這個(gè)圖，順著箭頭指向看去，最終匯集到上面橢圓“信息系統(tǒng)安全等級保護(hù)建設(shè)”，做等級保護(hù)技術(shù)最終落腳點(diǎn)是這個(gè)橢圓，從整個(gè)政策來說當(dāng)然是提升我國整體網(wǎng)絡(luò)空間安全。就技術(shù)說技術(shù)，很多朋友可能記得這張圖，應(yīng)該是北京培訓(xùn)時(shí)，馬力等老師展示過的圖，而回去后應(yīng)該沒有翻翻整個(gè)圖的出處，現(xiàn)在我來告訴你，他的出處就是1429號文。

信息系統(tǒng)安全管理建設(shè)整改工作流程圖

按照國家有關(guān)規(guī)定，依據(jù)《基本要求》，參照《信息系統(tǒng)通用安全技術(shù)要求》《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》等標(biāo)準(zhǔn)規(guī)范要求，開展信息系統(tǒng)安全技術(shù)建設(shè)整改工作。從管理到技術(shù)，這兩條線非常清晰，所以對我們開展等級保護(hù)工作助益匪淺。

后面涉及到建設(shè)經(jīng)費(fèi)預(yù)算和工程實(shí)施計(jì)劃（建設(shè)經(jīng)費(fèi)預(yù)算、工程實(shí)施計(jì)劃）、方案論證和備案，安全建設(shè)整改工程實(shí)施和管理（工程實(shí)施和管理、工程監(jiān)理和驗(yàn)收、 安全等級測評）等，把整個(gè)信息系統(tǒng)建設(shè)整改周期基本上都包含進(jìn)來了。另一個(gè)有價(jià)值的信息在下面附錄，即信息安全等級保護(hù)主要標(biāo)準(zhǔn)簡要說明。其實(shí)，這些內(nèi)容最后被整合到了《信息安全等級保護(hù)政策培訓(xùn)教程》中，如果用心讀過這個(gè)教程，應(yīng)該也對這些內(nèi)容不陌生。

這個(gè)附錄說明了，信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)大致可以分為四類：基礎(chǔ)類、應(yīng)用類、產(chǎn)品類和其他類。如基礎(chǔ)類《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999） 、《信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T22239-2008）。應(yīng)用類涵蓋信息系統(tǒng)定級、 等級保護(hù)實(shí)施、 信息系統(tǒng)安全建設(shè)、等級測評等，標(biāo)準(zhǔn)如《信息系統(tǒng)安全保護(hù)等級定級指南》（GB/T22240-2008）等諸多國家標(biāo)準(zhǔn)。產(chǎn)品類標(biāo)準(zhǔn)則涵蓋操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)、PKI、網(wǎng)關(guān)、服務(wù)器、入侵檢測、防火墻、路由器、交換機(jī)及其他產(chǎn)品等。這個(gè)文件里給出了信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)體系圖，如下圖：

后面又給出了信息系統(tǒng)定級階段內(nèi)容、 總體安全規(guī)劃階段內(nèi)容、安全設(shè)計(jì)與實(shí)施階段內(nèi)容、安全運(yùn)行與維護(hù)階段內(nèi)容、 信息系統(tǒng)終止階段內(nèi)容的綜述。其流程圖如下：

總之，這個(gè)文件其實(shí)價(jià)值不菲，是一個(gè)開啟等級保護(hù)工作的鑰匙，也是一個(gè)寶藏。你是不是感覺安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全管理中心是等級保護(hù)2.0中的專有術(shù)語呢？告訴你，這個(gè)文件里其實(shí)已經(jīng)提到這些信息內(nèi)容，個(gè)人理解應(yīng)該是綜合當(dāng)時(shí)的實(shí)際情況，才沒有一次性把這些內(nèi)容都涵蓋在等級保護(hù)1.0中來，但是那時(shí)間已經(jīng)在做鋪墊了。如果，你對等保了解夠深，其實(shí)如安全管理中心這個(gè)概念，在此文件之前已經(jīng)在等保相關(guān)標(biāo)準(zhǔn)中已經(jīng)存在了。我們看一下當(dāng)年對安全計(jì)算環(huán)境如何描述：安全計(jì)算環(huán)境是對定級系統(tǒng)的信息進(jìn)行存儲(chǔ)、處理及實(shí)施安全策略的相關(guān)部件。

