Ⅰ 怎樣加強網路與信息安全標准化建設
加強信息安全建設的幾點認識
董振國
信息安全建設是電子政務建設不可缺少的重要組成部分。電子政務信息系統承載著大量事關國家政治安全、經濟安全、國防安全和社會穩定的數據和信息;網路與信息安全不僅關繫到電子政務的健康發展,而且已經成為國家安全保障體系的重要組成部分。缺乏安全保障的電子政務信息系統,不可能實現真正意義上的電子政務。
一、強化安全保密意識,高度重視信息安全,是確保政務網路信息系統安全運行的前提條件
目前,電子政務信息系統大都是採用開放式的操作系統和網路協議,存在著先天的安全隱患。網路攻擊、黑客入侵、病毒泛濫、系統故障、自然災害、網路竊密和內部人員違規操作等都對電子政務的安全構成極大威脅。因此,信息安全保障工作是一項關系國民經濟和社會信息化全局的長期性任務。
我們必須認真貫徹「一手抓電子政務建設,一手抓網路和信息安全」的精神和中辦發[2003]27號文件關於信息安全保障工作的總體要求,充分認識加強信息安全體系建設的重要性和緊迫性,高度重視網路和信息安全。這是做好信息安全保障工作的前提條件。「高度重視」首先要領導重視;只有領導重視才能把信息安全工作列入議事日程,放到重要的位置,才能及時協調解決信息安全工作所面臨的諸多難題。其次,要通過加強網路保密知識的普及教育,特別是對縣處級以上幹部進行網路安全知識培訓,大力強化公務員隊伍的安全保密意識,使網路信息安全宣傳教育工作不留死角,為網路信息系統安全運行創造條件。
二、加強法制建設,建立完善的制度規范,是做好信息安全保障工作的重要基礎
確保政務網路信息安全,必須加強信息安全法制建設和標准化建設,嚴格按照規章制度和工作規范辦事。俗話說,沒有規矩不成方圓,信息安全工作尤其如此。如果我們能夠堅持建立法制和標准,完善制度和規范並很好地執行,就會把不安全因素和失誤降到最低限度,使政務信息安全工作不斷登上新的台階。
為此,一要嚴格按照現行的法律法規規范網路行為,維護網路秩序,同時逐步建立和完善信息安全法律制度。要加強信息安全標准化工作,抓緊制定急需的信息安全和技術標准,形成與國際標准相銜接的具有中國特色的信息安全標准體系。
二要建立健全各項規章制度和日常工作規范。要根據網路和信息安全面臨的新情況、新問題,緊密聯系本單位信息安全保密工作的實際,本著「堵漏、補缺、管用」的原則,抓緊修訂、完善和新建信息安全工作的各項規章制度及操作規程,切實增強制度的科學性、有用性和可操作性,使信息安全工作有據可依、有章可循。
三要重視安全標准和規章制度的貫徹落實。有了制度,不能把它束之高閣。不按制度辦事,是造成工作失誤和安全隱患的重要原因。很多不安全因素和工作漏洞都是由於沒有按程序辦事所造成的。因此,要組織信息化工作人員反復學習有關制度和規范,使他們熟悉和掌握各項制度的基本內容,明白信息安全工作的規矩和方法,自覺用制度約束自己,規范工作。
四要建立完善對制度落實情況的監督檢查和激勵機制。工作程序、規章制度建立後,必須做到行必循之,把規章制度的每一條、每一款落到實處。執行制度主要靠自覺,但必須有嚴格的監督檢查。要通過監督檢查建立信息安全工作的激勵機制,把信息安全工作與年度考核評比及「爭先創優」工作緊密結合起來,激勵先進,鞭策後進,確保各項信息安全工作制度落到實處。各地、各部門要不定期地對本地和本系統的制度落實情況進行自查自糾,發現問題及早解決。
三、建立信息安全組織體系,落實安全管理責任制,是做好政務信息安全保障工作的關鍵
調查顯示,在實際的網路安全問題中,約有80%是由於管理問題造成的。因此,建立信息安全管理機構,加強組織協調,發揮其統籌規劃、科學管理、宏觀調控和決策的作用,強化信息安全管理,形成全方位的信息安全管理組織體系至關重要。
一方面,要逐步建立和完善信息安全組織體系。該體系應包括各地、各部門成立的保密工作領導小組;有本部門主管領導參加的政務網路與信息安全協調小組;聘請國內外安全專家組成的安全咨詢專家小組。根據建設和應用情況需要,還可建立相應的信息安全管理執行機構(如「政府安全中心」),負責整個政務信息系統中的安全保密工作,包括提供相關服務。
另一方面,要在健全信息安全組織體系的基礎上,切實落實安全管理責任制。明確各級、各部門行政一把手(或主管領導同志)作為信息安全保障工作的第一責任人;技術部門主管或項目負責人作為信息安全保障工作直接責任人,強化對網路管理人員和操作人員的管理。切實把好用人關,對關鍵崗位實行A、B角色管理;對網路管理人員和涉密操作人員要簽訂保密協議,明確保密職責,實行持證上崗制度。要培養一批具有信息安全管理經驗的復合人才,充實到關鍵崗位,為政務信息化把好安全關。
四、結合實際注重實效,正確處理信息安全「五大關系」,是確保信息安全投資效益的最佳選擇
在電子政務建設中,信息安全方面的投資往往涉及很大金額。各地、各部門應緊密結合自身實際,正確處理和把握與信息安全相關的「五大關系」,使有限的資金發揮出最大的社會效益。
1、要正確處理發展與安全的關系。發展與安全是信息安全關系中最基本、最重要的一對關系,由此可以派生出其他一些關系。發展與安全的關系是辯證統一、相輔相成的,其中發展是目的,安全是保證。二者關系處理得好,安全會有保障並能促進發展;處理不好,安全就會制約並牽制發展。正確處理發展與安全的關系就是要加快發展,確保安全。具體講,就是在加快發展過程中確保安全;在確保安全的條件下加快發展。這里要注意克服兩種傾向:一是過分強調發展而忽視安全;二是追求絕對安全而制約發展。為此,要堅持電子政務發展和網路信息安全「兩手抓」。要在電子政務建設和發展過程中不斷加強安全管理,完善安全措施,切實保障安全;同時要在適度安全、基本安全的前提下,培育業務需求,加大工作力度,促進電子政務事業加快發展。
2、處理好安全成本與效益的關系。成本與效益的關系是由信息安全基本關系派生出來的,二者的關系是對立統一、相反相成的。成本與效益的關系處理得好,安全成本就會下降同時效益提高;處理不好,安全成本就會上升同時效益下降。正確處理好安全成本與效益的關系,必須堅持綜合平衡。要根據中辦發[2003]27號文件中關於「信息化發展的不同階段和不同信息系統不同的安全需求,必須從實際出發,綜合平衡安全成本和風險,優化信息安全資源的配置,確保重點」的要求,一方面千方百計降低安全投入成本,另一方面努力提高安全措施的實際效果,確保滿足重點項目、重點部位的安全需求,使有限的安全保障資金充分發揮出良好的使用效益。
3、處理好信息安全與共享(信息公開和保密)的關系。這也是從信息安全基本關系中派生出來的。開放和發展需要信息資源共享,而網路互聯為信息共享提供了條件。但信息公開和信息保護是一對不可迴避的矛盾。推進信息化建設既要強調資源共享,還要保證信息安全。我們應立足於電子政務建設的大系統,整體地、動態地看待信息安全與資源共享問題,用發展的眼光和辯證的觀點去處理問題。在這對矛盾中,目前資源共享是矛盾的主要方面。當前我國各地方、各行業的信息資源建設普遍存在「數字鴻溝」、「信息孤島」現象。針對這種情況,我們在處理兩者之間關系時,應當緊緊圍繞矛盾的主要方面,在確保國家安全和尊重個人隱私的前提下,把當前工作的重點放在最大限度地促進信息資源共享方面,消除數字鴻溝和信息孤島,提高信息資源共享程度,使政務信息資源發揮更大的社會效益。
