等级保护建设整改的最佳指南性文件之1429号文

这个图，顺着箭头指向看去，最终汇集到上面椭圆“信息系统安全等级保护建设”，做等级保护技术最终落脚点是这个椭圆，从整个政策来说当然是提升我国整体网络空间安全。就技术说技术，很多朋友可能记得这张图，应该是北京培训时，马力等老师展示过的图，而回去后应该没有翻翻整个图的出处，现在我来告诉你，他的出处就是1429号文。

信息系统安全管理建设整改工作流程图

按照国家有关规定，依据《基本要求》，参照《信息系统通用安全技术要求》《信息系统等级保护安全设计技术要求》等标准规范要求，开展信息系统安全技术建设整改工作。从管理到技术，这两条线非常清晰，所以对我们开展等级保护工作助益匪浅。

后面涉及到建设经费预算和工程实施计划（建设经费预算、工程实施计划）、方案论证和备案，安全建设整改工程实施和管理（工程实施和管理、工程监理和验收、 安全等级测评）等，把整个信息系统建设整改周期基本上都包含进来了。另一个有价值的信息在下面附录，即信息安全等级保护主要标准简要说明。其实，这些内容最后被整合到了《信息安全等级保护政策培训教程》中，如果用心读过这个教程，应该也对这些内容不陌生。

这个附录说明了，信息安全等级保护相关标准大致可以分为四类：基础类、应用类、产品类和其他类。如基础类《计算机信息系统安全保护等级划分准则》（GB17859-1999） 、《信息系统安全等级保护基本要求》（GB/T22239-2008）。应用类涵盖信息系统定级、 等级保护实施、 信息系统安全建设、等级测评等，标准如《信息系统安全保护等级定级指南》（GB/T22240-2008）等诸多国家标准。产品类标准则涵盖操作系统、数据库、网络、PKI、网关、服务器、入侵检测、防火墙、路由器、交换机及其他产品等。这个文件里给出了信息安全等级保护相关标准体系图，如下图：

后面又给出了信息系统定级阶段内容、 总体安全规划阶段内容、安全设计与实施阶段内容、安全运行与维护阶段内容、 信息系统终止阶段内容的综述。其流程图如下：

总之，这个文件其实价值不菲，是一个开启等级保护工作的钥匙，也是一个宝藏。你是不是感觉安全计算环境、安全区域边界、安全通信网络、安全管理中心是等级保护2.0中的专有术语呢？告诉你，这个文件里其实已经提到这些信息内容，个人理解应该是综合当时的实际情况，才没有一次性把这些内容都涵盖在等级保护1.0中来，但是那时间已经在做铺垫了。如果，你对等保了解够深，其实如安全管理中心这个概念，在此文件之前已经在等保相关标准中已经存在了。我们看一下当年对安全计算环境如何描述：安全计算环境是对定级系统的信息进行存储、处理及实施安全策略的相关部件。

这个文件，内容量太大了。我读着是感觉如饮甘怡，越品越甜。简单说两句自己的看法，通过对这个文件的学习，我发现我们不能孤立机械的去理解《基本要求》，等级保护体系是众多标准共同组成的，除了基础类标准，产品类标准也是辅助或者帮助我们理解测评的，而很多内容在不参考这些标准的情况下，会生发出过多的主观解读以及误读等，很多技术人员自认为技术能力强，强行按照自己的理解去解读《基本要求》中的描述，最终与实际的标准解读背道而驰。有些时间，甚至是望文生义，进而整个测评团队一起在错误解读《基本要求》的道路上，越走越远。另外，通过对等级保护1.0相关政策文件和标准的学习，我发现以前刚入行时的疑惑，逐个渐渐解决了。虽然不能说通透，至少不再那么疑惑，很多东西都能找到其出处或落脚点了。所以，我进入等级保护这个行业，算是先前走错了路，上来就是一本《信息安全等级保护政策培训教程》，当时读着感觉云里雾里摸不着头脑，如今结合这几年的工作经验，越发感觉这些政策的强大作用力以及我国等级保护制度设计的优越性。

上次介绍政策时，我提前铺垫了2009年在网络安全保卫局统一领导下，浙江、河南、重庆、广东省公安厅、局公共信息网络安全监察总队以及宁波、深圳市公安局公共信息网络安全监察支队、国家电力监管委员会信息中心率先进入试点，是等级测评体系建设的一次全面实践和检验，主要工作成效：一是检验了等级测评机构条件的必要性和可行性。二是探索了行业性、地区性信息安全等级测评机构组建模式。三是检验并完善了等级测评活动规范化要求的科学性、适用性。四是检验并完善了测评师培训和测评机构能力评估流程和方法。五是检验并完善了的规范、标准。六是锻炼了队伍，提高了测评业务能力和水平。

个人能力有限，很多学习理解尚处于粗浅状态，也期待方家的指引与教诲。在此，期盼有志于等级保护工作的朋友共同进步。也期待，有等级保护需求的朋友洽谈合作。

我将在接下来的时间，继续把我的学习情况通过这个公众号，向大家汇报。