國家信息化領導小組關于加強信息安全保障工作的意見

揚州大自然網絡信息有限公司   2012年12月28日   閱讀數： 4923

    2003年9月7日中共中央辦公廳、國務院辦公廳發出通知，轉發《國家信息化領導小組關于加強信息安全保障工作的意見》，并要求各地結合實際認真貫徹落實。
   《國家信息化領導小組關于加強信息安全保障工作的意見》是為進-步提高信息安全保障工作的能力和水平,維護公眾利益和國家安全,促進信息化建設健康發展而提出的。具體意見有以下幾點：
   一、加強信息安全保障工作的總體要求和主要原則
   二、實行信息安全等級保護
   三、加強以密碼技術為基礎的信息保護和網絡信任體系建設
   四、建設和完善信息安全監控體系
   五、重視信息安全應急處理工作
   六、加強信息安全技術研究開發,推進信息安全產業發展
   七、加強信息安全法制建設和標準化建設
   八、加快信息安全人才培養,增強全民信息安全意識
   九、保證信息安全基金
   十、加強對信息安全保障工作的領導,建立健全信息安全管理責任制國省國家保密局對部分省級機關計算機信息系統進行保密檢查
    根據中共中央保密委員會辦公室、國家保密局有關對計算機信息系統使用管理情況進行保密檢查的通知要求，根據國家保密局和省國家保密局有關涉密計算機和上國際互聯網計算機使用保密管理的規定、標準要求，省國家保密局在各地以及省直機關單位自查的基礎上，于7—8月對部分省直機關單位計算機信息系統使用管理情況進行了抽查檢查工作。從目前已抽查的部分省直機關單位重要部門、要害部位的保密檢查中發現存在以下問題：
    1、目前，我省大部分單位的內部局域網還沒有經保密部門審批。省局多次發文，各單位內部辦公局域網的保密問題仍沒有引起足夠重視。
    2、按中辦發〔2003〕17號文規定，電子政務網絡劃分為涉密網和非涉密網，即電子政務內網和電子政務外網。有部分單位對網絡的劃分不明確，所有的網絡接在INTERNET上。
    3、有的部門的涉密計算機隨意通過電話線就可上國際互聯網；有的在自檢自查后，還有部分計算機中有過上國際互聯網的歷史；少數部門還存在上國際互聯網的計算機存儲涉密信息的嚴重問題。
    4、涉密計算機管理不嚴。在我們檢查時辦公室門開著，計算機開著，但人不在，計算機上存有各種內部信息。有的單位至今還沒有制定涉密計算機、上國際互聯網計算機相應管理制度的問題。普遍存在涉密計算機不設防，磁介質不標密，管理跟不上，監督檢查不落實的狀況。
    5、涉密計算機系統建設、使用須按國家有關規定履行 一定的驗資和審批手續，才能進行建設和投入使用。但至今仍有少數部門在建涉密計算機系統時對國家有關規定置若罔聞。在招投標中對施工方不驗涉密系統資質，網絡系統安全保密方案不申報審批，建成的涉密網絡不經審批就運行的情況時有發生。
    涉密計算機上國際互聯網和上國際互聯網計算機涉及國家秘密問題，都是泄露國家秘密的行為，必須引起各級領導高度重視。希望各地、各部門、各單位針對以上問題認真進行檢查，切實把計算機的安全保密問題提高到關系國家安全和利益，關系到電子政務安全、健康、有序地發展的高度來認識。并加強保密組織領導，加大宣傳教育、督促檢查的力度，增強各級領導和干部的保密意識，落實保密工作責任制，切實加強涉密計算機和上國際互聯網計算機的使用和保密管理，做到既充分發揮計算機在推動辦公自動化和信息化進程的積極作用，又確保國家秘密信息的安全。
    電子政務安全保密的若干問題
    一、電子政務與保密工作部門的關系？
