今天我們繼續(xù)討論1994-2017等級保護政策及法律發(fā)展歷程的2007年的政策文件，我們知道2007年的《信息安全等級保護管理辦法》(公通字[2006]43號)（以下簡稱“43號文”）由國信辦、公安部、國家保密局、國家密碼管理局等四部門聯合出臺，該文件詳細闡述了公安機關的具體工作任務。公安部牽頭，會同國家保密局、國家密碼管理局等部門共同組織全國各單位、各部門實施信息安全等級保護工作。

這個文件同時明確了公安機關承擔信息安全等級保護監(jiān)督、檢查、指導的任務。

開宗明義，為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設，根據《中華人民共和國計算機信息系統安全保護條例》（國務院147號令）等有關法律法規(guī)，制定43號文。

在43號文第二章是等級劃分與保護，其中第七條明確了信息系統的安全保護等級分為五級，這個五級與66號文的五個級別描述是不同的，43號文則描述發(fā)生了變化，以第三級為例66號文是：第三級為監(jiān)督保護級，適用于涉及國家安全、社會秩序、經濟建設和公共利益的信息和信息系統，其受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成較大損害。而43號文是：第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。我們可以看到，在66號文中描述是“會對國家安全、社會秩序、經濟建設和公共利益造成較大損害”，而43號文則是“會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害”，描述上分的更細，損害程度方面分級，客體也分級。其他三個等級別描述差異，可以仔細研讀66號文和接下來分享的43號文，在此不再過多贅述。從43號文開始，我們的定級指南基本上就遵循這個文件，定級報告描述也用的是43號文的術語進行描述。

43號文的第八條對信息系統運營、使用單位的責任予以明確，要求依據43號文和相關技術標準對信息系統進行保護，國家有關信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。在本條下也是五個級別，簡單描述就是從第一級信息系統運營、使用單位自行保護，到第二級監(jiān)管部門指導，再到第三級的監(jiān)督、檢查，再到第四級的強制監(jiān)督、檢查，最后到第五級的專門監(jiān)督、檢查。在這個五個級別中，都是要求信息系統運營、使用單位依據國家有關管理規(guī)范和技術標準（第五級是業(yè)務特殊安全需求）進行保護。

到第三章是等級保護的實施與管理，其中談到了《信息系統安全等級保護實施指南》《信息系統安全等級保護定級指南》《計算機信息系統安全保護等級劃分準則》（GB17859-1999）、《信息系統安全等級保護基本要求》《信息安全技術信息系統通用安全技術要求》（GB/T20271-2006）、《信息安全技術網絡基礎安全技術要求》（GB/T20270-2006）、《信息安全技術操作系統安全技術要求》（GB/T20272-2006）、《信息安全技術數據庫管理系統安全技術要求》（GB/T20273-2006）、《信息安全技術服務器技術要求》、《信息安全技術終端計算機系統安全等級技術要求》（GA/T671-2006）等標準，在這里其實為我們學習標準指明了道路，等保絕不是也不能局限于《等級保護基本要求》《等級保護測評要求》《等級保護測評過程指南》等幾個含有“等級保護”字眼的標準，這里的標準都應該好好掌握一下的，從而我們更應該明白這些標準后面有很多基礎性知識的標準支撐著他們，支撐著等級保護體系以及等級保護系統建設。

仔細看43號文，下面就說到自查，自查頻率與測評頻率描述是保持一致的，即第三級信息系統每年至少進行一次自查。等級保護的落腳點其實是建設整改，無論是測評還是自查，都應該將未達到安全保護等級要求的內容整改掉。