這個(gè)文件，內(nèi)容量太大了。我讀著是感覺如飲甘怡，越品越甜。簡單說兩句自己的看法，通過對這個(gè)文件的學(xué)習(xí)，我發(fā)現(xiàn)我們不能孤立機(jī)械的去理解《基本要求》，等級保護(hù)體系是眾多標(biāo)準(zhǔn)共同組成的，除了基礎(chǔ)類標(biāo)準(zhǔn)，產(chǎn)品類標(biāo)準(zhǔn)也是輔助或者幫助我們理解測評的，而很多內(nèi)容在不參考這些標(biāo)準(zhǔn)的情況下，會(huì)生發(fā)出過多的主觀解讀以及誤讀等，很多技術(shù)人員自認(rèn)為技術(shù)能力強(qiáng)，強(qiáng)行按照自己的理解去解讀《基本要求》中的描述，最終與實(shí)際的標(biāo)準(zhǔn)解讀背道而馳。有些時(shí)間，甚至是望文生義，進(jìn)而整個(gè)測評團(tuán)隊(duì)一起在錯(cuò)誤解讀《基本要求》的道路上，越走越遠(yuǎn)。另外，通過對等級保護(hù)1.0相關(guān)政策文件和標(biāo)準(zhǔn)的學(xué)習(xí)，我發(fā)現(xiàn)以前剛?cè)胄袝r(shí)的疑惑，逐個(gè)漸漸解決了。雖然不能說通透，至少不再那么疑惑，很多東西都能找到其出處或落腳點(diǎn)了。所以，我進(jìn)入等級保護(hù)這個(gè)行業(yè)，算是先前走錯(cuò)了路，上來就是一本《信息安全等級保護(hù)政策培訓(xùn)教程》，當(dāng)時(shí)讀著感覺云里霧里摸不著頭腦，如今結(jié)合這幾年的工作經(jīng)驗(yàn)，越發(fā)感覺這些政策的強(qiáng)大作用力以及我國等級保護(hù)制度設(shè)計(jì)的優(yōu)越性。

上次介紹政策時(shí)，我提前鋪墊了2009年在網(wǎng)絡(luò)安全保衛(wèi)局統(tǒng)一領(lǐng)導(dǎo)下，浙江、河南、重慶、廣東省公安廳、局公共信息網(wǎng)絡(luò)安全監(jiān)察總隊(duì)以及寧波、深圳市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察支隊(duì)、國家電力監(jiān)管委員會(huì)信息中心率先進(jìn)入試點(diǎn)，是等級測評體系建設(shè)的一次全面實(shí)踐和檢驗(yàn)，主要工作成效：一是檢驗(yàn)了等級測評機(jī)構(gòu)條件的必要性和可行性。二是探索了行業(yè)性、地區(qū)性信息安全等級測評機(jī)構(gòu)組建模式。三是檢驗(yàn)并完善了等級測評活動(dòng)規(guī)范化要求的科學(xué)性、適用性。四是檢驗(yàn)并完善了測評師培訓(xùn)和測評機(jī)構(gòu)能力評估流程和方法。五是檢驗(yàn)并完善了的規(guī)范、標(biāo)準(zhǔn)。六是鍛煉了隊(duì)伍，提高了測評業(yè)務(wù)能力和水平。

個(gè)人能力有限，很多學(xué)習(xí)理解尚處于粗淺狀態(tài)，也期待方家的指引與教誨。在此，期盼有志于等級保護(hù)工作的朋友共同進(jìn)步。也期待，有等級保護(hù)需求的朋友洽談合作。我將在接下來的時(shí)間，繼續(xù)把我的學(xué)習(xí)情況通過這個(gè)公眾號，向大家匯報(bào)。