昨天我們簡單談了一下27號文,今天繼續順著我整理的《1994-2017等級保護政策及法律發展歷程》繼續往下看。
今天我們沿著等保的歷史時間線了解一下公通字[2004]66號,即《關于信息安全等級保護工作的實施意見》,通過閱讀學習我們能夠得出該文件是為貫徹落實國務院第147號令和中辦27號文件,而在有關等保培訓材料也是這么寫的,測評師培訓考試時老師們也是這么解讀的。該文件是由公安部、國家保密局、國家密碼管理局、原國務院信息辦等四部委共同會簽印發的,是一個指導相關部門實施信息安全等級保護工作的綱領性文件,主要內容包括貫徹落實信息安全等級保護制度的基本原則,等級保護工作的基本內容、工作要求和實施計劃,以及各部門工作職責分工等。
該文件給我們講述了開展信息安全等級保護工作的重要意義,在這里文件里歸結成了五個“有利于”,鄙人當初剛入門等級保護時,比較笨還費了九牛二虎之力背誦了好幾遍這五個“有利于”,到現在回看這五個“有利于”倍感親切,卻也忘卻差不多了。文件談到:實施信息安全等級保護,能夠有效地提高我國信息和信息系統安全建設的整體水平,有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務,有效控制信息安全建設成本;有利于優化信息安全資源的配置,對信息系統分級實施保護,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動信息安全產業的發展,逐步探索出一條適應社會主義市場經濟發展的信息安全模式。
從這五個“有利于”不難看出,我們國家發展等級保護制度方向是明確的,該文件確實也真真切切的指導了我們等級保護的開展,所以我們談完27號文,再談66號文,逐步展開,循著中國等級保護制度的發展去看,體會循序漸進中的進步。一天接一天的看,好像變化不大,而看完這些文件,再看看當下我們會發現已經取得了巨大的進步,不得不佩服我們制度的優越性,能夠著眼當下又具備長遠發展的戰略思路。回到66號文,上面談到五個“有利于”,而接下來文件就談了信息安全等級保護制度的原則。
66號文談到信息安全等級保護的核心是對信息安全分等級、按標準進行建設、管理和監督。遵循以下四個原則:明確責任,共同保護;依照標準,自行保護;同步建設,動態調整;指導監督,重點保護。這四個原則當然很重要,而且也不僅僅是上面32個字,每個原則都在文件里進行了解讀,需要了解詳情的朋友,可以在原文鏈接中下載我發的分享。
而在講完原則,則進入了信息安全等級保護制度的基本內容章節,這部分提到根據信息和信息系統在國家安全、經濟建設、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度;針對信息的保密性、完整性和可用性要求及信息系統必須要達到的基本的安全保護水平等因素,信息和信息系統的安全保護等級共分五級。這五個級別的分法與現在備案時談論的分法還是有一定區別的,現在我們去公安備案時的五個級別來自以后要談到的是43號文即《信息安全等級保護管理辦法》定義的,所以大家看文件時要注意區別一下。
66號文的第一級為自主保護級、第二級為指導保護級、第三級為監督保護級、第四級為強制保護級、第五級為專控保護級,共五個級別。同時,該文件也提到了國家對信息安全產品的使用實行分等級管理,接下來該文件又明確了信息安全等級保護工作職責分工,公安機關負責信息安全等級保護工作的監督、檢查、指導,公安機關在等級保護中的主導地位再次強調。接下來,則談到了實施信息安全等級保護工作的要求。
實施信息安全等級保護工作的要求強調應當做好以下六個方面工作:完善標準,分類指導;科學定級,嚴格備案;建設整改,落實措施;自查自糾,落實要求;建立制度,加強管理;監督檢查,完善保護。這六個方面,其實是各司其職的,必須監督檢查,完善保護是指公安機關按照等級保護的管理規范和技術標準的要求,重點對第三、第四級信息和信息系統的安全等級保護狀況進行監督檢查。發現確定的安全保護等級不符合等級保護的管理規范和技術標準的,要通知信息和信息系統的主管部門及運營、使用單位進行整改;發現存在安全隱患或未達到等級保護的管理規范和技術標準要求的,要限期整改,使信息和信息系統的安全保護措施更加完善。對信息系統中使用的信息安全產品的等級進行監督檢查。其他幾個方面,大家可以在通過我分享的原文,仔細閱讀。在此,不再贅述。
最后談到的是信息安全等級保護工作實施計劃,當然該文件當時是談的未來,站在今天已經是過去式了。不過,我們可以比對一下,當年的計劃是否都付諸實施了,是否都應得到驗證了。
該文件提到當年計劃用三年左右的時間在全國范圍內分三個階段實施信息安全等級保護制度。準備階段、重點實行階段、全面實行階段,共三個階段。這三個階段,基本上已經全都實現。達到了當初預定的,經過三年的努力,逐步將信息安全等級保護制度落實到信息安全規劃、建設、評估、運行維護等各個環節,使我國信息安全保障狀況得到基本改善。從等保培訓資料中,我們看到三年后,2008年北京奧運會舉辦,所有涉及奧運的重要信息系統嚴格落實國家信息安全等級保護制度,組織開展了信息系統定級、備案、安全測評和滲透性攻擊測試、風險評估,及時發現漏洞、安全隱患和問題,督促有關部門進行整改,提高了涉奧信息網絡的安全防護能力。從而證明落實等級保護制度,開展風險評估等工作是提高重要信息系統安全防范能力、抵御攻擊能力的有效措施。
