【文章內(nèi)容簡介】 企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。 ?51 《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》 （中辦發(fā) [2023]27號） 2 ? 主要任務(wù)（重點加強的安全保障工作） – 實行信息安全等級保護 – 加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系建設(shè) – 建設(shè)和完善信息安全監(jiān)控體系 – 重視信息安全應(yīng)急處理工作 – 加強信息安全技術(shù)研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展 – 加強信息安全法制建設(shè)和標準化建設(shè) – 加快信息安全人才培養(yǎng)，增強全民信息安全意識 – 保證信息安全資金 – 加強對信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制 ? 信息安全與國家安全 – 27號文：信息安全已成為國家安全的重要組成部分 – 十六屆四中全會：確保國家的政治安全、經(jīng)濟安全、文化安全和信息安全 ?十一五：試點 ? 十二五：普及推廣 ?52 國家電子政務(wù)工程建設(shè)項目管理暫行辦法 ? 本身不是政策，屬于法律法規(guī) – 部門規(guī)章 國家發(fā)改委令 [2023]第 55號 – 對國家電子政務(wù)工程建設(shè)項目有明確的信息安全要求 ? 第六章 驗收評價管理 – 項目建設(shè)單位應(yīng)在完成項目建設(shè)任務(wù)后的半年內(nèi) ,組織完成建設(shè)項目的信息安全風(fēng)險評估和初步驗收工作。 ? 第七章 運行管理 – 項目建設(shè)單位或其委托的專業(yè)機構(gòu)應(yīng)按照風(fēng)險評估的相關(guān)規(guī)定 , 對建成項目進行信息安全風(fēng)險評估 ,檢驗其網(wǎng)絡(luò)和信息系統(tǒng)對安全環(huán)境變化的適應(yīng)性及安全措施的有效性 ,保障信息安全目標的實現(xiàn)。 ? 項建書、可研報告、初步設(shè)計方案 – 在“項建和可研”的項目建設(shè)方案中應(yīng)包含“安全系統(tǒng)建設(shè)方案” – 在 “ 初設(shè) ” 的項目設(shè)計方案中應(yīng)包含 “ 安全系統(tǒng)設(shè)計 ” 關(guān)于加強政府信息安全和保密管理工作的通知 （國辦發(fā) [2023]17號） ? 明確職責(zé) – 把 信息安全和保密工作列入重要議事日程，明確一名主管領(lǐng)導(dǎo) – 誰主管誰負責(zé)、誰運行誰負責(zé)、誰使用誰負責(zé) ? 強化人員培訓(xùn) – 組織信息安全和保密基本技能培訓(xùn)，開展信息安全和保密形勢分析 – 深入學(xué)習(xí)宣傳信息安全“五禁止”規(guī)定 ? 完善安全措施和手 段 – 管理制度 +技術(shù)手段 ? 加強信息安全檢查 – 詳見 《 政府信息系統(tǒng)安全檢查辦法 》 ?54 關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知 （國辦發(fā) [2023]28號） 1 ? 依據(jù) – 《 關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知 》 （國辦發(fā) [2023]17號） ? 檢查范圍和檢查重點 – 各級政府及其部門對自行運行和維護管理以及委托其他機構(gòu)進行和維護管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等，每半年要進行一次全面的安全檢查。 – 國務(wù)院各部門和地方政府的辦公系統(tǒng)、重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站以及重要新聞網(wǎng)站，要作為檢查重點。 ? 