【文章內(nèi)容簡(jiǎn)介】 – 統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)工作； – 明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系。 51 《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》 （中辦發(fā) [2024]27號(hào)） 2 ? 主要任務(wù)（重點(diǎn)加強(qiáng)的安全保障工作） – 實(shí)行信息安全等級(jí)保護(hù) – 加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè) – 建設(shè)和完善信息安全監(jiān)控體系 – 重視信息安全應(yīng)急處理工作 – 加強(qiáng)信息安全技術(shù)研究開(kāi)發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展 – 加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè) – 加快信息安全人才培養(yǎng)，增強(qiáng)全民信息安全意識(shí) – 保證信息安全資金 – 加強(qiáng)對(duì)信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制 ? 信息安全與國(guó)家安全 – 27號(hào)文：信息安全已成為國(guó)家安全的重要組成部分 – 十六屆四中全會(huì)：確保國(guó)家的政治安全、經(jīng)濟(jì)安全、文化安全和信息安全 ?十一五：試點(diǎn) ? 十二五：普及推廣 52 國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法 ? 本身不是政策，屬于法律法規(guī) – 部門(mén)規(guī)章 國(guó)家發(fā)改委令 [2024]第 55號(hào) – 對(duì)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目有明確的信息安全要求 ? 第六章 驗(yàn)收評(píng)價(jià)管理 – 項(xiàng)目建設(shè)單位應(yīng)在完成項(xiàng)目建設(shè)任務(wù)后的半年內(nèi) ,組織完成建設(shè)項(xiàng)目的信息安全風(fēng)險(xiǎn)評(píng)估和初步驗(yàn)收工作。 ? 第七章 運(yùn)行管理 – 項(xiàng)目建設(shè)單位或其委托的專業(yè)機(jī)構(gòu)應(yīng)按照風(fēng)險(xiǎn)評(píng)估的相關(guān)規(guī)定 , 對(duì)建成項(xiàng)目進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估 ,檢驗(yàn)其網(wǎng)絡(luò)和信息系統(tǒng)對(duì)安全環(huán)境變化的適應(yīng)性及安全措施的有效性 ,保障信息安全目標(biāo)的實(shí)現(xiàn)。 ? 項(xiàng)建書(shū)、可研報(bào)告、初步設(shè)計(jì)方案 – 在 “ 項(xiàng)建和可研 ” 的項(xiàng)目建設(shè)方案中應(yīng)包含 “ 安全系統(tǒng)建設(shè)方案 ” – 在 “ 初設(shè) ” 的項(xiàng)目設(shè)計(jì)方案中應(yīng)包含 “ 安全系統(tǒng)設(shè)計(jì) ” 關(guān)于加強(qiáng)政府信息安全和保密管理工作的通知 （國(guó)辦發(fā) [2024]17號(hào)） ? 明確職責(zé) – 把 信息安全和保密工作列入重要議事日程，明確一名主管領(lǐng)導(dǎo) – 誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé) ? 強(qiáng)化人員培訓(xùn) – 組織信息安全和保密基本技能培訓(xùn)，開(kāi)展信息安全和保密形勢(shì)分析 – 深入學(xué)習(xí)宣傳信息安全 “ 五禁止 ” 規(guī)定 ? 完善安全措施和手 段 – 管理制度 +技術(shù)手段 ? 加強(qiáng)信息安全檢查 – 詳見(jiàn) 《 政府信息系統(tǒng)安全檢查辦法 》 54 關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知 （國(guó)辦發(fā) [2024]28號(hào)） 1 ? 依據(jù) – 《 關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知 》 （國(guó)辦發(fā) [2024]17號(hào)） ? 檢查范圍和檢查重點(diǎn) – 各級(jí)政府及其部門(mén)對(duì)自行運(yùn)行和維護(hù)管理以及委托其他機(jī)構(gòu)進(jìn)行和維護(hù)管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等，每半年要進(jìn)行一次全面的安全檢查。 – 國(guó)務(wù)院各部門(mén)和地方政府的辦公系統(tǒng)、重要業(yè)務(wù)系統(tǒng)、門(mén)戶網(wǎng)站以及重要新聞網(wǎng)站，要作為檢查重點(diǎn)。 ? 檢查方式 – 各單位自查 + 統(tǒng)一組織抽查 + 安全檢測(cè)（按需） – 工信部負(fù)責(zé)協(xié)調(diào)、指導(dǎo)、監(jiān)督，公安 /安全 /保密 /密碼等部門(mén)按職責(zé)分工 – 《 2024年度政府信息系統(tǒng)安全檢查指南 》 （工信部協(xié) [2024]168號(hào)） – 《 2024年度政府信息系統(tǒng)安全檢查指南 》 （工信部協(xié) [2024]143號(hào)） 55 關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知 （國(guó)辦發(fā) [2024]28號(hào)） 2 ? 