)由公安部、国家保密局、国家密码管理局等四部门联合出台,该文件详细阐述了公安机关的具体工作任务。43号文明确了等级保护的“定级、备案、建设、测评、检查”五个规定动作。上次,我们介绍到备案过程中,需要提交七个附件。接下来我们继续沿着上次说的往下走。

闲话等级保护:等保1.0里程碑规范文件43号文(下)
在43号文中说到,信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。以及运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。

接下来,是公安机关对第三级、第四级信息系统进行检查的规定和内容。及信息系统运营、使用单位接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供哪些信息资料及数据文件等。后面,又介绍了公安机关监督运营、使用单位整改等以及对第三级以上信息系统选用安全产品的要求,及选择什么样的测评机构进行测评等。

在43号文中,也明确了测评机构应当履行的义务,如遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实等。

闲话等级保护:等保1.0里程碑规范文件43号文(下)

43号文对于非涉密系统的测评,到该文件的第43号文第二十三条,到第四章就开始介绍涉及涉及国家秘密信息系统的分级保护管理的内容,即是我们常说的“分级保护”。分级保护由国家保密工作部门制定管理规定和技术标准,同时在第四章也明确要求非涉密信息系统不得处理国家秘密信息。其中,涉密信息系统的分级由低到高分为秘密、机密、绝密三个等级。其定级依据BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级,并接受保密部门的监督、检查、指导。

在第二十七条,我们发现,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。从这句话,基本上我们可以理解,非涉密的等级保护和涉密的分级保护,某种程度上是有个对标标准的。分级保护的采用的设备产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。由于,分级保护工作我们常规涉及不多,如需了解更多,可以参阅43号文全文。在此,就不再赘述。

闲话等级保护:等保1.0里程碑规范文件43号文(下)
43号文第五章则介绍了信息安全等级保护的密码管理,也是所谓的“密评”。这块工作由国家密码管理部门进行管理,遵照《信息安全等级保护密码管理办法》《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。有关密评,按照《密码法》规定:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商业密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。有关密评,其实我个人了解也不多,在此也不过多班门弄斧,期待方家指正。
闲话等级保护:等保1.0里程碑规范文件43号文(下)
在后面法律责任方面,对信息系统运营、使用单位和信息安全监管部门及其工作人员进行了约束。

总之,43号文是等级保护体系中一个重要的政策文件,是每一个等保人应该认真学习研究的一份文件。在刚刚入门等保时,有人告诉我分级保护与等保第三级、第四级、第五级的对标,而没有告诉我出自哪个文件,通过学习这些政策文件,慢慢的发现原来模棱两可的知识和认识,渐渐清晰起来了。很多看似很新的东西,其实已经存在很久了。可谓常读常新,不断积累吧。

原文始发于微信公众号(祺印说信安):闲话等级保护:等保1.0里程碑规范文件43号文(下)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月24日10:45:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  闲话等级保护:等保1.0里程碑规范文件43号文(下) http://cn-sec.com/archives/1196147.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: