【正文】 位的確定原則 .安全需要的原則 確定重點(diǎn)單位 ， 首先要立足于安全保護(hù)的需要 ， 對(duì)于那些國家事務(wù) 、 經(jīng)濟(jì)建設(shè) 、國防建設(shè)和尖端科學(xué)技術(shù)等領(lǐng)域均應(yīng)作為重點(diǎn) 。 當(dāng)然 ， 重點(diǎn)單位也要準(zhǔn)確確定 ，范圍既不能太寬 ， 也不能太窄 ， 太寬會(huì)失去重點(diǎn)的意義 ， 太窄會(huì)漏掉真正的重點(diǎn) 。 .實(shí)際出發(fā)的原則 確定重點(diǎn)單位不能隨心所欲 ， 一定要堅(jiān)持從實(shí)際出發(fā) 。 只有實(shí)事求是地具體確定重點(diǎn)單位 ， 才能使信息網(wǎng)絡(luò)保護(hù)工作沒有疏漏 。 .全面權(quán)衡的原則 確定重點(diǎn)單位要處理好局部和全局的關(guān)系 。 有些單位從局部來看是比較重要的 ，而從全局來年則影響不大；有些單位從局部來看似乎不很重要 ， 然而 ， 從全局來看影響很大 。 因此 ， 要確定一個(gè)單位是不是重點(diǎn)單位 ， 必須從全面的角度進(jìn)行權(quán)衡 ， 避免帶有局限性 。 .及時(shí)調(diào)整的原則 重點(diǎn)單位是一個(gè)相對(duì)的動(dòng)態(tài)概念 。 在確定重點(diǎn)單位時(shí) ， 既要有相對(duì)的穩(wěn)定性 ，但又不能一成不變 。 隨著計(jì)算機(jī)信息網(wǎng)絡(luò)化的發(fā)展和業(yè)務(wù)性質(zhì)和范圍的變化 ， 原先的重點(diǎn)單位也會(huì)隨之發(fā)生新的變化 ， 應(yīng)當(dāng)根據(jù)單位的變化情況 ， 及時(shí)地進(jìn)行調(diào)整 。 只有這樣 ， 才能更加準(zhǔn)確 、 科學(xué)地確定重點(diǎn)單位 。 信息網(wǎng)絡(luò)安全管理 ◆ 重點(diǎn)單位信息安全管理 ◆建立安全管理機(jī)構(gòu) ◆完善安全管理制度 ◆落實(shí)安全管理措施 ?建立安全管理機(jī)構(gòu) 重要領(lǐng)域信息網(wǎng)絡(luò)的應(yīng)用單位 ， 必須建立由本單位領(lǐng)導(dǎo)牽頭的 、主管部門負(fù)責(zé)的 、 各有關(guān)部門參加的安全管理機(jī)構(gòu) ， 并配備安全管理人員 ， 全面負(fù)責(zé)信息網(wǎng)絡(luò)安全管理工作 。 信息網(wǎng)絡(luò)安全管理 ◆重點(diǎn)單位信息安全管理 ?建立安全管理機(jī)構(gòu) 安全管理機(jī)構(gòu)的主要職責(zé) .負(fù)責(zé)本單位信息網(wǎng)絡(luò)安全管理工作的組織 、 領(lǐng)導(dǎo) 、 部署 、 指導(dǎo)和協(xié)調(diào)； .研究本單位信息網(wǎng)絡(luò)安全策略 ， 落實(shí)有關(guān)安全技術(shù)防范措施 ， 保障計(jì)算 機(jī)信息系統(tǒng)的安全； .選配本單位信息網(wǎng)絡(luò)安全員 ， 并負(fù)責(zé)組織信息網(wǎng)絡(luò)管理人員和技術(shù)人員及應(yīng)用人員的教育和培訓(xùn)工作； .審定本單位內(nèi)部信息網(wǎng)絡(luò)的應(yīng)急計(jì)劃 ， 做好各項(xiàng)應(yīng)急恢復(fù)工作的組織實(shí)施； .定期組織本單位信息網(wǎng)絡(luò)的安全檢查 ， 督促落實(shí)各項(xiàng)安全管理制度； .負(fù)責(zé)本單位年度的階段性信息網(wǎng)絡(luò)安全管理工作的計(jì)劃 、 檢查 、 總結(jié) 、 評(píng)比工作； .負(fù)責(zé)本單位信息網(wǎng)絡(luò)安全管理工作的請(qǐng)示報(bào)告 ， 隨時(shí)接受公安機(jī)關(guān)的指導(dǎo) ，及時(shí)整改信息網(wǎng)絡(luò)的安全漏洞和隱患； .負(fù)責(zé)向公安機(jī)關(guān)報(bào)告信息網(wǎng)絡(luò)的安全事件 、 事故和案件 。 