国家信息化领导小组关于加强信息安全保障工作的意见
(中办发[2003]27号)
随着世界科学技术的迅猛发展和信息技术的广泛应用,特别是我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,信息安全已经成为国家安全的重要组成部分。近年来,在党中央国务院的领导下,我国信息安全保障工作取得了明显成效,建设了一批信息安全基础设施,加强了互联网信息内容安全管理,为维护国家安全与社会稳定、保障和促进信息化建设健康发展发挥了重要作用。
但是必须看到,我国信息安全保障工作仍存在一些亟待解决的问题:网络与信息系统的防护水平不高,应急处理能力不强;信息安全管理和技术人才缺乏,关键技术整体上还比较落盾,产业缺乏核心竞争力;信息安全法律法规和标准不完善;全社会的信息安全意识不强,信息安全管理薄弱。与此同时,网上有害信息传播、病毒入侵和网络攻击日趋严重,网络失泄密事件屡有发生,网络犯罪呈快速上升趋势,境内外敌对势力针对广播电视卫星、有线电视和地面网络的攻击破坏活动和利用信息网络进行的反动宣传活动日益猖撅,严重危害公众利益和国家安全,影响了我国信息化建设的健康发展。随着我国信息化的逐步推进,特别是互联网的广泛应用,信息安全还将面临更多新的挑战。为进一步提高信息安全保障工作的能力和水平,维护公众利益和国家安全,促进信息化建设健康发展,现提出以下意见。
一、加强信息安全保障工作的总体要求和主要原则
加强信息安全保障工作的总体要求是:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。
加强信息安全保障工作的主要原则是:立足国情,以我为主,坚持管理与技术并重;正确处理安全与发展的关系,以安全保发展,在发展中求安全;统筹规划,突出重点,强化基础性工作;明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。
二、实行信息安全等级保护
信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护。
三、加强以密码技术为基础的信息保护和网络信任体系建设
要充分发挥密码在保障电子政务、电子商务安全和保护公民个人信,急等方面的重要作用。按照满足需求、方便使用、加强管理的原则,进一步完善密码管理法规,建立健全适应信息化发展的密码管理体制。要加强密码技术的开发利用,建立科学的密钥管理体系。要建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设。
四、建设和完善信息安全监控体系
信息安全监控是及时发现和处置网络攻击,防止有害信息传播,对网络和系统实施保护的重要手段。基础信息网络的运营单位和各重要信息系统的主管部门或运营单位要根据实际情况建立和完善信息安全监控系统,提高对网络攻击、病毒入侵、网络失窃密的防范能力,防止有害信息传播。国家统筹规划和建设国家信息安全监控系统,依法为加强信息内容安全管理、查处违法犯罪和防范网络攻击、病毒入侵、网络失窃密等工作提供技术支持。
五、重视信息安全应急处理工作
国家和社会各方面都要充分重视信息安全应急处理工作。要进一步完善国家信息安全应急处理协调机制,建立健全指挥调度机制和信息安全通报制度,加强信息安全事件的应急处置工作。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定并不断完善信息安全应急处置预案。灾难备份建设要从实际出发,提倡资源共享、互为备份。要加强信息安全应急支援服务队伍建设,鼓励社会力量参与灾难备份设施建设和提供技术服务,提高信息安全应急响应能力。
六、加强信息安全技术研究开发,推进信息安全产业发展
要采取积极措施,组织和动员各方面力量,密切跟踪世界先进技术的发展,加强信息安全关键技术和相关核心技术的研究开发,提高自主创新能力,促进技术转化,加快产业化进程。要集中力量,加强对密码技术、安全隔离与审计、病毒防范、网络监管、检测与应急处理、信息安全测试与评估、取证、卫星防攻击等关键技术以及相关技术的研究开发。要加强对引进信息技术产品的安全可控技术研究,注意研究应用新技术、新业务可能带来的信息安全问题。要重视研究应用于互联网的信息安全技术,保障互联网的健康发展。
坚持政府引导与市场机制相结合,推动我国信息安全产业的发展,逐步形成基础信息网络和重要信息系统以自主可控设备为主的格局。使用国家财政资金建设的信息化项目,要按照《中华人民共和国政府采购法》的规定采用国产软件、设备和服务。要推进认证认可工作,规范和加强信息安全产品测评认证。建立健全信息安全市场服务体系,为我国信息安全产业发展创造良好的市场环境。
七、加强信息安全法制建设和标准化建设
坚持依法保障和促进信息化健康发展,严格依照现行法律法规,规范网络行为,维护网络秩序。要加强信息安全理论和战略研究,抓紧研究起草《信息安全法》,建立和完善信息安全法律制度,明确社会各方面保障信息安全的责任和义务。要积极参与国际信息网络规则的制定,开展涉及信息网络的国际司法协助。要重视信息安全执法队伍建设,加强对利用网络传播有害信息、危害公众利益和国家安全的违法犯罪活动的打击。
要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准相衔接的中国特色的信息安全标准体系。要重视信息安全标准的贯彻实施,充分发挥其基础性、规范性作用。
八、加快信息安全人才培养,增强全民信息安全意识
加强信息安全保障工作,必须有一批高素质的信息安全管理和技术人才。要加强信息安全学科、专业和培训机构建设,加快信息安全人才培养。要采取积极措施,吸引和用好高素质的信息安全管理和技术人才。
加强信息安全宣传教育和网络文明建设。要大力普及信息安全的基础知识和基本技能,重视对各级领导干部的信息安全培训。要开展全社会特别是对青少年的信息安全教育和法律法规教育,增强全民信息安全意识,自觉规范网络行为。
九、保证信息安全资金
信息安全建设是信息化的有机组成部分,必须与信息化同步规划、同步建设。各地区各部门在信息化建设中,要同步考虑信息安全建设,保证信息安全设施的运行维护费用。国家重点支持信息安全的基础性工作和基础设施建设,增加对信息安全保障体系关键技术研究的资金投入,同时要加大存量资金挖掘、使用及整合的力度,充分发挥信息安全保障资金的使用效益。
十、加强对信息安全保障工作的领导,建立健全信息安全管理责任制
信息安全保障工作是一项关系国民经济和社会信息化全局的长期任务。各级党委和政府要充分认识加强信息安全保障工作的重要性和紧迫性,高度重视信息安全保障工作,切实加强对信息安全保障工作的领导。在推进信息化过程中,要始终坚持一手抓信息化发展,一手抓信息安全保障工作。要抓紧建立健全信息安全管理体制,明确主管领导,落实部门责任,各尽其职,常抓不懈。
要建立和落实信息安全管理责任制。公用通信网、广播电视传输网等基础信息网络的安全管理分别由信息产业部和国家广电总局负责。各重要信息系统的安全建设和管理,按照谁主管谁负责、谁运管谁负责的要求,由各主管部门和运营单位负责。对破坏基础信息网络和利用网络传播有害信息、危害公众利益和国家安全等各种违法犯罪活动,由公安、国家安全部门依据职责分工进行查处和打击。中央和国家机关各有关部门要按照职能分工,协同配合,切实履行信息安全管理的职责。国家网络与信息安全协调小组要做好国家信息安全保障的综合协调工作。
各地区各部门要根据本意见精神,结合实际制定实施计划,将信息安全保障工作落到实处。
军队信息安全保障工作,由中央军委作出规定。