【文章內容簡介】 總體綱領），明確了信息安全保障工作的總體要求、工作原則和重點工作內容 ? 圍繞信息安全保障體系，廣度結合深度，制定、發(fā)布并落實了一些典型的信息安全政策（風險評估、等級保護、電子政務類、應急預案等） ? 其他領域：災難備份、管理體系、監(jiān)控、應急、信任體系、產(chǎn)品和服務認證、人員培訓和認證等 ?后續(xù)展望 ? “十一五”期間發(fā)布的各項政策均將進入落實 期 ? 由電子政務領域向其他 領域拓 展 ? 盡快形成 “ 統(tǒng)一的 ” 信息安全服務資質管理體制 ? 基于信息安全服務類的標準（政策帶動標準，標準支撐政策） ? 統(tǒng)一安全服務行業(yè)的企業(yè)資質和人員資 質 ? 由 “ 狹義信息安全 ” 向 “ 廣義信息安全 ” 延伸 ?IT服務（外包）的 信息 安全保障 ?新技術、 新應用下的信息安全保障 51 知識域：信息安全政策 ?知識 子域：信息安全相關國家政策 ? 了解 信息安全相關國家政策 ? 理解 風險評估、保密管理、應急處理、安全檢查和工控安全等涉及信息安全的相關內容 ? 理解 信息安全等級保護政策體系 ，了解信息 安全等級保護相關政策 52 信息安全相關的政策 ?風險評估相關 政策 ?保密管理相關 政策 ?應急處理相關 政策 ?安全檢查相關 政策 ?工控安全相關 政策 ?等級保護相關 政策 ?加強信息安全保障相關 政策 ?物聯(lián)網(wǎng)安全相關政策 53 關于開展信息安全風險評估工作 的意見 （ 國信 辦 [2023]5號） ?信息安全風險評估 （基于風險管理） ? 系統(tǒng)分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性 ? 評估安全事件一旦發(fā)生可能造成的危害程度 ? 提出有針對性的抵御威脅的防護對策和整改措施 ?基本工作要求 ? 應貫穿于網(wǎng)絡和信息系統(tǒng)建設運行的全過程（ 設計、驗收、運維 ） ? 信息 安全風險評估分自評估、檢查評估兩形式 ,應以自評估為主，自評估和檢查評估相互結合、互為補充 ?相關保障 ? 參照標準 :《 信息安全風險評估規(guī)范 》 （ GB/T 209842023） 、 《 信息安全風險管理指南 》 （ GB/Z 243642023） ? 服務資質（ 對于涉及國計民生的基礎網(wǎng)絡和重要信息系統(tǒng)的風險評估技術服務，要由國家?？氐年犖閬沓袚?） 54 風險評估相關政策 《 關于 加強國家電子政務工程建設項目信息安全 風險評估工作 的通知 》 （ 發(fā)改高技 [2023]2071號） ?依據(jù)和目的 ? 《 國家電子政務工程建設項目管理暫行辦法 》 國 家發(fā)改委令 [2023]第 55號 ? 目的 是為了貫徹 落實中 辦發(fā) [2023]27號 文 ， 加強基礎信息網(wǎng)絡和重要信息系統(tǒng)安全保障，加強和規(guī)范國家電子政務工程建設項目信息安全風險評估工作 ?風險評估的主要內容 ? 分析信息系統(tǒng)資產(chǎn)的重要程度，評估信息系統(tǒng)面臨的安全威脅、存在的脆弱性、已有的安全措施和殘余風險的影響等 ?兩類信息系統(tǒng)的工作開展 ? 涉密信息系統(tǒng)參照“分級保護” ? 非涉密信息系統(tǒng)參照“等級保護” ? 相關 要點 ? 要求將“信息安全風險評估”作為電子政務項目驗收的重要 內容 ? 對信息安全風險評估機構的指定（ 1家 +3家） ? 投入運行后，應定期開展信息安全風險評估 55 風險評估相關政策 關于加強政府信息系統(tǒng)安全和保密管理工作的通知（ 國 辦發(fā) [2023]17號） ?加強組織領導，明確安全責任 ? 把 信息安全和保密工作列入重要議事日程，明確主管領導 ? 誰主管誰負責、誰運行誰負責、誰使用誰負責 ?強化教育培訓，提高安全意識和防護技能 ? 組織信息安全和保密基本技能 培訓 ? 深入 學習宣傳信息安全“五禁止”規(guī)定 ?建立健全安全管理制度，完善安全措施和手段 ? 管理制度 +技術手段 ?做好信息安全檢查工作，依法追究責任 ? 詳見 《 政府信息系統(tǒng)安全檢查辦法 》 56 保密管理相關政策 關于印發(fā)國家網(wǎng)絡與信息安全事件應急預案的通知（ 國 辦函 [2023]168號） ?背景 ? 2023年：國務院成立應急辦，頒布了 《 國家突發(fā)公共衛(wèi)生事件應急條例 》 ? 2023年： 《 國家突發(fā)公共事件總體應急預案 》 （ 4大類公共事件） 《 國家網(wǎng)絡與信息安全事件應急預案 》 ? 2023年：制定發(fā)布 《 國家突發(fā)事件應對法 》 ? 