　　保密工作部門在電子政務建設與應用中的職責是安全保密管理。安全保密管理是電子政務安全保密體系框架的安全保密要素之一。安全保密管理涉及方方面面，也涉及電子政務建設和應用的全過程。電子政務安全保密體系框架還包括其他安全保密要素：安全保密策略、安全保密法規、安全保密組織、安全保密標準、安全保密服務、安全保密技術和產品、安全保密基礎設施。安全保密管理與各個要素是密切相關的。管理要明確策略，比如“涉密最小化”就是一種策略，目的是保重點、保核心，做到該保的一定保住，該放的一定放開。管理還要健全法規，比如保密法的修改就要考慮電子政務及政務公開、信息公開等情況。用法律法規明確哪些政務、信息公開，哪些要保密，規范行為，保障電子政務建設和應用的健康發展。我們知道，管理是通過組織機構去實現的，電子政務建設中要健全有關安全保密組織。管理要完善標準和規范，比如政務內網就要按照涉密網的相關保密標準去要求，管理還要規范服務，加強系統安全保密測評和安全保密培訓。另外，管理在安全保密技術與產品方面體現在推動技術進步和產品的檢測認證方面。在安全保密基礎設施建設中也要加強安全保密管理，比如公鑰基礎設施PKI和備份與災難恢復系統的安全保密管理。
    二、保密工作部門在電子政務中要做哪些工作？
總體來講，保密工作部門在電子政務建設與應用中要做好安全保密管理工作。具體來講，應體現在以下幾個方面：
   （一）正確界定涉密網絡，做好政務內網和政務外網的劃分。
    政府部門在建設電子政務時，普遍遇到的問題是：對于本地區、本部門政務內網和政務外網的劃分難于把握。即涉密網(政務內網)要不要建，要建多大才既有利于保密又方便工作。過去有一種誤區，認為：網絡劃分是政務部門的事，只要你劃為涉密網了，保密工作部門再按涉密網的要求去管理。這樣的結果往往造成對上網的業務信息資源涉密程度界定不清，網絡劃分不夠合理，造成先天不足，增加了安全保密管理的難度。保密工作部門在電子政務建設的規劃階段，應協助政務部門，結合實際需求，正確界定涉密網絡，做好政務內網與政務外網的劃分。
   （二）重點抓好政務內網建設與應用中的安全保密管理。
    政務內網是涉密網，就要按照中央保密委員會以及國家保密局的一整套對涉密網的要求去管理。保密工作部門對電子政務安全保密管理的重點就是抓好政務內網的安全保密管理。安全保密管理要貫穿政務內網建設與應用的始終。
   （1）督促政務部門對政務內網的安全保密設施要同步規劃，同步建設。預留并保證安全保密建設經費。
   （2）加強涉密信息系統集成資質單位的管理、監督和培訓，要求政務部門選擇具有涉密信息系統集成資質的單位承擔政務內網的設計和建設。
   （3）積極向政務部門宣傳涉密信息系統保密要求，使政務部門清楚具體要求，正確掌握標準。
   （4）協助政務部門抓好政務內網安全保密方案設計和論證，降低由于方案存在先天不足帶來的安全保密風險。
   （5）加強工程監理，確保在政務內網實際工程建設中落實方案提出的各項安全保密措施。
   （6）做好系統測評，由國家保密局涉密信息系統安全保密測評中心及相關機構采用現場檢測與專家評估的方式對政務類網進行測評，給出測評結論，作為審批的基礎。
   （7）網絡運行前檢查和督促政務部門安全保密管理組織、人員和制度的落實，實施嚴格審批。
   （8）網絡通過審批運行后，加強檢查，發現問題及時堵塞漏洞，消除隱患。
   （三）加強政務外網和政務網站的保密管理
    政務外網規模大，用戶多且與互聯網邏輯隔離，存在較大的安全風險。保密工作部門對于政務外網的保密管理主要體現在明確要求，督促檢查，確保國家秘密信息不在政務外網上處理，確保政務外網與政務內網和其它涉密網絡物理隔離。
    政府網站包括中央政府及各部門和各級地方政府及各部門的網站，構建在互聯網上。網站上發布的信息將會在第一時間在全世界范圍被知曉。保密工作部門對政府網站的保密管理主要體現在監督有關部門嚴格執行上網信息保密審查制度，嚴禁涉及國家秘密的信息上網。加強上網信息的保密檢查，一經發現涉密信息，應立即刪除，并嚴肅查處和追究有關人員的責任。
        附件：國家信息化領導小組關于加強信息安全保障工作的意見