檢查內(nèi)容 – 安全制度落實(shí)情況 人員、制度、經(jīng)費(fèi)等 – 安全防范措施落實(shí)情況 各類技術(shù)措施 – 應(yīng)急響應(yīng)機(jī)制建設(shè)情況 應(yīng)急 預(yù)案制定和演練、應(yīng)急隊(duì)伍、事故處置、數(shù)據(jù) /系統(tǒng)備份等 – 信息技術(shù)產(chǎn)品和服務(wù)國(guó)產(chǎn)化情況 終端 /OA/信息安全產(chǎn)品國(guó)產(chǎn)情況、信息安全服務(wù)外包情況等 – 安全教育培訓(xùn)情況 參加、掌握、持證等情況 – 責(zé)任追究情況 – 安全隱患排查及整改情況 – 安全形勢(shì)、安全風(fēng)險(xiǎn)評(píng)估狀況 56 2024年度政府信息系統(tǒng)安全檢查指南 （工信部協(xié) [2024]143號(hào)） ? 檢查內(nèi)容（檢查指南比檢查辦法更細(xì)化，以 2024年為例） – 信息安全組織機(jī)構(gòu) – 日常信息安全管理 （人員、資產(chǎn)、運(yùn)維） – 等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估 – 技術(shù)防護(hù)手段建設(shè) （網(wǎng)絡(luò)邊界、信息安全產(chǎn)品、服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備、門(mén)戶網(wǎng)站、密碼技術(shù)、網(wǎng)絡(luò)信任措施） – 應(yīng)急管理工作開(kāi)展 （應(yīng)急預(yù)案、應(yīng)急演練、應(yīng)急技術(shù)支援隊(duì)伍、災(zāi)難備份、應(yīng)急處置） – 信息技術(shù)產(chǎn)品和信息安全產(chǎn)品使用 – 信息安全服務(wù) – 信息安全教育培訓(xùn) – 信息安全經(jīng)費(fèi)保障 – 安全隱患排查及整改 57 關(guān)于印發(fā)國(guó)家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案的通知 （國(guó)辦函 [2024]168號(hào)） ? 背景 – 2024年：國(guó)務(wù)院成立應(yīng)急辦，頒布了《國(guó)家突發(fā)公共衛(wèi)生事件應(yīng)急條例》 – 2024年：《國(guó)家突發(fā)公共事件總體應(yīng)急預(yù)案》（ 4大類公共安全） 《國(guó)家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》 – 2024年：制定發(fā)布《國(guó)家突發(fā)事件應(yīng)對(duì)法》 ? 預(yù)案要點(diǎn) – 網(wǎng)絡(luò)與信息安全事件的分類分級(jí) ? 參照標(biāo)準(zhǔn)：《信息安全事件分類分級(jí)指南》（ GB/Z 20986） – 應(yīng)急流程：預(yù)防預(yù)警 — 應(yīng)急處置 — 后期處置 ? 參照標(biāo)準(zhǔn)：《信息安全事件管理指南》（ GB/Z 20985） – 組織體系和應(yīng)急保障 ? 應(yīng)急隊(duì)伍、經(jīng)費(fèi)、物資、通信、科技。 ? 監(jiān)督管理 – 宣傳教育、培訓(xùn)、演練、責(zé)任與獎(jiǎng)懲 58 知識(shí)域：信息安全國(guó)家政策 ? 知識(shí)子域：風(fēng)險(xiǎn)評(píng)估有關(guān)政策規(guī)范 – 了解國(guó)家有關(guān)政策對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作提出的要求 – 了解國(guó)家有關(guān)政策對(duì)電子政務(wù)工程及國(guó)家重要信息系統(tǒng)建設(shè)項(xiàng)目風(fēng)險(xiǎn)評(píng)估?？仃?duì)伍的規(guī)定 ? 知識(shí)子域：等級(jí)保護(hù)有關(guān)政策規(guī)范 – 了解《信息安全等級(jí)保護(hù)管理辦法》的有關(guān)要求 ? 知識(shí)子域：國(guó) 家密碼管理政策 – 了解我國(guó)對(duì)密碼的管理政策要求 59 關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估的意見(jiàn) （國(guó)信辦 [2024]5號(hào)） ? 信息安全風(fēng)險(xiǎn)評(píng)估（基于風(fēng)險(xiǎn)管理） – 系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性 – 評(píng)估安全事件一旦發(fā)生可能造成的危害程度 – 提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施 ? 基本工作要求 – 應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程（ 設(shè)計(jì)、驗(yàn)收、運(yùn)維 ） – 定期組織實(shí)施網(wǎng)絡(luò)與信息系統(tǒng)自評(píng)估，并積極配合有關(guān)部門(mén)的檢查評(píng)估 ? 相關(guān)保障 – 參照標(biāo)準(zhǔn) :《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（ GB/T 20984）、《信息安全風(fēng)險(xiǎn)管理規(guī)范》（制定中） – 服務(wù)資質(zhì)（ 對(duì)于涉及國(guó)計(jì)民生的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估技術(shù)服務(wù)，要由國(guó)家?？氐年?duì)伍來(lái)承擔(dān) ） 60 關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知 （發(fā)改高技 [2024]2071號(hào)） ? 依據(jù)和目的 – 《 國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法 》 國(guó) 家發(fā)改委令 [2024]第 55號(hào) – 三部委聯(lián)合發(fā)文：發(fā)改委、公安部、保密局 – 將 “ 信息安全風(fēng)險(xiǎn)評(píng)估 ” 作為項(xiàng)目驗(yàn)收的重要內(nèi)容（按要求提交一系列文檔） ? 風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容 – 分析信息系統(tǒng)資產(chǎn)的重要程度，評(píng)估信息系統(tǒng)面臨的安全威脅、存在的脆弱性、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等 ? 兩類信息系統(tǒng)的工作開(kāi)展 – 涉密信息系統(tǒng)參照 “ 分級(jí)保護(hù) ” ， 進(jìn)行系統(tǒng)測(cè)評(píng)并履行審批手續(xù) – 非涉密信息系統(tǒng)參照 “ 等級(jí)保護(hù) ” ， 完成等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估工作，并形成 相關(guān)報(bào)告 ? 相關(guān)要點(diǎn) – 對(duì)信息安全風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)的指定（ 1家 +3家） – 信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)費(fèi)計(jì)入該項(xiàng)目總投資 – 投入運(yùn)行后，應(yīng)定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估 61 關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn) （公字通 [2024]66號(hào)） 1 ? 信息安全等級(jí)保護(hù) – 是 保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度 – 核心是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督 – 公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo) – 保密 /密碼 /信息化工作部門(mén)各自的職責(zé)分工 ? 信息和信息系統(tǒng)的安全保護(hù)等級(jí)（ 及其適用范圍 ） – 第一級(jí)為自主保護(hù)級(jí) – 第二級(jí)為指導(dǎo)保護(hù)級(jí) – 第三級(jí)為監(jiān)督保護(hù)級(jí) – 第四級(jí)為強(qiáng)制保護(hù)級(jí) – 第五級(jí)為?？乇Ｗo(hù)級(jí) ? 定級(jí)依據(jù) – 根據(jù)信息和信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度 。遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度 62 關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn) （公字通 [2024]66號(hào)） 2 ? 實(shí)施要求 – 完善標(biāo)準(zhǔn) ,分類指導(dǎo)（管理規(guī)范和技術(shù)標(biāo)準(zhǔn)） – 科學(xué)定級(jí) ,嚴(yán)格備案（專家評(píng)審委員會(huì)。 三級(jí)以上系統(tǒng)備案 ） – 建設(shè)整改 ,落實(shí)措施（ 信息系統(tǒng)：已有、 新建、改建、擴(kuò)建） – 自查自糾 ,落實(shí)要求（運(yùn)營(yíng)、 使用單位及其主管部門(mén)） – 建立制度 ,加強(qiáng)管理（運(yùn)營(yíng)、 使用單位及其主管部門(mén)） – 監(jiān)督檢查 ,完善保護(hù)（公安機(jī)關(guān) 重點(diǎn)對(duì) 第三、 第四 級(jí) 系統(tǒng) ） ? 其他等級(jí)要求 – 國(guó)家對(duì)信息安全產(chǎn)品的使用實(shí)行分等級(jí)管理 – 信息安全事件實(shí)行分等級(jí)響應(yīng)、處置的制度 63 關(guān)于印發(fā) 信息安全等級(jí)保護(hù)管理辦法 的通知 （公字通 [2024]43號(hào)） ? 《通知》是政策，《管理辦法》屬于法律法規(guī) – 四部委聯(lián)合發(fā)文：公安部、保密局、密碼管理局、原國(guó)信辦 – 國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持“自主定級(jí)、自主保護(hù)”的原則 – 信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí) ? 