今天我们沿着等保的历史时间线了解一下公通字[2004]66号,即《关于信息安全等级保护工作的实施意见》,通过阅读学习我们能够得出该文件是为贯彻落实国务院第147号令和中办27号文件,而在有关等保培训材料也是这么写的,测评师培训考试时老师们也是这么解读的。该文件是由公安部、国家保密局、国家密码管理局、原国务院信息办等四部委共同会签印发的,是一个指导相关部门实施信息安全等级保护工作的纲领性文件,主要内容包括贯彻落实信息安全等级保护制度的基本原则,等级保护工作的基本内容、工作要求和实施计划,以及各部门工作职责分工等。
![网络安全等级保护:一起回看等保重要政策文件66号文]( "网络安全等级保护:一起回看等保重要政策文件66号文")
该文件给我们讲述了开展信息安全等级保护工作的重要意义,在这里文件里归结成了五个“有利于”,鄙人当初刚入门等级保护时,比较笨还费了九牛二虎之力背诵了好几遍这五个“有利于”,到现在回看这五个“有利于”倍感亲切,却也忘却差不多了。文件谈到:实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
从这五个“有利于”不难看出,我们国家发展等级保护制度方向是明确的,该文件确实也真真切切的指导了我们等级保护的开展,所以我们谈完27号文,再谈66号文,逐步展开,循着中国等级保护制度的发展去看,体会循序渐进中的进步。一天接一天的看,好像变化不大,而看完这些文件,再看看当下我们会发现已经取得了巨大的进步,不得不佩服我们制度的优越性,能够着眼当下又具备长远发展的战略思路。回到66号文,上面谈到五个“有利于”,而接下来文件就谈了信息安全等级保护制度的原则。
![网络安全等级保护:一起回看等保重要政策文件66号文]( "网络安全等级保护:一起回看等保重要政策文件66号文")
66号文谈到信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。遵循以下四个原则:明确责任,共同保护;依照标准,自行保护;同步建设,动态调整;指导监督,重点保护。这四个原则当然很重要,而且也不仅仅是上面32个字,每个原则都在文件里进行了解读,需要了解详情的朋友,可以在原文链接中下载我发的分享。
而在讲完原则,则进入了信息安全等级保护制度的基本内容章节,这部分提到根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级。这五个级别的分法与现在备案时谈论的分法还是有一定区别的,现在我们去公安备案时的五个级别来自以后要谈到的是43号文即《信息安全等级保护管理办法》定义的,所以大家看文件时要注意区别一下。
66号文的第一级为自主保护级、第二级为指导保护级、第三级为监督保护级、第四级为强制保护级、第五级为专控保护级,共五个级别。同时,该文件也提到了国家对信息安全产品的使用实行分等级管理,接下来该文件又明确了信息安全等级保护工作职责分工,公安机关负责信息安全等级保护工作的监督、检查、指导,公安机关在等级保护中的主导地位再次强调。接下来,则谈到了实施信息安全等级保护工作的要求。
实施信息安全等级保护工作的要求强调应当做好以下六个方面工作:完善标准,分类指导;科学定级,严格备案;建设整改,落实措施;自查自纠,落实要求;建立制度,加强管理;监督检查,完善保护。这六个方面,其实是各司其职的,必须监督检查,完善保护是指公安机关按照等级保护的管理规范和技术标准的要求,重点对第三、第四级信息和信息系统的安全等级保护状况进行监督检查。发现确定的安全保护等级不符合等级保护的管理规范和技术标准的,要通知信息和信息系统的主管部门及运营、使用单位进行整改;发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的,要限期整改,使信息和信息系统的安全保护措施更加完善。对信息系统中使用的信息安全产品的等级进行监督检查。其他几个方面,大家可以在通过我分享的原文,仔细阅读。在此,不再赘述。
![网络安全等级保护:一起回看等保重要政策文件66号文]( "网络安全等级保护:一起回看等保重要政策文件66号文")
最后谈到的是信息安全等级保护工作实施计划,当然该文件当时是谈的未来,站在今天已经是过去式了。不过,我们可以比对一下,当年的计划是否都付诸实施了,是否都应得到验证了。
该文件提到当年计划用三年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度。准备阶段、重点实行阶段、全面实行阶段,共三个阶段。这三个阶段,基本上已经全都实现。达到了当初预定的,经过三年的努力,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善。从等保培训资料中,我们看到三年后,2008年北京奥运会举办,所有涉及奥运的重要信息系统严格落实国家信息安全等级保护制度,组织开展了信息系统定级、备案、安全测评和渗透性攻击测试、风险评估,及时发现漏洞、安全隐患和问题,督促有关部门进行整改,提高了涉奥信息网络的安全防护能力。从而证明落实等级保护制度,开展风险评估等工作是提高重要信息系统安全防范能力、抵御攻击能力的有效措施。
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:一起回看等保重要政策文件66号文
评论