2007年对于信息安全等级保护来说,是一个大年。除前面我谈到的43号文外,在当年7月16日公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部门联合发布了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),这个文件是为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》(66号文)、《信息安全等级保护管理办法》(43号文)精神。从这里,我们可以看到国家在信息安全等级保护工作中的文件是一脉相承,循序渐进,逐步推进的。
在861号文中,通知内容首当其冲的是定级范围,我们在通知中看到电信、铁路、银行、海关等行业,也就是囊括我们现在见到的备案表里的47个行业,而备案表与定级报告模板,也是在861号文中给出的;那么861号文还要求市(地)级以上党政机关的重要网站和办公信息系统,在这个次定级过程中,没有涉及县级的信息系统;再者,涉及国家秘密的信息系统,即涉密系统。既然是安全等级保护定级工作的通知,定级范围包括涉密系统,回顾43号文名称为《信息安全等级保护管理办法》,也介绍到分级保护、密评等内容。那么也就是说,这三个方面分别有公安、保密、密码管理各司其职,各负其责,都是等级保护体系的一个方向,共同组成我国的等级保护制度体系。
其次是,定级工作的主要内容。
要求是开展信息系统基本情况的摸底调查。各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。
初步确定安全保护等级。各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
评审与审批。初步确定信息系统安全保护等级后,可以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。
备案。根据《管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》和辅助备案工具,持填写的备案表和利用辅助备案工具生成的备案电子数据,到公安机关办理备案手续,提交有关备案材料及电子数据文件。其中,第二级信息系统的备案单位只需填写备案表中的表一和表二,第三级以上信息系统的备案单位还应当提交备案表附件所列各项内容的书面材料。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,向当地设区的市级以上公安机关备案。
上面的工作方法是等级保护的基本方法,无论监管部门便于监管,还是运营使用单位自身,通过摸底调查清底数的工作方式方法都是有意义的。对于监管部门没办法监管不了解的信息系统,对于运营使用单位来说没办法保护一个自己不了解的信息系统。另外,备案是向当地设区的市级以上公安机关备案,所以在这个过程中一般是不去县级公安机关备案的。不同的系统需要去哪级公安机关备案,也出自861号文。
下面,又继续谈到了涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(见附件3),按照属地化管理原则,中央和国家机关单位的涉密信息系统向国家保密局备案;地方单位的涉密信息系统向所在地的市(地)级以上保密工作部门备案;中央和国家机关地方所属单位的涉密信息系统,向所在地的省级保密工作部门备案。
涉密系统备案由保密工作部门负责,涉密系统建设使用单位需向保密部门备案。861号文也再次说明,涉密系统的分级保护是等级保护的一部分。
备案管理。公安机关和国家保密工作部门负责受理备案并进行备案管理。信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的,应当通知备案单位予以纠正。发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。
再往下看,就是定级工作的要求。
(一)加强领导,落实保障。各地区、各部门要加强对本地区、本行业信息安全等级保护工作的组织领导,及时掌握工作进展情况,并可组织成立专家组,明确技术支持力量。信息系统运营使用单位要成立等级保护工作组,落实责任部门、责任人员和经费,保障定级工作顺利进行。
(二)明确责任,密切配合。定级工作由各级公安机关牵头,会同国家保密工作部门、国家密码管理部门和信息化领导小组办事机构共同组织实施。公安机关负责定级工作的监督、检查、指导;国家保密工作部门负责涉密系统定级工作的监督、检查、指导;国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导;信息化领导小组办事机构负责定级工作的部门间协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作,督促其落实定级工作各项任务。各信息系统运营使用单位依据《管理办法》和本通知要求,具体实施定级工作。
(三)动员部署,开展培训。各地区、各部门要按照统一部署广泛进行宣传动员,举办形式多样的培训班、研讨班等,层层培训。公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室对国家有关部委、各省级公安、保密、密码和信息化领导小组办事机构就《管理办法》和《信息系统安全等级保护定级指南》等内容进行培训。信息系统主管部门对所管辖的信息系统运营使用单位进行培训。各地参照上述培训模式开展培训工作。
(四)及时总结,提出建议。各地区、各部门要结合本地区、本行业开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议。各地区、各部门负责等级保护的领导机构要及时总结定级工作经验,形成定级工作总结报告,并及时报送公安部。涉密系统定级工作总结报告向国家保密局报送。
在861号文中,附件1:《信息系统安全等级保护定级报告》,这个是我们做等级保护工作时要完成的一个重要文件,这个是系统建设运营单位的工作,在实际等级保护工作中,少不了等保机构或等保咨询机构的协助与帮助。另外,附件2:信息系统安全等级保护备案表 ,这个也是我们去公安部门备案最重要的一个文件之一,这里面涉及的信息很多,很多信息系统建设运营单位初看会头大,同样实际工作中,也少不了等保机构或等保咨询机构的参与。
那么,附件3:涉及国家秘密的信息系统分级保护备案表,这个是属于涉密信息系统的备案表,可以直接看861号文,不再啰嗦了。
对以上内容,我们简单做个总结!
861号文定级范围包括电信、铁路等行业,就是我们现用备案表中所列的行业,然后861号文定级的范围是市(地)级以上的党政机关的重要网站和办公信息系统,以及保密部门管理的涉密信息系统。备案要向当地设区的市级以上公安机关备案。其实,甚至很多测评机构的人进入一个测评机构,就学着测评,学测评技术了。慢慢跟着老测评人协助客户整理定级备案材料,但却不知道这些文件的出处,老测评人说什么,就听什么。不知不觉间自己慢慢的却也变成了老测评人了,老测评人再带新测评人,糊里糊涂的带出来很多测评人。虽然,我这么说有点得罪人,不过这个只能自己扪心自问知道多少。可怜的我,刚入等级保护这个行业时 ,也是阴错阳差先看起来政策文件,慢慢对政策文件感兴趣,避免了自己在这块内容上只知其然的被动。那么,如果你看到这篇。那么你就此知道定级报告模板、备案表就出自861号文。很多所谓老测评人,不见得知道这些知识。我前次也说,有些测评人认为第三级信息系统每年测评一次来自《网络安全法》,其实是出自43号文,而我搜遍《网络安全法》也没有见有关描述,奈何这就出现在方案里了,以讹传讹也把系统建设运营者带到沟里了。
我个人很赞同“不忘初心、牢记使命”主题教育提出的“读原著 学原文 悟原理” 。从读原著学原文中找到抓落实的方法。学习经典原著不是教条主义和本本主义,而是要做到“知行合一”。如同,毛泽东主席在《反对本本主义》中指出:“马克思主义的‘本本’是要学习的,但是必须同我国的实际情况相结合。我们需要‘本本’,但是一定要纠正脱离实际情况的本本主义,怎样纠正这种本本主义,就是向实际情况做调查。”,我们工作学习,也不能人云亦云,动辄谁谁说,而是要自己不断的去:读原著 学原文 悟原理。
期待,与大家共勉,在网络安全等级保护的道路上,期待能够不断加强学习。
#等级保护##网络安全等级保护# #网络安全#
网络安全等级保护:一起看等保重要政策文件43号文(下)
一起看等保重要政策文件43号文(上)
1994-2017等级保护政策及法律发展历程
(本文转载于网络,如有侵权请与我们联系)