信息網(wǎng)絡(luò)安全管理 ◆重點(diǎn)單位信息安全管理 ?建立安全管理機(jī)構(gòu) 安全管理人員的職責(zé) 安全管理人員必須是由單位審核選配 ， 并經(jīng)公安機(jī)關(guān)培訓(xùn)合格的專職從事信息網(wǎng)絡(luò)安全管理工作的人員 。 其主要職責(zé)是： . 依據(jù)國家有關(guān)法律 、 法規(guī)制定本單位信息網(wǎng)絡(luò)的安全保護(hù)策略； . 在公安機(jī)關(guān)的監(jiān)督和指導(dǎo)下 ， 負(fù)責(zé)進(jìn)行信息網(wǎng)絡(luò)的安全檢查； . 向公安機(jī)關(guān)報(bào)告本單位信息網(wǎng)絡(luò)中發(fā)上的各種事件 、 事故和案件 ，協(xié)助公安機(jī)關(guān)進(jìn)行現(xiàn)場保護(hù)和技術(shù)取證； . 負(fù)責(zé)制定本單位信息網(wǎng)絡(luò)的應(yīng)急計(jì)劃 ， 作為應(yīng)急準(zhǔn)備； . 負(fù)責(zé)本單位信息網(wǎng)絡(luò)使用人員的安全教育和培訓(xùn)； 信息網(wǎng)絡(luò)安全管理 ◆重點(diǎn)單位信息安全管理 ?完善安全管理制度 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 從總體上明確規(guī)定了信息網(wǎng)絡(luò)安全保護(hù)的九項(xiàng)制度；同時(shí) ， 在日常安全管理工作中 ， 各單位應(yīng)當(dāng)結(jié)合自身實(shí)際 ， 建立具體規(guī)章制度 ， 所有重點(diǎn)單位都應(yīng)當(dāng)進(jìn)一步健全和完善以下安全管理制度： 凡屬重點(diǎn)單位的信息網(wǎng)絡(luò) ， 均應(yīng)當(dāng)按照國家有關(guān)保密法規(guī)規(guī)定 ， 建立各項(xiàng)保密制度 ， 加強(qiáng)秘密信息管理 ， 防止失密和泄密事件發(fā)生 。 凡信息網(wǎng)絡(luò)進(jìn)入國際聯(lián)網(wǎng)的 ， 均應(yīng)按照 《 計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法 》 的規(guī)定 ， 向公安機(jī)關(guān)申報(bào)備案 。 凡信息網(wǎng)絡(luò)使用單位均應(yīng)按照國家規(guī)定的信息網(wǎng)絡(luò)安全等級(jí)劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)管理辦法 ， 確定安全保護(hù)等級(jí) ， 做好安全等級(jí)保護(hù)工作 。 凡信息網(wǎng)絡(luò)發(fā)生的事件 、 事故和案件 ， 均應(yīng)按規(guī)定由有關(guān)使用單位在 24小時(shí)內(nèi)向當(dāng)?shù)乜h級(jí)以上公安機(jī)關(guān)報(bào)告 。 信息網(wǎng)絡(luò)安全管理 ◆重點(diǎn)單位信息安全管理 ?落實(shí)安全管理措施 信息網(wǎng)絡(luò)的安全管理措施具有綜合性特征 ， 在主要措施上應(yīng)當(dāng)落實(shí)以下幾個(gè)方面： 對(duì)重點(diǎn)單位計(jì)算機(jī)工作人員 ， 要嚴(yán)格按照有關(guān)規(guī)定錄用 ， 并做好審查和考核工作 。 對(duì)不適宜在重點(diǎn)單位工作的人員 ， 不得招錄使用 。 凡從事重點(diǎn)單位計(jì)算機(jī)工作的人員調(diào)離時(shí) ， 必須移交全部技術(shù)資料 ， 并且更換計(jì)算機(jī)的有關(guān)口令和密鑰 。 設(shè)計(jì)業(yè)務(wù)核心部分的技術(shù)開發(fā)人員 ， 應(yīng)當(dāng)確認(rèn)對(duì)本系統(tǒng)安全不會(huì)造成危害后放可調(diào)離 。 各重點(diǎn)單位都必須建立并嚴(yán)格執(zhí)行操作人員的各項(xiàng)制度 ， 明確各自責(zé)任 。 分清系統(tǒng)管理員 、 系統(tǒng)操作員 、 終端操作員 、 程序員的各自權(quán)限 ，并明確各自的操作范圍 。 要建立系統(tǒng)運(yùn)行日志 ， 以備對(duì)越權(quán)操作進(jìn)行審計(jì)稽查 。 對(duì)各級(jí)用戶對(duì)數(shù)據(jù)信息的訪問權(quán)限進(jìn)行嚴(yán)格控制 ， 包括其訪問的方式和內(nèi)容 。 信息網(wǎng)絡(luò)安全管理 ◆重點(diǎn)單位信息安全管理 ?落實(shí)安全管理措施 程序員只能在開發(fā)系統(tǒng)上工作 ， 不得用業(yè)務(wù)用機(jī)開發(fā)項(xiàng)目 。 開發(fā)系統(tǒng)與業(yè)務(wù)系統(tǒng)要嚴(yán)格分離 ， 業(yè)務(wù)用機(jī)不得含有源程序 、 編譯工具 、 連接工具等工具軟件 ，不得使用與業(yè)務(wù)無關(guān)的存儲(chǔ)介質(zhì) 。 系統(tǒng)管理員只能從事系統(tǒng)管理工作 ， 不得兼任操作和審計(jì)稽核工作 ， 不得參與軟件開發(fā) 。 參加過業(yè)務(wù)系統(tǒng)開發(fā)的人員 ， 也不得擔(dān)任相關(guān)系統(tǒng)的管理員 。 投入使用的應(yīng)用軟件 ， 應(yīng)按規(guī)定手續(xù)交給系統(tǒng)維護(hù)人員安裝到業(yè)務(wù)系統(tǒng) ， 并做好日志記錄 。 修改業(yè)務(wù)程序和系統(tǒng)參數(shù) ， 必須履行一定的審批手續(xù) ， 做好文檔資料的相應(yīng)修改 。 對(duì)重要數(shù)據(jù)必須備份 ， 并且做到異地 、 異人保存 。 系統(tǒng)的重要程序要定期備份 ， 并做到異地 、 異人保存兩個(gè)以上最新的版本及目錄打印清單 ， 以備系統(tǒng)和程序的恢復(fù)使用 ， 重要業(yè)務(wù)系統(tǒng)及重要設(shè)備 ， 也要有相應(yīng)的備份 ， 同時(shí)還要制定應(yīng)急處理方案 。 重要通信線路應(yīng)當(dāng)采用專線或者虛擬專線連接方式 ， 必要時(shí)采用加密措施 。通信所使用的密鑰要定期更換 ， 緊急情況下應(yīng)采取銷毀密鑰的手段和措施 ， 以防止密鑰的失密 。 對(duì)聯(lián)網(wǎng)的計(jì)算機(jī)及其網(wǎng)絡(luò)設(shè)備和通信設(shè)置和通信設(shè)備的安裝 、 使用 ， 要建立嚴(yán)格的管理措施 。 信息網(wǎng)絡(luò)安全管理 ◆重點(diǎn)單位信息安全管理 ?涉密安全管理 涉密單位 :是指用于采集 、 儲(chǔ)存 、 處理 、 傳遞國家秘密信息的信息網(wǎng)絡(luò)單位 。 ◆ 涉密單位的信息網(wǎng)絡(luò)安全管理規(guī)定 .涉密系統(tǒng)的安全規(guī)定 .涉密信息的安全規(guī)定 .涉密媒體的安全規(guī)定 .涉密場所的安全規(guī)定 .涉密人員的安全規(guī)定 信息網(wǎng)絡(luò)安全管理 ◆ 涉密單位的信息網(wǎng)絡(luò)安全管理規(guī)定 ?涉密系統(tǒng)的安全規(guī)定 .涉及國家秘密的單位建立信息網(wǎng)絡(luò)時(shí) ， 應(yīng)當(dāng)同步規(guī)劃落實(shí)相應(yīng)的系統(tǒng)保密設(shè)施 。 .涉及國家秘密的信息網(wǎng)絡(luò)的研制 、 安裝和使用 ， 必須符合保密要求 。 .涉及國家秘密的信息網(wǎng)絡(luò)應(yīng)當(dāng)采取有效的保密措施 ， 配置合格的保密專用設(shè)備 ， 防泄密 、 竊密 。 所采用的保密措施要與所處理信息的密級(jí)要求相一致 。 .涉及國家秘密的信息網(wǎng)絡(luò)聯(lián)網(wǎng)應(yīng)當(dāng)采取系統(tǒng)訪問控制 、 數(shù)據(jù)保護(hù)和系統(tǒng)安全保密監(jiān)控管理等技術(shù)措施 。 .涉及國家秘密的信息網(wǎng)絡(luò)的訪問應(yīng)當(dāng)按照權(quán)限控制 ， 不得進(jìn)行越權(quán)操作 ， 未采取技術(shù)安全保密措施的數(shù)據(jù)庫不得聯(lián)網(wǎng) 。 .涉及國家秘密的信息網(wǎng)絡(luò)不得直接或間接地和國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接 ， 必須實(shí)行物理隔離 。 信息網(wǎng)絡(luò)安全管理 ◆ 涉密單位的信息網(wǎng)絡(luò)安全管理規(guī)定 ?涉密信息的安全規(guī)定 .涉密信息和數(shù)據(jù)必須按照保密規(guī)定進(jìn)行采集 、 儲(chǔ)存 、 處理 、 傳遞 、使用和銷毀 。 .信息網(wǎng)絡(luò)儲(chǔ)存 、 處理 、 傳遞 、 輸出的涉密信息要有相應(yīng)的密級(jí)標(biāo)識(shí) ， 密級(jí)標(biāo)識(shí)不能與正文分離 。 .凡向國際聯(lián)網(wǎng)的站點(diǎn)提供或發(fā)布信息 ， 必須經(jīng)過保密審查批準(zhǔn) ，并建立健全上網(wǎng)信息保密審批領(lǐng)導(dǎo)責(zé)任制 。 .處理 、 儲(chǔ)存和傳輸絕密信息的計(jì)算機(jī) ， 必須采取必要的防止非法調(diào)閱機(jī)內(nèi)信息的技術(shù)措施 。 .國家秘密信息不得在與國際網(wǎng)絡(luò)聯(lián)網(wǎng)的信息網(wǎng)絡(luò)中儲(chǔ)存 、 處理和傳遞 。 信息網(wǎng)絡(luò)安全管理 ◆ 涉密單位的信息網(wǎng)絡(luò)安全管理規(guī)定 ?涉密媒體的安全規(guī)定 .儲(chǔ)存國家秘密信息的計(jì)算機(jī)媒體 ， 應(yīng)按所儲(chǔ)存信息的最高密級(jí)標(biāo)明密級(jí) ， 并按相應(yīng)密級(jí)的文件進(jìn)行管理 。 .凡屬絕密信息一律不得儲(chǔ)存在計(jì)算機(jī)硬盤內(nèi)或便攜式計(jì)算機(jī)的硬盤內(nèi) 。 儲(chǔ)存在信息網(wǎng)絡(luò)內(nèi)的國家秘密信息應(yīng)當(dāng)采保護(hù)措施 。 .對(duì)儲(chǔ)存國家秘密信息的媒體 ， 應(yīng)當(dāng)根據(jù)有關(guān)規(guī)定確定密級(jí)及保密期限 ， 并視同紙制文件分密級(jí)管理 ， 統(tǒng)一編號(hào) 、 登記 ， 標(biāo)明密級(jí) ， 并按相應(yīng)密級(jí)進(jìn)行保密管理 。 .儲(chǔ)存過國家秘密信息的計(jì)算機(jī)媒體不能降低密級(jí)使用 ， 不再使用的媒體應(yīng)及時(shí)銷毀 。 私人軟盤嚴(yán)禁在涉密計(jì)算機(jī)上使用 。 .儲(chǔ)存過國家秘密信息的計(jì)算機(jī)媒體的維修應(yīng)保證所儲(chǔ)存的國家秘密信息不被泄露 。 .信息網(wǎng)絡(luò)打印輸出的涉密文件，應(yīng)當(dāng)按相應(yīng)密級(jí)的文件進(jìn)行管理。 信息網(wǎng)絡(luò)安全管理 ◆ 涉密單位的信息網(wǎng)絡(luò)安全管理規(guī)定 ?涉密場所的安全規(guī)定 .涉及國家秘密信息處理場所應(yīng)當(dāng)按照國家的有關(guān)規(guī)定 ， 與境外機(jī)構(gòu)駐地 、 人員住所保持相應(yīng)的安全距離 。 .涉及國家秘密信息處理場所應(yīng)當(dāng)根據(jù)涉密程度和有關(guān)規(guī)定設(shè)立安全控制區(qū) ， 未經(jīng)管理機(jī)關(guān)批準(zhǔn)無關(guān)人員不得擅自進(jìn)入 。 .涉及國家秘密信息處理場所應(yīng)當(dāng)定期或者根據(jù)需要進(jìn)行保密技術(shù)檢查 。 .涉及國家秘密信息網(wǎng)絡(luò)處理場所 ， 應(yīng)采取相應(yīng)的防電磁信息泄露的保密措施 。 .信息網(wǎng)絡(luò)的其他物理安全要求應(yīng)符合國家有關(guān)標(biāo)準(zhǔn)。 信息網(wǎng)絡(luò)安全管理 ◆ 涉密單位的信息網(wǎng)絡(luò)安全管理規(guī)定 ?