昨天我們簡單談了一下27號文，今天繼續(xù)順著我整理的《1994-2017等級保護政策及法律發(fā)展歷程》繼續(xù)往下看。

　　今天我們沿著等保的歷史時間線了解一下公通字[2004]66號，即《關(guān)于信息安全等級保護工作的實施意見》，通過閱讀學(xué)習(xí)我們能夠得出該文件是為貫徹落實國務(wù)院第147號令和中辦27號文件，而在有關(guān)等保培訓(xùn)材料也是這么寫的，測評師培訓(xùn)考試時老師們也是這么解讀的。該文件是由公安部、國家保密局、國家密碼管理局、原國務(wù)院信息辦等四部委共同會簽印發(fā)的，是一個指導(dǎo)相關(guān)部門實施信息安全等級保護工作的綱領(lǐng)性文件，主要內(nèi)容包括貫徹落實信息安全等級保護制度的基本原則，等級保護工作的基本內(nèi)容、工作要求和實施計劃，以及各部門工作職責(zé)分工等。

　　該文件給我們講述了開展信息安全等級保護工作的重要意義，在這里文件里歸結(jié)成了五個“有利于”，鄙人當(dāng)初剛?cè)腴T等級保護時，比較笨還費了九牛二虎之力背誦了好幾遍這五個“有利于”，到現(xiàn)在回看這五個“有利于”倍感親切，卻也忘卻差不多了。文件談到：實施信息安全等級保護，能夠有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平，有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)，有效控制信息安全建設(shè)成本；有利于優(yōu)化信息安全資源的配置，對信息系統(tǒng)分級實施保護，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全；有利于明確國家、法人和其他組織、公民的信息安全責(zé)任，加強信息安全管理；有利于推動信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應(yīng)社會主義市場經(jīng)濟發(fā)展的信息安全模式。

　　從這五個“有利于”不難看出，我們國家發(fā)展等級保護制度方向是明確的，該文件確實也真真切切的指導(dǎo)了我們等級保護的開展，所以我們談完27號文，再談66號文，逐步展開，循著中國等級保護制度的發(fā)展去看，體會循序漸進中的進步。一天接一天的看，好像變化不大，而看完這些文件，再看看當(dāng)下我們會發(fā)現(xiàn)已經(jīng)取得了巨大的進步，不得不佩服我們制度的優(yōu)越性，能夠著眼當(dāng)下又具備長遠發(fā)展的戰(zhàn)略思路。回到66號文，上面談到五個“有利于”，而接下來文件就談了信息安全等級保護制度的原則。

　　66號文談到信息安全等級保護的核心是對信息安全分等級、按標準進行建設(shè)、管理和監(jiān)督。遵循以下四個原則：明確責(zé)任，共同保護；依照標準，自行保護；同步建設(shè)，動態(tài)調(diào)整；指導(dǎo)監(jiān)督，重點保護。這四個原則當(dāng)然很重要，而且也不僅僅是上面32個字，每個原則都在文件里進行了解讀，需要了解詳情的朋友，可以在原文鏈接中下載我發(fā)的分享。

　　而在講完原則，則進入了信息安全等級保護制度的基本內(nèi)容章節(jié)，這部分提到根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達到的基本的安全保護水平等因素，信息和信息系統(tǒng)的安全保護等級共分五級。這五個級別的分法與現(xiàn)在備案時談?wù)摰姆址ㄟ€是有一定區(qū)別的，現(xiàn)在我們?nèi)ス矀浒笗r的五個級別來自以后要談到的是43號文即《信息安全等級保護管理辦法》定義的，所以大家看文件時要注意區(qū)別一下。

　　66號文的第一級為自主保護級、第二級為指導(dǎo)保護級、第三級為監(jiān)督保護級、第四級為強制保護級、第五級為?？乇Ｗo級，共五個級別。同時，該文件也提到了國家對信息安全產(chǎn)品的使用實行分等級管理，接下來該文件又明確了信息安全等級保護工作職責(zé)分工，公安機關(guān)負責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo)，公安機關(guān)在等級保護中的主導(dǎo)地位再次強調(diào)。接下來，則談到了實施信息安全等級保護工作的要求。

　　實施信息安全等級保護工作的要求強調(diào)應(yīng)當(dāng)做好以下六個方面工作：完善標準，分類指導(dǎo)；科學(xué)定級，嚴格備案；建設(shè)整改，落實措施；自查自糾，落實要求；建立制度，加強管理；監(jiān)督檢查，完善保護。這六個方面，其實是各司其職的，必須監(jiān)督檢查，完善保護是指公安機關(guān)按照等級保護的管理規(guī)范和技術(shù)標準的要求，重點對第三、第四級信息和信息系統(tǒng)的安全等級保護狀況進行監(jiān)督檢查。發(fā)現(xiàn)確定的安全保護等級不符合等級保護的管理規(guī)范和技術(shù)標準的，要通知信息和信息系統(tǒng)的主管部門及運營、使用單位進行整改；發(fā)現(xiàn)存在安全隱患或未達到等級保護的管理規(guī)范和技術(shù)標準要求的，要限期整改，使信息和信息系統(tǒng)的安全保護措施更加完善。對信息系統(tǒng)中使用的信息安全產(chǎn)品的等級進行監(jiān)督檢查。其他幾個方面，大家可以在通過我分享的原文，仔細閱讀。在此，不再贅述。

　　最后談到的是信息安全等級保護工作實施計劃，當(dāng)然該文件當(dāng)時是談的未來，站在今天已經(jīng)是過去式了。不過，我們可以比對一下，當(dāng)年的計劃是否都付諸實施了，是否都應(yīng)得到驗證了。

　　該文件提到當(dāng)年計劃用三年左右的時間在全國范圍內(nèi)分三個階段實施信息安全等級保護制度。準備階段、重點實行階段、全面實行階段，共三個階段。這三個階段，基本上已經(jīng)全都實現(xiàn)。達到了當(dāng)初預(yù)定的，經(jīng)過三年的努力，逐步將信息安全等級保護制度落實到信息安全規(guī)劃、建設(shè)、評估、運行維護等各個環(huán)節(jié)，使我國信息安全保障狀況得到基本改善。從等保培訓(xùn)資料中，我們看到三年后，2008年北京奧運會舉辦，所有涉及奧運的重要信息系統(tǒng)嚴格落實國家信息安全等級保護制度，組織開展了信息系統(tǒng)定級、備案、安全測評和滲透性攻擊測試、風(fēng)險評估，及時發(fā)現(xiàn)漏洞、安全隱患和問題，督促有關(guān)部門進行整改，提高了涉奧信息網(wǎng)絡(luò)的安全防護能力。從而證明落實等級保護制度，開展風(fēng)險評估等工作是提高重要信息系統(tǒng)安全防范能力、抵御攻擊能力的有效措施。