檢查方式 – 各單位自查 + 統(tǒng)一組織抽查 + 安全檢測（按需） – 工信部負責(zé)協(xié)調(diào)、指導(dǎo)、監(jiān)督，公安 /安全 /保密 /密碼等部門按職責(zé)分工 – 《 2023年度政府信息系統(tǒng)安全檢查指南 》 （工信部協(xié) [2023]168號） – 《 2023年度政府信息系統(tǒng)安全檢查指南 》 （工信部協(xié) [2023]143號） ?55 關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知 （國辦發(fā) [2023]28號） 2 ? 檢查內(nèi)容 – 安全制度落實情況 人員、制度、經(jīng)費等 – 安全防范措施落實情況 各類技術(shù)措施 – 應(yīng)急響應(yīng)機制建設(shè)情況 應(yīng)急 預(yù)案制定和演練、應(yīng)急隊伍、事故處置、數(shù)據(jù) /系統(tǒng)備份等 – 信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況 終端 /OA/信息安全產(chǎn)品國產(chǎn)情況、信息安全服務(wù)外包情況等 – 安全教育培訓(xùn)情況 參加、掌握、持證等情況 – 責(zé)任追究情況 – 安全隱患排查及整改情況 – 安全形勢、安全風(fēng)險評估狀況 ?56 2023年度政府信息系統(tǒng)安全檢查指南 （工信部協(xié) [2023]143號） ? 檢查內(nèi)容（檢查指南比檢查辦法更細化，以 2023年為例） – 信息安全組織機構(gòu) – 日常信息安全管理 （人員、資產(chǎn)、運維） – 等級保護與風(fēng)險評估 – 技術(shù)防護手段建設(shè) （網(wǎng)絡(luò)邊界、信息安全產(chǎn)品、服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端計算機和移動存儲設(shè)備、門戶網(wǎng)站、密碼技術(shù)、網(wǎng)絡(luò)信任措施） – 應(yīng)急管理工作開展 （應(yīng)急預(yù)案、應(yīng)急演練、應(yīng)急技術(shù)支援隊伍、災(zāi)難備份、應(yīng)急處置） – 信息技術(shù)產(chǎn)品和信息安全產(chǎn)品使用 – 信息安全服務(wù) – 信息安全教育培訓(xùn) – 信息安全經(jīng)費保障 – 安全隱患排查及整改 ?57 關(guān)于印發(fā)國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案的通知 （國辦函 [2023]168號） ? 背景 – 2023年：國務(wù)院成立應(yīng)急辦，頒布了《國家突發(fā)公共衛(wèi)生事件應(yīng)急條例》 – 2023年：《國家突發(fā)公共事件總體應(yīng)急預(yù)案》（ 4大類公共安全） 《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》 – 2023年：制定發(fā)布《國家突發(fā)事件應(yīng)對法》 ? 預(yù)案要點 – 網(wǎng)絡(luò)與信息安全事件的分類分級 ? 參照標準：《信息安全事件分類分級指南》（ GB/Z 20986） – 應(yīng)急流程：預(yù)防預(yù)警 — 應(yīng)急處置 — 后期處置 ? 參照標準：《信息安全事件管理指南》（ GB/Z 20985） – 組織體系和應(yīng)急保障 ? 應(yīng)急隊伍、經(jīng)費、物資、通信、科技。 ? 監(jiān)督管理 – 宣傳教育、培訓(xùn)、演練、責(zé)任與獎懲 ?58 知識域：信息安全國家政策 ? 知識子域：風(fēng)險評估有關(guān)政策規(guī)范 – 了解國家有關(guān)政策對信息安全風(fēng)險評估工作提出的要求 – 了解國家有關(guān)政策對電子政務(wù)工程及國家重要信息系統(tǒng)建設(shè)項目風(fēng)險評估專控隊伍的規(guī)定 ? 知識子域：等級保護有關(guān)政策規(guī)范 ? 了解《信息安全等級保護管理辦法》的有關(guān)要求 ? 知識子域：國 家密碼管理政策 – 了解我國對密碼的管理政策要求 ?59 關(guān)于開展信息安全風(fēng)險評估的意見 （國信辦 [2023]5號） ? 