【文章內(nèi)容簡介】 – 統(tǒng)籌規(guī)劃，突出重點，強化基礎工作； – 明確國家、企業(yè)、個人的責任和義務，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。 51 《國家信息化領導小組關于加強信息安全保障工作的意見》 （中辦發(fā) [2024]27號） 2 ? 主要任務（重點加強的安全保障工作） – 實行信息安全等級保護 – 加強以密碼技術為基礎的信息保護和網(wǎng)絡信任體系建設 – 建設和完善信息安全監(jiān)控體系 – 重視信息安全應急處理工作 – 加強信息安全技術研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展 – 加強信息安全法制建設和標準化建設 – 加快信息安全人才培養(yǎng)，增強全民信息安全意識 – 保證信息安全資金 – 加強對信息安全保障工作的領導，建立健全信息安全管理責任制 ? 信息安全與國家安全 – 27號文：信息安全已成為國家安全的重要組成部分 – 十六屆四中全會：確保國家的政治安全、經(jīng)濟安全、文化安全和信息安全 ?十一五：試點 ? 十二五：普及推廣 52 國家電子政務工程建設項目管理暫行辦法 ? 本身不是政策，屬于法律法規(guī) – 部門規(guī)章 國家發(fā)改委令 [2024]第 55號 – 對國家電子政務工程建設項目有明確的信息安全要求 ? 第六章 驗收評價管理 – 項目建設單位應在完成項目建設任務后的半年內(nèi) ,組織完成建設項目的信息安全風險評估和初步驗收工作。 ? 第七章 運行管理 – 項目建設單位或其委托的專業(yè)機構(gòu)應按照風險評估的相關規(guī)定 , 對建成項目進行信息安全風險評估 ,檢驗其網(wǎng)絡和信息系統(tǒng)對安全環(huán)境變化的適應性及安全措施的有效性 ,保障信息安全目標的實現(xiàn)。 ? 項建書、可研報告、初步設計方案 – 在 “ 項建和可研 ” 的項目建設方案中應包含 “ 安全系統(tǒng)建設方案 ” – 在 “ 初設 ” 的項目設計方案中應包含 “ 安全系統(tǒng)設計 ” 關于加強政府信息安全和保密管理工作的通知 （國辦發(fā) [2024]17號） ? 明確職責 – 把 信息安全和保密工作列入重要議事日程，明確一名主管領導 – 誰主管誰負責、誰運行誰負責、誰使用誰負責 ? 強化人員培訓 – 組織信息安全和保密基本技能培訓，開展信息安全和保密形勢分析 – 深入學習宣傳信息安全 “ 五禁止 ” 規(guī)定 ? 完善安全措施和手 段 – 管理制度 +技術手段 ? 加強信息安全檢查 – 詳見 《 政府信息系統(tǒng)安全檢查辦法 》 54 關于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知 （國辦發(fā) [2024]28號） 1 ? 依據(jù) – 《 關于加強政府信息系統(tǒng)安全和保密管理工作的通知 》 （國辦發(fā) [2024]17號） ? 檢查范圍和檢查重點 – 各級政府及其部門對自行運行和維護管理以及委托其他機構(gòu)進行和維護管理的辦公系統(tǒng)、業(yè)務系統(tǒng)、網(wǎng)站系統(tǒng)等，每半年要進行一次全面的安全檢查。 – 國務院各部門和地方政府的辦公系統(tǒng)、重要業(yè)務系統(tǒng)、門戶網(wǎng)站以及重要新聞網(wǎng)站，要作為檢查重點。 ? 檢查方式 – 各單位自查 + 統(tǒng)一組織抽查 + 安全檢測（按需） – 工信部負責協(xié)調(diào)、指導、監(jiān)督，公安 /安全 /保密 /密碼等部門按職責分工 – 《 2024年度政府信息系統(tǒng)安全檢查指南 》 （工信部協(xié) [2024]168號） – 《 2024年度政府信息系統(tǒng)安全檢查指南 》 （工信部協(xié) [2024]143號） 55 關于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知 （國辦發(fā) [2024]28號） 2 ? 檢查內(nèi)容 – 安全制度落實情況 人員、制度、經(jīng)費等 – 安全防范措施落實情況 各類技術措施 – 應急響應機制建設情況 應急 預案制定和演練、應急隊伍、事故處置、數(shù)據(jù) /系統(tǒng)備份等 – 信息技術產(chǎn)品和服務國產(chǎn)化情況 終端 /OA/信息安全產(chǎn)品國產(chǎn)情況、信息安全服務外包情況等 – 安全教育培訓情況 參加、掌握、持證等情況 – 責任追究情況 – 安全隱患排查及整改情況 – 安全形勢、安全風險評估狀況 56 2024年度政府信息系統(tǒng)安全檢查指南 （工信部協(xié) [2024]143號） ? 