4、處理好安全管理與技術的關系。安全管理與技術的關系也是信息安全體系中的基本關系之一。在信息安全保障體系中,安全管理和安全技術是一個不可分割的統一體,是一個事物的兩個方面。管理離不開技術,技術離不開管理;兩者緊密相連、相互滲透、互為補充。因此,在信息安全工作中,我們要堅持管理和技術並重,做到管理手段和技術手段相結合,也就是在加強管理的前提下,採用先進的安全技術,在提升技術的基礎上強化管理。信息安全問題的解決需要技術手段,但又不能單純依賴技術。信息化的過程其實是人與技術相互融合的過程,如何使管理與技術相得益彰十分重要。在這方面,我們要同時注意防止和克服「重管理、輕技術」和「單純技術觀點」兩種傾向,既要高度重視信息安全技術的重要作用,又要避免陷入唯技術論的怪圈。從理論上看,不存在絕對安全的技術;技術固然重要,但管理更不容忽視。雖然「三分技術,七分管理」的說法不一定準確,但從另一個角度說明了安全管理工作的重要性。因此,我們應以業務為主導,從全局的高度部署安全策略,採用先進技術,加強安全管理,把採取安全技術手段與加強日常管理和健全體制機制緊密結合起來,堅持一手抓安全技術手段開發,一手抓安全規章制度的建立與完善,提高政務網路信息系統的安全性和可靠性。
5、處理好信息安全工作中應急事件處理與建立長效機制的關系。要保證政務網路與信息系統的「長治久安」,必須著手建立一套長期有效的安全機制。但信息安全問題在信息化進程中廣泛存在且突發性強,所以又必須強調和重視應急事件的處理。一旦出現影響到國家利益的網路安全與信息安全事件,必須能夠立即採取有效措施,控制危機的發展,把損失減少到最低限度。
為此,首先要建立和完善信息安全監控體系,及時發現和處置突發事件,提高對網路攻擊、病毒入侵、網路失竊密的防範能力,防治有害信息傳播,增強對政務網路和信息系統的監控、管理和保護。其次,要重視信息安全應急處理工作,建立健全應急管理協調機制、指揮調度機制和信息安全通報制度。要制定完善信息安全處置預案,加強信息安全應急支援服務隊伍建設,提高信息安全應急響應能力。
Ⅱ 國家支持什麼參與網路安全國家標准
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。
《中華人民共和國網路安全法》第十五條明確規定:
國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。
第十五條、第十六條、第十七條、第十八條和第二十條分別倡導企業、高校和科研單位、網路相關行業組織等參與網路安全國家標准、行業標准制定,研究開發網路安全技術,為社會提供網路安全認證、檢測和風險評估等安全服務,開發網路數據安全保護和利用技術,以及培養網路安全人才等。
這些法條集中表達了一個主旨:鼓勵網路安全領域的技術發展和進步,以更好地促進網路安全、健康運行。
(2)網路安全和信息化建設標准化擴展閱讀:
「沒有網路安全就沒有國家安全。」當網路進入千家萬戶,當網路和信息業務蓬勃發展,當我國的互聯網用戶數量和電子商務總量位居世界第一時,網路安全顯然已經成為一件非常重要的事情。
2016年4月,習近平總書記在網路安全和信息化研討會上指出,「網路空間是億萬人民共同的精神家園。」網路空間是清晰的、生態的,是符合人民利益的。」
精神的指導下,始終高度重視網路安全建設在我國,十八大會以來,先後制定分銷網路安全國家標准289項,繼續實施「凈凈」「劍網」「基礎」「護理苗」系列等特殊項目的成果顯著,連續第六年組織實施的「網路安全宣傳周」深入人心,這些務實有力的舉措,不斷凈化網路空間,維護網民的合法權益。
Ⅲ 國家建立和完善網路安全標准體系什麼和國務院其他有關部門根據各自的職責
國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