2023年，國務院辦公廳 發(fā)布 本 通知 （國辦函 [2023]168號） ?預案要點 ? 網(wǎng)絡與信息安全事件的分類分級 ? 參照標準： 《 信息安全事件分類分級指南 》 （ GB/Z 20986） ? 應急流程 階段 ：預防預警 — 應急處置 — 后期處置 ? 參照標準： 《 信息安全事件管理指南 》 （ GB/Z 20985） ? 組織體系和應急保障 ? 應急隊伍、經(jīng)費、物資、通信、科技。 ?監(jiān)督管理 ? 宣傳教育、培訓、演練、 責任與獎懲 57 應急處理相關政策 關于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知（ 國 辦發(fā) [2023]28號） ?概述 ? 依據(jù) 《 關于加強政府信息系統(tǒng)安全和保密管理工作的通知 》 （國辦發(fā) [2023]17號） ?檢查范圍 ? 各級政府及其部門對自行運行和維護管理以及委托其他機構進行和維護管理的辦公系統(tǒng)、業(yè)務系統(tǒng)、網(wǎng)站系統(tǒng)等，每半年要進行一次全面的安全檢查。 ?檢查重點 ? 國務院各部門和地方政府的辦公系統(tǒng)、重要業(yè)務系統(tǒng)、門戶網(wǎng)站以及重要新聞網(wǎng)站，要作為檢查重點。 ?檢查方式 ? 各單位自查 + 統(tǒng)一組織抽查 + 安全檢測（按需） ? 工信部負責協(xié)調、指導、監(jiān)督，公安 /安全 /保密 /密碼等部門按職責分工 ? 《 2023年度政府信息系統(tǒng)安全檢查指南 》 （工信部協(xié) [2023]168號） ? 《 2023年度政府信息系統(tǒng)安全檢查指南 》 （工信部協(xié) [2023]143號） ? 《 2023年度政府信息系統(tǒng)安全檢查指南》（工信部協(xié) [2023]214號） 58 安全檢查相關政策 關于加強工業(yè)控制系統(tǒng)信息安全管理的通知（工信部協(xié) [2023]451號） ?基本情況 ? 工信部協(xié) [2023]451號 ， 2023年 9月 29日 發(fā)布 ? 強調 了工業(yè)控制系統(tǒng)信息安全的重要性 ? 工業(yè)控制系統(tǒng)信息安全事關工業(yè)生產(chǎn)運行、國家經(jīng)濟安全和人民生命財產(chǎn)安全 ?四 個方面要求 ? 充分認識加強工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性 ? 明確重點領域工業(yè)控制系統(tǒng)信息安全管理要求 ? 建立工業(yè)控制系統(tǒng)安全測評檢查和漏洞發(fā)布制度 ? 進一步加強工業(yè)控制系統(tǒng)信息安全工作的組織 領導 59 工控安全相關政策 等級保護 相關政策 ?信息安全等級保護的提出 ? 《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》 （ 1994年國務院 147號令） ? 第九條 計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。 ? GB 178591999《 計算機信息系統(tǒng)安全保護等級劃分準則 》 ? 定義 了 安全保護等級 的 五個 級別 60 信息安全等級保護法規(guī)政策體系 61 定 級 備 案 安 全 建 設 整 改 等 級 測 評 檢 查《 關 于 開展 全 國 重要 信 息 系統(tǒng) 安 全 等級 保 護 定級 工 作 的通 知 》（ 公 通 字【 2 0 0 7 】8 6 1 號 ）《 信 息安 全 等級 保 護備 案 實施 細則 》（ 公 信安【 2 0 0 7】 1 3 6 0號 ）《 關 于 開展 信 息 系統(tǒng) 等 級 保護 安 全 建設 整 改 工作 的 指 導意 見 》（ 公 信 安【 2 0 0 9 】1 4 2 9 號 ）《 關 于 加強 國 家 電子 政 務 工程 建 設 項目 信 息 安全 風 險 評估 工 作 的通 知 》（ 發(fā) 改 高技【 2 0 0 8 】2 0 7 1 號 ）《 關 于 進一 步 推 進中 央 企 業(yè)信 息 安 全等 級 保 護工 作 的 通知 》 （ 公通 字【 2 0 1 0 】7 0 號 ）《 關 于 推動 信 息 安全 等 級 保護 測 評 體系 建 設 和開 展 等 級測 評 工 作的 通 知 》（ 公 信 安【 2 0 1 0 】3 0 3 號 ）關 于 印 發(fā)《 信 息 系統(tǒng) 安 全 等級 測 評 報告 模 板（ 試行 ） 》 的通 知 （ 公信 安【 2 0 0 9 】1 4 8 7 號 ）《 公 安 機關 信 息 安全 等 級 保護 檢 查 工作 規(guī) 范（ 試行 ） 》（ 公 信 安【 2 0 0 8 】7 3 6 號 ）《 關 于 開展 信 息 安全 等 級 保護 專 項 監(jiān)督 檢 查 工作 的 通知 》 （ 公信 安【 2 0 0 8 】7 3 6 號 ）關 于 印 發(fā) 《 信 息 安 全 等 級 保 護 管 理 辦 法 》 的 通 知 （ 公 通 字 【 2 0 0 7 】 4 3 號 ）《 關 于 信 息 安 全 等 級 保 護 工 作 的 實 施 意 見 》 （ 公 通 字 【 2 0 0 4 】 6 6 號 ）《 中 華 人 民 共 和 國 計 算 機 信 息 系 統(tǒng) 安 全 保 護 條 例 》（ 國 務 院 令 第 1 4 7 號 ， 1 9 9 4 ）《 國 家 信 息 化 領 導 小 組 關 于 加 強 信 息 安 全 保 障 工 作的 意 見 》 （ 中 辦 發(fā) 【 2 0 0 3 】 2 7 號 ）依據(jù)和指導文件 ?等級保護工作的 法律 依據(jù)和政策 依據(jù) ? 《中華人民共和國計算機信息系統(tǒng)安全保護條例》 ? 《國家信息化領導小組關于加強信息安全保障工作的意見》 ?為 等級 保護工作 的 開展提供宏觀指導和 約束 ? 《關于信息安全等級保護工作的實施意見》 ? 《信息安全等級保護管理辦法》 62 關于信息安全等級保護工作的 實施意見 （ 公字通 [2023]66號） ?信息和信息系統(tǒng)的安全保護等級（ 及其適用范圍 ） ? 第一級為自主保護級 ? 第二級為指導保護級 ? 第三級為監(jiān)督保護級 ? 第四級為強制保護級 ? 第五級為專控保護級 ?定級依據(jù) ? 根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度 ? 遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度 ?實施要求 ? 完善標準 ,分類指導（管理規(guī)范和技術標準） ? 科學定級 ,嚴格備案（專家評審 委員會） ? 建設整改 ,落實措施（ 信息系統(tǒng)：已有、 新建、改建、擴建） ? 自查自糾 ,落實要求（運營、 使用單位及其主管部門） ? 建立制度 ,加強管理（運營、 使用單位及其主管部門） ? 監(jiān)督檢查 ,完善保護（公安機關 重點對 第三、第四級 系統(tǒng) 監(jiān)督檢查 ） 63 關于印發(fā) 信息安全等級保護管理辦法 的通知（ 公字通 [2023]43號） ?《通知》是政策，《管理辦法》屬于 部門規(guī)章 ? 聯(lián)合發(fā)文：公安部、保密局、密碼管理局、原國信辦 ? 國家信息安全等級保護堅持“自主定級、自主保護”的原則 ? 信息系統(tǒng)的安全保護等級分為五級 ?實施與管理 ? 具體實施等級保護工作 參照標準： 《 信息系統(tǒng)安全等級保護實施指南 》 ? 確定安全保護等級 參照標準： 《 信息 系統(tǒng)安全等級保護定級指南 》 ? 系統(tǒng)建設 參照標準： 《 信息 系統(tǒng)安全等級保護 基本要求 》 等 ? 等級測評 參照標準： 《 信息 系統(tǒng)安全等級保護 測評要求 》 ? 二級以上系統(tǒng)的備案要求（由公安機關頒發(fā) 備案證明 ） ? 三級以上系統(tǒng)的定期自查、測評和檢查要求 ? 三級以上系統(tǒng)的信息安全產(chǎn)品選擇使用要求 ? 三級以上系統(tǒng) 等級保護測評機構 的選擇要求 ?涉密信息系統(tǒng) 按 分級保護管理 ?對信息安全等級保護的密碼實行分類分級管理 64 關于開展全國重要信息系統(tǒng)安全等級保護定級工作的 通知 （ 公信安 [2023]861號） ?背景 ? 根據(jù)國家網(wǎng)絡與信息 安全協(xié)調小組 2023年 的工作部署 , 公安部、國家保密局、國家密碼管理局、國務 院信息化工作辦公室定于 2023年 7月至 10月 在全國范圍內組織開 展重要信息系統(tǒng) 安全等級保護定級工作 ?定級范圍 ? 電信、廣電行業(yè)的公用通信網(wǎng)、 廣播電視傳輸網(wǎng)等基礎信息網(wǎng)絡 ,經(jīng)營性公眾互聯(lián)網(wǎng)信息服務單位、 互聯(lián)網(wǎng)接入服務單位 、數(shù)據(jù)中心等單位 的重要信息系統(tǒng) ? 鐵路、銀行、海關、稅務、民航、電力、證券、保險 、外交 、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障 、財 政、審計、商務、水利、國土