實(shí)施與管理 – 具體實(shí)施等級(jí)保護(hù)工作 參照標(biāo)準(zhǔn)：《 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 》 – 確定安全保護(hù)等級(jí) 參照標(biāo)準(zhǔn)：《信息 系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 》 – 系統(tǒng)建設(shè) 參照標(biāo)準(zhǔn)：《信息 系統(tǒng)安全等級(jí)保護(hù) 基本要求》等 – 等級(jí)測(cè)評(píng) 參照標(biāo)準(zhǔn)：《信息 系統(tǒng)安全等級(jí)保護(hù) 測(cè)評(píng)要求》 – 二級(jí)以上系統(tǒng)的備案要求（由公安機(jī)關(guān)頒發(fā) 備案證明 ） – 三級(jí)以上系統(tǒng)的定期自查、測(cè)評(píng)和檢查要求 – 三級(jí)以上系統(tǒng)的信息安全產(chǎn)品選擇使用要求 – 三級(jí)以上系統(tǒng) 等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu) 的選擇要求 ? 涉密信息系統(tǒng) 按 分級(jí)保護(hù)管理（ 略 ） ? 對(duì)信息安全等級(jí)保護(hù)的密碼實(shí)行分類分級(jí)管理（ 略 ） 64 關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn) （公信安 [2024]1429號(hào)） ? 工作目標(biāo) – 力爭(zhēng)在 2024年底前完成已定級(jí)信息系統(tǒng) (不 含 涉密信息系統(tǒng) )安全建設(shè)整改工作 ? 工作內(nèi)容 – 開(kāi)展信息安全等級(jí)保護(hù)安全管理制度建設(shè) ,提高信息系統(tǒng)安全管理水平 – 開(kāi)展信息安全等級(jí)保護(hù)安全技術(shù)措施建設(shè) ,提高信息系統(tǒng)安全保護(hù)能力 – 開(kāi)展信息系統(tǒng)安全等級(jí)測(cè)評(píng) ,使信息系統(tǒng)安全保護(hù)狀況逐步達(dá)到等級(jí)保護(hù)要求 – 《 信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南 》 – 參照標(biāo)準(zhǔn)：《 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 – 信息系統(tǒng)安全建設(shè)整改工作基本流程（ 管理建設(shè)、技術(shù)建設(shè) ） – 信息安全 等級(jí)保護(hù) 主要 標(biāo)準(zhǔn) 簡(jiǎn)要說(shuō)明及相互間 的關(guān)系（基礎(chǔ)類、應(yīng)用類、產(chǎn)品類和其他類） 65 關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知 （公信安 [2024]303號(hào)） ? 工作目標(biāo) – 提高測(cè)評(píng)機(jī)構(gòu)能力，規(guī)范測(cè)評(píng)活動(dòng)，確保信息安全等級(jí)保護(hù)安全建設(shè)整改工作順利進(jìn)行 ? 工作內(nèi)容 – 積極穩(wěn)妥地推動(dòng)等級(jí)測(cè)評(píng)機(jī)構(gòu)建設(shè) – 確保測(cè)評(píng)機(jī)構(gòu)的水平和能力符合測(cè)評(píng)工作要求 – 督促備案單位開(kāi)展信息系統(tǒng)等級(jí)測(cè)評(píng)工作 – 《信息安全等級(jí)保護(hù)測(cè)評(píng)工作管理規(guī)范（試行）》 – 《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）》 – 另有政策：公信安 [2024]1487號(hào) 66 我國(guó)信息安全政策的初步成效 ? 依托 2024年的 27號(hào)文（總體綱領(lǐng)），明確了信息安全保障工作的總體要求、工作原則和重點(diǎn)工作內(nèi)容 ? 圍繞信息安全保障體系，廣度結(jié)合深度，制定、發(fā)布并落實(shí)了一些典型的信息安全政策（風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)、電子政務(wù)類、應(yīng)急預(yù)案等） ? 其他領(lǐng)域：災(zāi)難備份、管理體系、監(jiān)控、應(yīng)急、信任體系、產(chǎn)品和服務(wù)認(rèn)證、人員培訓(xùn)和認(rèn)證等 67 我國(guó)信息安全政策的后續(xù)展望 ? “ 十一五 ” 期間發(fā)布的各項(xiàng)政策均將進(jìn)入落實(shí)期 ? 由電子政務(wù)領(lǐng)域向其他領(lǐng)域拓展 – 關(guān)系到國(guó)計(jì)民生的行業(yè) – 公共服務(wù)類 – 商業(yè)性、一般業(yè)務(wù)類 ? 盡快形成 “ 統(tǒng)一的 ” 信息安全服務(wù)資質(zhì)管理體制 – 基于信息安全服務(wù)類的標(biāo)準(zhǔn)（政策帶動(dòng)標(biāo)準(zhǔn)，標(biāo)準(zhǔn)支撐政策） – 統(tǒng)一安全服務(wù)行業(yè)的企業(yè)資質(zhì)和人員資質(zhì) – 由 “ 狹義信息安全 ” 向 “ 廣義信息安全 ” 延伸 – IT服務(wù)（外包）的信息安全保障 – 新技術(shù)、新應(yīng)用下的信息安全保障 68 三、等級(jí)保護(hù)制度