2017年6月1日,《網路安全法》將正式施行,標志著網路空間治理、網路信息傳播秩序規范、網路犯罪懲治等方面即將翻開嶄新的一頁,國家網路安全將擁有更為完善的法律基礎和保障。網路安全標准化是網路安全保障體系建設的重要組成部分,在維護網路空間安全、推動網路空間治理體系變革方面發揮著基礎性、規范性、引領性作用。《網路安全法》對於網路安全標准化工作也提出了更明確的要求。
(3)網路安全和信息化建設標准化擴展閱讀:
進一步加強網路安全標准體系建設。《網路安全法》第十五條規定,國家建立和完善網路安全標准體系。根據國家標准委授予的職責范圍,全國信息安全標准化技術委員會(TC260)承擔著組織制定標准和持續完善國家信息安全標准體系的職責,多年來推動國家網路安全保障體系建設所需標準的制修訂工作,初步形成了國家網路安全標准體系。
中央網信辦、國家質檢總局、國家標准委聯合印發的《關於加強國家網路安全標准化工作的若干意見》指出,建立統一權威的國家標准工作機制,全國信息安全標准化技術委員會在國家標准委的領導下,在中央網信辦的統籌協調和有關網路安全主管部門的支持下,對網路安全國家標准進行統一技術歸口,統一組織申報、送審和報批。
因此,需要加強網路安全標准戰略性、方向性、基礎性的研究,既要突出重點,也要拓展覆蓋面;既要統籌推進國家標准和行業標准制修訂工作,也要適時引進國外有關標准,進而逐步建立起與《網路安全法》相配套的國家網路安全標准體系,以適應新形勢對網路安全標准化工作的更高要求。
Ⅳ 如何做好新形勢下網路安全和信息化工作
實際扎實推進網路安全和信息化各項工作,要著手研究制定我省網路安全規劃和信息化戰略,組織重大問題研究,將信息化工作和「數字河北」建設密切結合起來,謀劃好我省網路安全和信息化法制建設。要切實加強網上輿論引導,堅持團結穩定鼓勁、正面宣傳為主,加強對關系國計民生、社會熱點問題的政策解讀、輿論引導。要全力維護網路安全,綜合運用多種手段,研究採取更有針對性的措施辦法,形成網路安全的堅強保障。要抓緊信息基礎設施建設,重視信息內容建設,加強信息資源轉化運用的研究,提升全省經濟社會信息化水平。
Ⅳ 中華人民共和國網路安全法
第一章總 則第一條為了保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。第二條在中華人民共和國境內建設、運營、維護和使用網路,以及網路安全的監督管理,適用本法。第三條國家堅持網路安全與信息化發展並重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網路基礎設施建設和互聯互通,鼓勵網路技術創新和應用,支持培養網路安全人才,建立健全網路安全保障體系,提高網路安全保護能力。第四條國家制定並不斷完善網路安全戰略,明確保障網路安全的基本要求和主要目標,提出重點領域的網路安全政策、工作任務和措施。第五條國家採取措施,監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治網路違法犯罪活動,維護網路空間安全和秩序。第六條國家倡導誠實守信、健康文明的網路行為,推動傳播社會主義核心價值觀,採取措施提高全社會的網路安全意識和水平,形成全社會共同參與促進網路安全的良好環境。第七條國家積極開展網路空間治理、網路技術研發和標准制定、打擊網路違法犯罪等方面的國際交流與合作,推動構建和平、安全、開放、合作的網路空間,建立多邊、民主、透明的網路治理體系。第八條國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網路安全保護和監督管理工作。