信息安全風(fēng)險評估（基于風(fēng)險管理） – 系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性 – 評估安全事件一旦發(fā)生可能造成的危害程度 – 提出有針對性的抵御威脅的防護對策和整改措施 ? 基本工作要求 – 應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程（ 設(shè)計、驗收、運維 ） – 定期組織實施網(wǎng)絡(luò)與信息系統(tǒng)自評估，并積極配合有關(guān)部門的檢查評估 ? 相關(guān)保障 – 參照標準 :《信息安全風(fēng)險評估規(guī)范》（ GB/T 20984）、《信息安全風(fēng)險管理規(guī)范》（制定中） – 服務(wù)資質(zhì)（ 對于涉及國計民生的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險評估技術(shù)服務(wù)，要由國家?？氐年犖閬沓袚?dān) ） ?60 關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知 （發(fā)改高技 [2023]2071號） ? 依據(jù)和目的 – 《 國家電子政務(wù)工程建設(shè)項目管理暫行辦法 》 國 家發(fā)改委令 [2023]第 55號 – 三部委聯(lián)合發(fā)文：發(fā)改委、公安部、保密局 – 將 “ 信息安全風(fēng)險評估 ” 作為項目驗收的重要內(nèi)容（按要求提交一系列文檔） ? 風(fēng)險評估的主要內(nèi)容 – 分析信息系統(tǒng)資產(chǎn)的重要程度，評估信息系統(tǒng)面臨的安全威脅、存在的脆弱性、已有的安全措施和殘余風(fēng)險的影響等 ? 兩類信息系統(tǒng)的工作開展 – 涉密信息系統(tǒng)參照 “ 分級保護 ” ， 進行系統(tǒng)測評并履行審批手續(xù) – 非涉密信息系統(tǒng)參照 “ 等級保護 ” ， 完成等級測評和風(fēng)險評估工作，并形成 相關(guān)報告 ? 相關(guān)要點 – 對信息安全風(fēng)險評估機構(gòu)的指定（ 1家 +3家） – 信息安全風(fēng)險評估經(jīng)費計入該項目總投資 – 投入運行后，應(yīng)定期開展信息安全風(fēng)險評估 ?61 關(guān)于信息安全等級保護工作的實施意見 （公字通 [2023]66號） 1 ? 信息安全等級保護 – 是 保障和促進信息化建設(shè)健康發(fā)展的一項基本制度 – 核心是對信息安全分等級、按標準進行建設(shè)、管理和監(jiān)督 – 公安機關(guān)負責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo) – 保密 /密碼 /信息化工作部門各自的職責(zé)分工 ? 信息和信息系統(tǒng)的安全保護等級（ 及其適用范圍 ） – 第一級為自主保護級 – 第二級為指導(dǎo)保護級 – 第三級為監(jiān)督保護級 – 第四級為強制保護級 – 第五級為?？乇Ｗo級 ? 定級依據(jù) – 根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度 。遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度 ?62 關(guān)于信息安全等級保護工作的實施意見 （公字通 [2023]66號） 2 ? 實施要求 – 完善標準 ,分類指導(dǎo)（管理規(guī)范和技術(shù)標準） – 科學(xué)定級 ,嚴格備案（專家評審委員會。 三級以上系統(tǒng)備案 ） – 建設(shè)整改 ,落實措施（ 信息系統(tǒng)：已有、 新建、改建、擴建） – 自查自糾 ,落實要求（運營、 使用單位及其主管部門） – 建立制度 ,加強管理（運營、 使用單位及其主管部門） – 監(jiān)督檢查 ,完善保護（公安機關(guān) 重點對 第三、 第四 級 系統(tǒng) ） ? 其他等級要求 – 國家對信息安全產(chǎn)品的使用實行分等級管理 – 信息安全事件實行分等級響應(yīng)、處置的制度 ?63 關(guān)于印發(fā) 信息安全等級保護管理辦法 的通知 （公字通 [2023]43號） ? 