涉密人員的安全規(guī)定 .涉密信息網(wǎng)絡(luò)的安全管理 ， 應(yīng)實(shí)行領(lǐng)導(dǎo)負(fù)責(zé)制 ， 由使用單位的主管領(lǐng)導(dǎo)負(fù)責(zé)本單位的信息網(wǎng)絡(luò)的保密工作 ， 并指定有關(guān)機(jī)構(gòu)和人員具體承辦的管理制度 。 .使用單位應(yīng)根據(jù)信息網(wǎng)絡(luò)的信息涉密登記 ， 制定相應(yīng)的安全保密制度 ， 所有涉密人員必須遵守執(zhí)行 。 .從事信息網(wǎng)絡(luò)工作的安全保密管理人員應(yīng)經(jīng)過嚴(yán)格的審查 ， 定期進(jìn)行考核 ， 并保持相對(duì)穩(wěn)定 。 .涉密信息網(wǎng)絡(luò)的工作人員 ， 要進(jìn)行上崗前的保密培訓(xùn) ， 并定期進(jìn)行保密教育和檢查 。 .使用單位和個(gè)人發(fā)現(xiàn)信息網(wǎng)絡(luò)泄密后 ， 應(yīng)及時(shí)采取補(bǔ)救措施 ， 按有關(guān)規(guī)定及時(shí)向上級(jí)報(bào)告 ， 并對(duì)有關(guān)泄密人員及相關(guān)負(fù)責(zé)人員予以相應(yīng)的處罰 。 信息網(wǎng)絡(luò)安全管理 ◆ 信息安全監(jiān)管 ◆ 信息網(wǎng)絡(luò)的安全監(jiān)管與保護(hù) 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定，公安部主管全國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作。 實(shí)施計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，主要由兩方面構(gòu)成：一是由國家實(shí)施安全監(jiān)管管理；二是由使用單位實(shí)施安全保護(hù)措施。因此，為了能夠達(dá)到有效的安全保護(hù)目的，國家擁有對(duì)信息安全進(jìn)行監(jiān)管的權(quán)利和責(zé)任，各使用單位不僅有在本單位范圍內(nèi)實(shí)施安全保護(hù)措施的責(zé)任和義務(wù)，而且還有配合國家監(jiān)管機(jī)關(guān)有效完成信息安全監(jiān)管的責(zé)任和義務(wù)。 信息網(wǎng)絡(luò)安全管理 ◆ 信息安全監(jiān)管 ◆ 信息網(wǎng)絡(luò)的安全監(jiān)管與保護(hù) ◆ 信息安全行政違法責(zé)任 計(jì)算機(jī)信息系統(tǒng)的安全法律包括《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計(jì)算機(jī)病毒防治管理辦法》等一系列保護(hù)計(jì)算機(jī)信息網(wǎng)絡(luò)安全的行政規(guī)定和部門規(guī)章。凡是違反計(jì)算機(jī)信息網(wǎng)絡(luò)安全法律法規(guī)的行為都具有行政違法性，都屬于行政違法行為。 行政違法行為，是指行政法律關(guān)系的主體違反有關(guān)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)安全的法律、行政法規(guī)、侵害計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)的安全而尚未構(gòu)成犯罪的行為。違法主體包括計(jì)算機(jī)信息網(wǎng)絡(luò)的安全監(jiān)督管理機(jī)關(guān)及其工作人員，以及作為行政相對(duì)的公民、法人和其他組織。 信息網(wǎng)絡(luò)安全管理 ◆ 信息安全監(jiān)管 ◆ 信息網(wǎng)絡(luò)的安全監(jiān)管與保護(hù) ◆ 信息安全行政違法責(zé)任 對(duì)于違反計(jì)算機(jī)信息網(wǎng)絡(luò)安全法律的行政違法行為 ， 其構(gòu)成要件一般有三方面：一是行為人具有相關(guān)的法定義務(wù)；二是行為人有不履行法定義務(wù)的行為；三是這種行為出于行為人的