縣級以上地方人民政府有關部門的網路安全保護和監督管理職責,按照國家有關規定確定。第九條網路運營者開展經營和服務活動,必須遵守法律、行政法規,尊重社會公德,遵守商業道德,誠實信用,履行網路安全保護義務,接受政府和社會的監督,承擔社會責任。第十條建設、運營網路或者通過網路提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,採取技術措施和其他必要措施,保障網路安全、穩定運行,有效應對網路安全事件,防範網路違法犯罪活動,維護網路數據的完整性、保密性和可用性。第十一條網路相關行業組織按照章程,加強行業自律,制定網路安全行為規范,指導會員加強網路安全保護,提高網路安全保護水平,促進行業健康發展。第十二條國家保護公民、法人和其他組織依法使用網路的權利,促進網路接入普及,提升網路服務水平,為社會提供安全、便利的網路服務,保障網路信息依法有序自由流動。
任何個人和組織使用網路應當遵守憲法法律,遵守公共秩序,尊重社會公德,不得危害網路安全,不得利用網路從事危害國家安全、榮譽和利益,煽動顛覆國家政權、推翻社會主義制度,煽動分裂國家、破壞國家統一,宣揚恐怖主義、極端主義,宣揚民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經濟秩序和社會秩序,以及侵害他人名譽、隱私、知識產權和其他合法權益等活動。第十三條國家支持研究開發有利於未成年人健康成長的網路產品和服務,依法懲治利用網路從事危害未成年人身心健康的活動,為未成年人提供安全、健康的網路環境。第十四條任何個人和組織有權對危害網路安全的行為向網信、電信、公安等部門舉報。收到舉報的部門應當及時依法作出處理;不屬於本部門職責的,應當及時移送有權處理的部門。
有關部門應當對舉報人的相關信息予以保密,保護舉報人的合法權益。第二章網路安全支持與促進第十五條國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。第十六條國務院和省、自治區、直轄市人民政府應當統籌規劃,加大投入,扶持重點網路安全技術產業和項目,支持網路安全技術的研究開發和應用,推廣安全可信的網路產品和服務,保護網路技術知識產權,支持企業、研究機構和高等學校等參與國家網路安全技術創新項目。
Ⅵ 網路與信息安全 信息安全管理標准化成果主要覆蓋了哪些領域或方面
隨著我國信息安全保障體系建設進入了全面規劃、統籌發展的新時期,與國家各項信息安全保障重要工作相適應,我國的信息安全管理標准化工作也有了較大的發展,取得了較為顯著的成果。截至2013年底,我國正式發布信息安全管理相關國家標准29項,正在制定過程中的管理標准23項,其中已發布標准中採用或參考國際信息安全管理標准13項。這些標准化成果主要覆蓋了以下領域或方面:
1) 等同或修改轉化了國際信息安全管理體系標准族(即ISO/IEC 27000系列標准)中基礎、核心標准;
2) 支撐信息安全管理體系實施的信息安全控制有關的技術標准或指南;
3) 支撐國家電子政務建設、信息安全等級保護、政府信息系統檢查等重點信息安全保障工作的配套安全管理標准;
4) 有關信息安全風險評估與管理、應急與事件管理、災備服務管理、外包管理、供應鏈風險管理、個人信息保護等的標准或規范;
5) 新技術新應用相關的信息安全管理標准,包括工業控制系統安全管理、雲計算安全管理等。
Ⅶ 湖南省網路安全和信息化條例