《通知》是政策，《管理辦法》屬于法律法規(guī) – 四部委聯(lián)合發(fā)文：公安部、保密局、密碼管理局、原國信辦 – 國家信息安全等級保護堅持“自主定級、自主保護”的原則 – 信息系統(tǒng)的安全保護等級分為五級 ? 實施與管理 – 具體實施等級保護工作 參照標準：《 信息系統(tǒng)安全等級保護實施指南 》 – 確定安全保護等級 參照標準：《信息 系統(tǒng)安全等級保護定級指南 》 – 系統(tǒng)建設(shè) 參照標準：《信息 系統(tǒng)安全等級保護 基本要求》等 – 等級測評 參照標準：《信息 系統(tǒng)安全等級保護 測評要求》 – 二級以上系統(tǒng)的備案要求（由公安機關(guān)頒發(fā) 備案證明 ） – 三級以上系統(tǒng)的定期自查、測評和檢查要求 – 三級以上系統(tǒng)的信息安全產(chǎn)品選擇使用要求 – 三級以上系統(tǒng) 等級保護測評機構(gòu) 的選擇要求 ? 涉密信息系統(tǒng) 按 分級保護管理（ 略 ） ? 對信息安全等級保護的密碼實行分類分級管理（ 略 ） ?64 關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見 （公信安 [2023]1429號） ? 工作目標 – 力爭在 2023年底前完成已定級信息系統(tǒng) (不 含 涉密信息系統(tǒng) )安全建設(shè)整改工作 ? 工作內(nèi)容 – 開展信息安全等級保護安全管理制度建設(shè) ,提高信息系統(tǒng)安全管理水平 – 開展信息安全等級保護安全技術(shù)措施建設(shè) ,提高信息系統(tǒng)安全保護能力 – 開展信息系統(tǒng)安全等級測評 ,使信息系統(tǒng)安全保護狀況逐步達到等級保護要求 – 《 信息安全等級保護安全建設(shè)整改工作指南 》 – 參照標準：《 信息系統(tǒng)安全等級保護基本要求 》 – 信息系統(tǒng)安全建設(shè)整改工作基本流程（ 管理建設(shè)、技術(shù)建設(shè) ） – 信息安全 等級保護 主要 標準 簡要說明及相互間 的關(guān)系（基礎(chǔ)類、應(yīng)用類、產(chǎn)品類和其他類） ?65 關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知 （公信安 [2023]303號） ? 工作目標 – 提高測評機構(gòu)能力，規(guī)范測評活動，確保信息安全等級保護安全建設(shè)整改工作順利進行 ? 工作內(nèi)容 – 積極穩(wěn)妥地推動等級測評機構(gòu)建設(shè) – 確保測評機構(gòu)的水平和能力符合測評工作要求 – 督促備案單位開展信息系統(tǒng)等級測評工作 – 《信息安全等級保護測評工作管理規(guī)范（試行）》 – 《信息系統(tǒng)安全等級測評報告模版（試行）》 – 另有政策：公信安 [2023]1487號 ?66 我國信息安全政策的初步成效 ? 依托 2023年的 27號文（總體綱領(lǐng)），明確了信息安全保障工作的總體要求、工作原則和重點工作內(nèi)容 ? 圍繞信息安全保障體系，廣度結(jié)合深度，制定、發(fā)布并落實了一些典型的信息安全政策（風(fēng)險評估、等級保護、電子政務(wù)類、應(yīng)急預(yù)案等） ? 其他領(lǐng)域：災(zāi)難備份、管理體系、監(jiān)控、應(yīng)急、信任體系、產(chǎn)品和服務(wù)認證、人員培訓(xùn)和認證等 ?67 我國信息安全政策的后續(xù)展望 ? “ 十一五 ” 期間發(fā)布的各項政策均將進入落實期 ? 由電子政務(wù)領(lǐng)域向其他領(lǐng)域拓展 – 關(guān)系到國計民生的行業(yè) – 公共服務(wù)類 – 商業(yè)性、一般業(yè)務(wù)類 ? 盡快形成 “ 統(tǒng)一的 ” 信息安全服務(wù)資質(zhì)管理體制 – 基于信息安全服務(wù)類的標準（政策帶動標準，標準支撐政策） – 統(tǒng)一安全服務(wù)行業(yè)的企業(yè)資質(zhì)和人員資質(zhì) – 由 “ 狹義信息安全 ” 向 “ 廣義信息安全 ” 延伸 – IT服務(wù)（外包）的信息安全保障 – 新技術(shù)、新應(yīng)用下的信息安全保障 ?68 三、等級保護制度的主要內(nèi)容 基本含義 ? 信息安全等