我們討論了《網絡安全等級保護：一起回看2007等保重要政策文件43號文：上》，今天我們繼續討論循著1994-2017等級保護政策及法律發展歷程的2007年的政策文件，我們知道2007年的《信息安全等級保護管理辦法》（公通字[2006]43號）（以下簡稱“43號文”）由公安部、國家保密局、國家密碼管理局等四部門聯合出臺，該文件詳細闡述了公安機關的具體工作任務。

　　43號文明確了等級保護的“定級、備案、建設、測評、監督檢查”五個規定動作。上次，我們介紹到備案過程中，三級系統需要提交七個附件。

　　接下來我們繼續沿著上次說的往下走。

　　在43號文中說到，信息系統備案后，公安機關應當對信息系統的備案情況進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工作日內頒發信息系統安全等級保護備案證明；發現不符合本辦法及有關標準的，應當在收到備案材料之日起的10個工作日內通知備案單位予以糾正；發現定級不準的，應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。以及運營、使用單位或者主管部門重新確定信息系統等級后，應當按照本辦法向公安機關重新備案。

　　接下來，是公安機關對第三級、第四級信息系統進行檢查的規定和內容。及信息系統運營、使用單位接受公安機關、國家指定的專門部門的安全監督、檢查、指導，如實向公安機關、國家指定的專門部門提供哪些信息資料及數據文件等。后面，又介紹了公安機關監督運營、使用單位整改等以及對第三級以上信息系統選用安全產品的要求，及選擇什么樣的測評機構進行測評等。

　　在43號文中，也明確了測評機構應當履行的義務，如遵守國家有關法律法規和技術標準，提供安全、客觀、公正的檢測評估服務，保證測評的質量和效果；保守在測評活動中知悉的國家秘密、商業秘密和個人隱私，防范測評風險；對測評人員進行安全保密教育，與其簽訂安全保密責任書，規定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實等。

　　43號文對于非涉密系統的測評，到該文件的第43號文第二十三條，到第四章就開始介紹涉及涉及國家秘密信息系統的分級保護管理的內容，即是我們常說的“分級保護”。分級保護由國家保密工作部門制定管理規定和技術標準，同時在第四章也明確要求非涉密信息系統不得處理國家秘密信息。其中，涉密信息系統的分級由低到高分為秘密、機密、絕密三個等級。其定級依據BMB17-2006《涉及國家秘密的計算機信息系統分級保護技術要求》確定系統等級，并接受保密部門的監督、檢查、指導。

　　在第二十七條，按照秘密、機密、絕密三級的不同要求，結合系統實際進行方案設計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。從這句話，基本上可以理解，非涉密的等級保護和涉密的分級保護，某種程度上是對標標準的。分級保護的采用的設備產品原則上應當選用國產產品，并應當通過國家保密局授權的檢測機構依據有關國家保密標準進行的檢測，通過檢測的產品由國家保密局審核發布目錄。

　　由于，分級保護工作我們常規涉及不多，如需了解更多，可以參閱43號文全文。在此，就不再贅述。

　　43號文第五章則介紹了信息安全等級保護的密碼管理，也是所謂的“密評”。這塊工作由國家密碼管理部門進行管理，遵照《信息安全等級保護密碼管理辦法》《信息安全等級保護商用密碼技術要求》等密碼管理規定和相關標準。采用密碼對涉及國家秘密的信息和信息系統進行保護的，應報經國家密碼管理局審批，密碼的設計、實施、使用、運行維護和日常管理等，應當按照國家密碼管理有關規定和相關標準執行；采用密碼對不涉及國家秘密的信息和信息系統進行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關規定與相關標準，其密碼的配備使用情況應當向國家密碼管理機構備案。

　　有關密評，按照《密碼法》規定：法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商業密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

　　在后面法律責任方面，對信息系統運營、使用單位和信息安全監管部門及其工作人員進行了約束。

　　總之，43號文是等級保護體系中一個重要的政策文件，是每一個等保人應該認真學習研究的一份文件。在剛剛入門等保時，有人分級保護，說的很神秘，最終發現對方只是知道“分級保護”這四個字，外延的東西少的可憐，再后來，有人告訴我分級保護與等保第三級、第四級、第五級的對標，而沒有告訴我出自哪個文件？后來，初級測評師考試通過后，通過學習等級保護有關政策文件，慢慢的發現原來模棱兩可的知識和認識，漸漸清晰起來了。

　　很多看似很新的東西，其實已經存在很久了。可謂常讀常新，不斷積累吧。