第一章總則第一條為了保障網路安全,促進信息化發展,提高數字化水平,推進經濟社會高質量發展,根據有關法律、行政法規,結合本省實際,制定本條例。第二條本省行政區域內的網路安全保障和信息化促進等活動適用本條例。第三條網路安全和信息化工作應當貫徹總體國家安全觀,遵循統籌規劃、創新引領、開放共享、保障安全的原則。第四條省網路安全和信息化議事協調機構負責研究制定本省網路安全和信息化發展戰略、宏觀規劃和重大政策,統籌協調本省網路安全和信息化重大事項和重要工作,推進本省網路安全和信息化法治建設。第五條縣級以上負責網路安全和信息化工作的部門(以下簡稱網信部門)負責本行政區域網路安全和信息化統籌協調、督促落實和相關監督管理工作。
縣級以上人民政府工業和信息化、發展改革、科技、公安、財政、政務等部門和國家安全機關、省通信管理機構按照各自職責做好網路安全和信息化相關工作。第六條縣級以上人民政府應當將網路安全和信息化發展納入國民經濟和社會發展規劃,安排網路安全和信息化專項資金,引導和支持社會資金投資網路安全和信息化建設。
鼓勵企業、科研機構、高等院校、行業組織和個人參與網路安全共同治理與信息化發展工作。第七條縣級以上網信部門應當根據上一級網路安全和信息化發展規劃以及本行政區域國民經濟和社會發展規劃,編制本行政區域網路安全和信息化發展規劃,經本級人民政府批准後發布實施,並報上一級網信部門備案。
縣級以上人民政府有關部門應當根據實際需要,編制本系統、本部門的網路安全和信息化專項規劃,並與本行政區域網路安全和信息化發展規劃相銜接。第八條編制網路安全和信息化發展規劃、專項規劃,應當組織專家論證,廣泛徵求意見,堅持安全可控、合理前瞻、科學布局、綠色集約、開放共享的原則,防止重復建設和資源浪費。第九條省人民政府標准化部門應當會同有關部門制定完善本省網路安全和信息化地方標准並監督實施。
鼓勵有關單位參與制定修訂網路安全和信息化國際標准、國家標准、行業標准、地方標准,自主制定高於國家強制性標準的團體標准、企業標准。第十條縣級以上人民政府應當加強網信人才的培養和引進。
省人民政府及其有關部門應當支持高等院校建設計算機科學與技術、網路空間安全、集成電路科學與工程等學科,建設重點網路安全和信息化研究基地,支持建設國家一流網路安全學院和網信人才培養基地,加強高等院校與實務部門的人才交流。
省人民政府人力資源和社會保障部門應當會同有關部門,建立健全網信人才職稱評價制度和職稱評聘制度。第十一條縣級以上人民政府應當組織有關部門、教育機構、公眾傳媒、村(居)民委員會開展網路安全和信息化宣傳活動,提高全社會網路安全意識和信息技術應用能力。
縣級以上人民政府及其有關部門應當將網路安全教育和信息化內容納入國家工作人員培訓和普法考核,普及中小學信息技術教育,發展信息技術職業教育。第十二條縣級以上人民政府應當將網路安全和信息化工作納入經濟社會發展考核體系,建立績效評估指標,對本行政區域各部門和下級人民政府進行網路安全和信息化工作考核。第二章網路安全保障第十三條縣級以上人民政府及其有關部門應當按照誰主管誰負責、屬地管理原則,落實網路安全責任制,建立健全網路安全保障體系,提升網路安全保護能力,實現網路、關鍵信息基礎設施、重要信息系統和數據的安全可控。第十四條縣級以上網信、工業和信息化、公安、保密、密碼管理等部門和國家安全機關、省通信管理機構依照有關法律、行政法規的規定,在各自職責范圍內負責網路安全、數據安全、個人信息保護和相關監督管理工作。第十五條省人民政府對本省行政區域內未列入關鍵信息基礎設施的重要信息系統,在網路安全等級保護制度的基礎上,實行重點保護。
重要信息系統的具體范圍和識別指南由省網信部門會同公安等部門制定。第十六條重要信息系統的行業主管或者監督管理部門指導和監督本行業、本領域的重要信息系統運行安全保護工作,負責編制和組織實施本行業、本領域重要信息系統安全規劃,建立健全網路安全監測預警和網路安全事件應急預案,定期組織開展網路安全檢查監測、應急演練,對重要信息系統進行識別並向省網信部門、公安機關報送識別結果。