檢查內(nèi)容（檢查指南比檢查辦法更細化，以 2024年為例） – 信息安全組織機構(gòu) – 日常信息安全管理 （人員、資產(chǎn)、運維） – 等級保護與風險評估 – 技術防護手段建設 （網(wǎng)絡邊界、信息安全產(chǎn)品、服務器、網(wǎng)絡設備、終端計算機和移動存儲設備、門戶網(wǎng)站、密碼技術、網(wǎng)絡信任措施） – 應急管理工作開展 （應急預案、應急演練、應急技術支援隊伍、災難備份、應急處置） – 信息技術產(chǎn)品和信息安全產(chǎn)品使用 – 信息安全服務 – 信息安全教育培訓 – 信息安全經(jīng)費保障 – 安全隱患排查及整改 57 關于印發(fā)國家網(wǎng)絡與信息安全事件應急預案的通知 （國辦函 [2024]168號） ? 背景 – 2024年：國務院成立應急辦，頒布了《國家突發(fā)公共衛(wèi)生事件應急條例》 – 2024年：《國家突發(fā)公共事件總體應急預案》（ 4大類公共安全） 《國家網(wǎng)絡與信息安全事件應急預案》 – 2024年：制定發(fā)布《國家突發(fā)事件應對法》 ? 預案要點 – 網(wǎng)絡與信息安全事件的分類分級 ? 參照標準：《信息安全事件分類分級指南》（ GB/Z 20986） – 應急流程：預防預警 — 應急處置 — 后期處置 ? 參照標準：《信息安全事件管理指南》（ GB/Z 20985） – 組織體系和應急保障 ? 應急隊伍、經(jīng)費、物資、通信、科技。 ? 監(jiān)督管理 – 宣傳教育、培訓、演練、責任與獎懲 58 知識域：信息安全國家政策 ? 知識子域：風險評估有關政策規(guī)范 – 了解國家有關政策對信息安全風險評估工作提出的要求 – 了解國家有關政策對電子政務工程及國家重要信息系統(tǒng)建設項目風險評估專控隊伍的規(guī)定 ? 知識子域：等級保護有關政策規(guī)范 – 了解《信息安全等級保護管理辦法》的有關要求 ? 知識子域：國 家密碼管理政策 – 了解我國對密碼的管理政策要求 59 關于開展信息安全風險評估的意見 （國信辦 [2024]5號） ? 信息安全風險評估（基于風險管理） – 系統(tǒng)分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性 – 評估安全事件一旦發(fā)生可能造成的危害程度 – 提出有針對性的抵御威脅的防護對策和整改措施 ? 基本工作要求 – 應貫穿于網(wǎng)絡和信息系統(tǒng)建設運行的全過程（ 設計、驗收、運維 ） – 定期組織實施網(wǎng)絡與信息系統(tǒng)自評估，并積極配合有關部門的檢查評估 ? 相關保障 – 參照標準 :《信息安全風險評估規(guī)范》（ GB/T 20984）、《信息安全風險管理規(guī)范》（制定中） – 服務資質(zhì)（ 對于涉及國計民生的基礎網(wǎng)絡和重要信息系統(tǒng)的風險評估技術服務，要由國家專控的隊伍來承擔 ） 60 關于加強國家電子政務工程建設項目信息安全風險評估工作的通知 （發(fā)改高技 [2024]2071號） ? 依據(jù)和目的 – 《 國家電子政務工程建設項目管理暫行辦法 》 國 家發(fā)改委令 [2024]第 55號 – 三部委聯(lián)合發(fā)文：發(fā)改委、公安部、保密局 – 將 “ 信息安全風險評估 ” 作為項目驗收的重要內(nèi)容（按要求提交一系列文檔） ? 風險評估的主要內(nèi)容 – 分析信息系統(tǒng)資產(chǎn)的重要程度，評估信息系統(tǒng)面臨的安全威脅、存在的脆弱性、已有的安全措施和殘余風險的影響等 ? 兩類信息系統(tǒng)的工作開展 – 涉密信息系統(tǒng)參照 “ 分級保護 ” ， 進行系統(tǒng)測評并履行審批手續(xù) – 非涉密信息系統(tǒng)參照 “ 等級保護 ” ， 完成等級測評和風險評估工作，并形成 相關報告 ? 相關要點 – 對信息安全風險評估機構(gòu)的指定（ 1家 +3家） – 信息安全風險評估經(jīng)費計入該項目總投資 – 投入運行后，應定期開展信息安全風險評估 61 關于信息安全等級保護工作的實施意見 （公字通 [2024]66號） 1 ? 信息安全等級保護 – 是 保障和促進信息化建設健康發(fā)展的一項基本制度 – 核心是對信息安全分等級、按標準進行建設、管理和監(jiān)督 – 公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指導 – 保密 /密碼 /信息化工作部門各自的職責分工 ? 信息和信息系統(tǒng)的安全保護等級（ 及其適用范圍 ） – 第一級為自主保護級 – 第二級為指導保護級 – 第三級為監(jiān)督保護級 – 第四級為強制保護級 – 第五級為?？乇Ｗo級 ? 定級依據(jù) – 根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度 。遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度 62 關于信息安全等級保護工作的實施意見 （公字通 [2024]66號） 2 ? 實施要求 – 完善標準 ,分類指導（管理規(guī)范和技術標準） – 科學定級 ,嚴格備案（專家評審委員會。 三級以上系統(tǒng)備案 ） – 建設整改 ,落實措施（ 信息系統(tǒng)：已有、 新建、改建、擴建） – 自查自糾 ,落實要求（運營、 使用單位及其主管部門） – 建立制度 ,加強管理（運營、 使用單位及其主管部門） – 監(jiān)督檢查 ,完善保護（公安機關 重點對 第三、 第四 級 系統(tǒng) ） ? 其他等級要求 – 國家對信息安全產(chǎn)品的使用實行分等級管理 – 信息安全事件實行分等級響應、處置的制度 63 關于印發(fā) 信息安全等級保護管理辦法 的通知 （公字通 [2024]43號） ? 《通知》是政策，《管理辦法》屬于法律法規(guī) – 四部委聯(lián)合發(fā)文：公安部、保密局、密碼管理局、原國信辦 – 國家信息安全等級保護堅持“自主定級、自主保護”的原則 – 信息系統(tǒng)的安全保護等級分為五級 ? 實施與管理 – 具體實施等級保護工作 參照標準：《 信息系統(tǒng)安全等級保護實施指南 》 – 確定安全保護等級 參照標準：《信息 系統(tǒng)安全等級保護定級指南 》 – 系統(tǒng)建設 參照標準：《信息 系統(tǒng)安全等級保護 基本要求》等 – 等級測評 參照標準：《信息 系統(tǒng)安全等級保護 測評要求》 – 二級以上系統(tǒng)的備案要求（由公安機關頒發(fā) 備案證明 ） – 三級以上系統(tǒng)的定期自查、測評和檢查要求 – 三級以上系統(tǒng)的信息安全產(chǎn)品選擇使用要求 – 三級以上系統(tǒng) 等級保護測評機構(gòu) 的選擇要求 ? 涉密信息系統(tǒng) 按 分級保護管理（ 略 ） ? 對信息安全等級保護的密碼實行分類分級管理（ 略 ） 64 關于開展信息安全等級保護安全建設整改工作的指導意見 （公信安 [2024]1429號） ? 工作目標 – 力爭在 2024年底前完成已定級信息系統(tǒng) (不 含 涉密信息系統(tǒng) )安全建設整改工作 ? 工作內(nèi)容 – 開展信息安全等級保護安全管理制度建設 ,提高信息系統(tǒng)安全管理水平 – 開展信息安全等級保護安全技術措施建設 ,提高信息系統(tǒng)安全保護能力 – 開展信息系統(tǒng)安全等級測評 ,使信息系統(tǒng)安全保護狀況逐步達到等級保護要求 – 《 信息安全等級保護安全建設整改工作指南 》 – 參照標準：《 信息系統(tǒng)安全等級保護基本要求 》 – 信息系統(tǒng)安全建設整改工作基本流程（ 管理建設、技術建設 ） – 信息安全 等級保護 主要 標準 簡要說明及相互間 的關系（基礎類、應用類、產(chǎn)品類和其他類） 65 關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知 （公信安 [2024]303號） ? 工作目標 – 提高測評機構(gòu)能力，規(guī)范測評活動，確保信息安全等級保護安全建設整改工作順利進行 ? 工作內(nèi)容 – 積極穩(wěn)妥地推動等級測評機構(gòu)建設 – 確保測評機構(gòu)的水平和能力符合測評工作要求 – 督促備案單位開展信息系統(tǒng)等級測評工作 – 《信息安全等級保護測評工作管理規(guī)范（試行）》 – 《信息系統(tǒng)安全等級測評報告模版（試行）》 – 另有政策：公信安 [2024]1487號 66 我國信息安全政策的初步成效 ? 依托 2024年的 27號文（總體綱領），明確了信息安全保障工作的總體要求、工作原則和重點工作內(nèi)容 ? 圍繞信息安全保障體系，廣度結(jié)合深度，制定、發(fā)布并落實了一些典型的信息安全政策（風險評估、等級保護、電子政務類、應急預案等） ? 其他領域：災難備份、管理體系、監(jiān)控、應急、信任體系、產(chǎn)品和服務認證、人員培訓和認證等 67 我國信息安全政策的后續(xù)展望 ? “ 十一五 ” 期間發(fā)布的各項政策均將進入落實期 ? 由電子政務領域向其他領域拓展 – 關系到國計民生的行業(yè) – 公共服務類 – 商業(yè)性、一般業(yè)務類 ? 盡快形成 “ 統(tǒng)一的 ” 信息安全服務資質(zhì)管理體制 – 基于信息安全服務類的標準（政策帶動標準，標準支撐政策） – 統(tǒng)一安全服務行業(yè)的企業(yè)資質(zhì)和人員資質(zhì) – 由 “ 狹義信息安全 ” 向 “ 廣義信息安全 ” 延伸 – IT服務（外包）的信息安全保障 – 新技術、新應用下的信息安全保障 68 三、等級保護制度