Ⅷ 信息化能力建設與網路安全讀本信息化的體系框架包括哪些方面
2014年2月27日,中央網路安全和信息化領導小組成立。該領導小組將著眼國家安全和長遠發展,統籌協調涉及經濟、政治、文化、社會及軍事等各個領域的網路安全和信息化重大問題,研究制定網路安全和信息化發展戰略、宏觀規劃和重大政策,推動國家網路安全和信息化法治建設,不斷增強安全保障能力。中央網信辦幹部局10月27日發布《中央網路安全和信息化領導小組辦公室2014年公開選拔處級領導幹部工作公告》,並公布了此次面向社會公開選拔的9名處級領導幹部職位說明書。
Ⅸ 國家支持什麼參與網路安全國家標准
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。
《中華人民共和國網路安全法》第十五條明確規定:
國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。
第十五條、第十六條、第十七條、第十八條和第二十條分別倡導企業、高校和科研單位、網路相關行業組織等參與網路安全國家標准、行業標准制定,研究開發網路安全技術,為社會提供網路安全認證、檢測和風險評估等安全服務,開發網路數據安全保護和利用技術,以及培養網路安全人才等。
這些法條集中表達了一個主旨:鼓勵網路安全領域的技術發展和進步,以更好地促進網路安全、健康運行。
(9)網路安全和信息化建設標准化擴展閱讀
「沒有網路安全就沒有國家安全。」當網路走進了千家萬戶,當網信事業蓬勃發展,當我國的網民數量和電子商務總量位居全球第一,網路安全顯然已經成為天大的事。
2016年4月,習近平總書記在網路安全和信息化工作座談會上指出,「網路空間是億萬民眾共同的精神家園,網路空間天朗氣清、生態良好,符合人民利益。」
在此精神的指導下,我國始終高度重視網路安全建設,黨的十八大以來,先後制定發布網路安全國家標准289項,持續開展的「凈網」「劍網」「清源」「護苗」等系列專項治理行動成果顯著,連續六年組織實施的「網路安全宣傳周」更是深入人心,以上這些務實有力的舉措,不斷凈化著網路空間,切實維護了網民的合法權益。
Ⅹ 工信部:車聯網網路安全和數據安全標准體系建設指南發布
易車訊 近日,工業和信息化部印發《車聯網網路安全和數據安全標准體系建設指南》,目標到2023年底,初步構建起車聯網網路安全和數據安全標准體系。重點研究基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等標准,完成50項以上急需標準的研製。到2025年,形成較為完善的車聯網網路安全和數據安全標准體系。完成100項以上標準的研製,提升標准對細分領域的覆蓋程度,加強標准服務能力,提高標准應用水平,支撐車聯網產業安全健康發展。
標准體系框架包括總體與基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等6個部分。在重點領域及方向,提出以下內容:
1、總體與基礎共性標准
總體與基礎共性標準是車聯網網路安全和數據安全的總體性、通用性和指導性標准,包括術語和定義、總體架構、密碼應用等3類標准。
術語和定義標准主要規范車聯網網路安全和數據安全主要概念,為相關標准中的術語和定義提供依據支撐。
總體架構標准主要規范車聯網網路安全總體架構要求,明確和界定防護對象、防護方法、防護機制,指導企業體系化開展網路安全防護工作。
密碼應用標准主要規范車聯網密碼應用通用要求,明確數字證書格式、數字證書應用、設備密碼應用等要求。
2、終端與設施網路安全標准終端與設施網路安全標准
主要規范車聯網終端和基礎設施等相關網路安全要求,包括車載設備網路安全、車端網路安全、路側通信設備網路安全、網路設施與系統安全等4類標准。
車載設備網路安全標准主要規范智能網聯汽車關鍵智能設備和組件的安全防護與檢測要求,包括汽車網關、電子控制單元、車用安全晶元、車載計算平台等安全標准。
車端網路安全標准主要規范整車電子電氣架構、匯流排架構、系統架構等安全防護與檢測要求。
路側通信設備網路安全標准主要規范聯網路側設備的安全防護與檢測要求。網路設施與系統安全標准主要規范車聯網網路設施與系統的安全防護與檢測要求。
3、網聯通信安全標准
網聯通信安全標准主要規范車聯網通信網路安全、身份認證等相關安全要求,包括通信安全、身份認證等2類標准。信安全標准主要規范蜂窩車聯網(C-V2X),以及應用於車聯網的蜂窩移動通信(4G/5G)、衛星通信、無線射頻識別、車內無線區域網、藍牙低能耗(BLE)紫蜂(Zigbee)、超寬頻(UWB)等安全防護與檢測要求。身份認證標准主要規范車聯網數字身份認證相關的證書應用介面、證書管理系統、安全認證技術及測試方法、關鍵部件輕量級認證等技術要求。
4、數據安全標准
數據安全標准主要規范智能網聯汽車、車聯網平台、車載應用服務等數據安全和個人信息保護要求,句括通用要求、分類分級、出境安全、個人信息保護、應用數據安全等5類標准。通用要求標准主要規范車聯網可採集和處理的數據類型、范圍、質量、顆粒度等,包括數據最小化採集、數據安全存儲、數據加密傳輸、數據安全共享等標准。分類分級標准主要規范車聯網數據分類分級保護要求,制定數據分類分級的維度、方法、示例等標准,明確重要數據類型和安全保護要求。數據出境安全標准主要規范車聯網行業依法依規落實數據出境安全要求,句括數據出境安全評估要點、評估方法等標准。個人信息保護標准主要規范車聯網用戶個人信息保護機制及相關技術要求,明確用戶敏感數據和個人信息保護的場景、規則、技術方法,包括匿名化、去標識化、數據脫敏、異常行為識別等標准。應用數據安全標准主要規范車聯網相關應用所開展的數據採集和處理使用等活動,包括車聯網平台、網約車、車載應用程序等數據安全標准。
5、應用服務安全標准
應用服務安全標准主要規范車聯網服務平台和應用程序的安全要求,以及典型業務應用服務場景下的安全要求,包括平台安全、應用程序安全和服務安全等3類標准。平台安全標准主要規范車聯網信息服務平台、遠程升級(OTA)服務平台、邊緣計算平台、電動汽車遠程信息服務與管理等安全防護與檢測要求。應用程序安全標准主要規范車聯網應用程序等安全防護與檢測要求。服務安全標准主要規范車聯網典型業務服務場景下的安全要求,包括汽車遠程診斷、高級輔助駕駛、車路協同等服務安全要求。
6、安全保障與支撐標准
安全保障與支撐標准主要規范車聯網網路安全管理與支撐相關的安全要求,包括風險評估、安全監測與應急管理和安全能力評估等3類標准。風險評估標准主要規范車聯網網路安全風險分類與安全等級劃分要求,明確安全風險評估流程和方法,提出車聯網服務平台、整車網路安全風險評估規范等相關要求。安全監測與應急管理標准主要規范車聯網網路安全監測、數據安全監測、應急管理、網路安全漏洞分類分級、安全事件追蹤溯源等相關要求,以及安全管理介面、車聯網卡實名登記、車聯網業務遞交網關(HI)介面等相關規范。安全能力評估標准主要規范車聯網服務平台運營企業、智能網聯汽車生產企業、基礎電信企業等安全防護措施部署安全服務實施,提出網路安全成熟度模型、數據安全成熟度模型、安全能力成熟度評價准則、評估實施方法、機構能力認定、道路車輛信息安全工程等相關要求。