中国网络安全信息化顶层设计

‘壹’ 什么是网络安全，为何要注重网络安全

没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。要树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，防患于未然。
01 网络安全是什么？
网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

2020年4月《 第45次中国互联网络发展状况统计报告》显示，我国网民规模突破9亿
新华社发 勾建山 作
02 网络安全为何重要？
当今时代，网络安全和信息化对一个国家很多领域都是牵一发而动全身的，网络安全已是国家安全的重要组成部分。没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。从世界范围看，网络安全威胁和风险日益突出，并向政治、经济、文化、社会、生态、国防等领域传导渗透。网络安全已经成为我国面临的最复杂、最现实、最严峻的非传统安全问题之一。

03 当前我国网络安全总体形势如何？
随着网络信息技术与应用的不断演进，互联网已成为整个经济社会发展升级的重要驱动，同时带来的风险挑战也不断增大，网络空间威胁日益增多。通过依法开展网络空间治理，我国网络空间日渐清朗，网络安全顶层设计不断完善，网络安全综合治理能力水平不断提升。当前，我国各类网络违法犯罪时有发生，数据安全和侵犯个人隐私问题、关键信息基础设施安全防护问题日益凸显，高强度网络攻击愈加明显。
《2019年我国互联网网络安全态势综述》显示，2019年我国网络安全比较突出的问题主要表现在：分布式拒绝服务攻击高发频发且攻击组织性与目的性更加凸显；高级持续性威胁攻击逐步向各重要行业领域渗透；信息系统面临的漏洞威胁形势更加严峻；数据安全防护意识依然薄弱；“灰色”应用程序针对重要行业安全威胁更加明显；网络黑产活动专业化、自动化程度不断提升；新技术的应用给工业控制系统带来安全新隐患。

5G “新基建” 新华社 漫画
04 如何认识安全与发展的关系？
安全与发展有机统一。发展利益与安全利益是国家核心利益的重要内容。一方面，发展是安全的保障，不可能离开发展谈安全；另一方面，安全是发展的前提，不能为了发展罔顾安全，安全和发展要同步推进。古往今来，很多技术都是“双刃剑”，既可以造福社会、造福人民，也可以被一些人用来损害社会公共利益和民众利益，因而要正确处理安全和发展的关系。网络安全和信息化是相辅相成的，是一体之两翼，驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。
05 如何树立正确的网络安全观？
正确树立网络安全观，认识当今的网络安全有几个主要特点：
一是网络安全是整体的而不是割裂的。在信息时代，网络安全对国家安全牵一发而动全身，同许多其他方面的安全都有着密切关系。
二是网络安全是动态的而不是静态的。网络变得高度关联、相互依赖，网络安全的威胁来源和攻击手段不断变化，需要树立动态、综合的防护理念。
三是网络安全是开放的而不是封闭的。只有立足开放环境，加强对外交流、合作、互动、博弈，吸收先进技术，网络安全水平才会不断提高。
四是网络安全是相对的而不是绝对的。没有绝对安全，要立足基本国情保安全，避免不计成本追求绝对安全。
五是网络安全是共同的而不是孤立的。网络安全为人民，网络安全靠人民，维护网络安全是全社会共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。

‘贰’ 国家实施网络什么战略支持研究开发安全方便的电子身份认证技术

国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。

网络安全工作要以党的十九大精神为指导，把中央的决策部署贯彻落实到网络安全工作的全过程和各方面，转化为网络安全具体工作措施。要立足网络安全和信息化工作的全局，加强顶层设计，加快推进网络可信体系建设。

要坚持以人民为中心的发展思想，切实维护网络活动中各方的合法权益，促进电子政务、电子商务发展，保护个人信息安全，使人民群众更好更安全地享受网络发展的红利。

(2)中国网络安全信息化顶层设计扩展阅读：

注意事项：

推动实施网络可信身份战略，是建立我国网络秩序的必然选择。秉持网络安全为人民，网路安全靠人民的重要思想，研究和推动我国的网络可信身份战略是必然之路。通过发动全民力量，首先是互联网服务企业的力量，共同建立我国自主可控的网络身份管理生态体系，让可信的实体畅通无阻，让不可信的实体寸步难行。

推动安全、高效、易用的身份管理和认证方案，提高美国网络空间安全的整体水平，建立起网上虚拟实体的诚信体系，减少网络创新及交易成本，最终繁荣美国网络经济，巩固美国经济全球霸权地位。

‘叁’ 中央网络安全和信息化领导小组的重要意义

中央网络安全和信息化建设领导小组的成立是以规格高、力度大、立意远来统筹指导中国迈向网络强国的发展战略，在中央层面设立一个更强有力、更有权威性的机构。 体现了中国最高层全面深化改革、加强顶层设计的意志，显示出在保障网络安全、维护国家利益、推动信息化发展的决心。 这是中共落实十八届三中全会精神的又一重大举措，是中国网络安全和信息化国家战略迈出的重要一步，标志着这个拥有6亿网民的网络大国加速向网络强国挺进。

‘肆’ 中共中央网络安全和信息化领导小组办公室什么时候成立的

2014年成立的。

2018年3月，根据中共中央印发的《深化党和国家机构改革方案》，将中央网络安全和信息化领导小组改为中国共产党中央网络安全和信息化委员会。

2018年3月，中共中央印发了《深化党和国家机构改革方案》。该方案称：为加强党中央对涉及党和国家事业全局的重大工作的集中统一领导，强化决策和统筹协调职责。

将中央全面深化改革领导小组、中央网络安全和信息化领导小组、中央财经领导小组、中央外事工作领导小组分别改为中央全面深化改革委员会、中央网络安全和信息化委员会、中央财经委员会、中央外事工作委员会，负责相关领域重大工作的顶层设计、总体布局、统筹协调、整体推进、督促落实。

(4)中国网络安全信息化顶层设计扩展阅读：

网络信息安全的重要性：

当今社会信息安全越来越受到重视是因为它己经成为影响国家安全的一个权重高的因素，

它直接关系到国家的金融环境、意识形态、政治氛围等各个方面，信息安全问题无忧，国家安全和社会稳定也就有了可靠的保障。

‘伍’ 2017年国家网络安全宣传周在哪里举行

2017年国家网络安全宣传周9月16日-24日在上海举行，宣传周主题为“网络安全为人民，网络安全靠人民”。

四是举行网络安全技术高峰论坛，中国工程院方滨兴院士、中国科学院何积丰院士、中国科学院潘建伟院士等围绕新兴技术形势下的网络空间安全新挑战等议题展开研讨和交流。另外还有“关键技术基础设施安全”、“提升网民网络素养
共建清朗网络空间”、“网络安全态势感知”、“网络安全技术标准”等分论坛。

据了解，各省（区、市）都已结合各地实际，制定了网络安全宣传周实施方案，各项筹备工作进展顺利。

‘陆’ 信息化管理4大问题如何解决

文|周璐珊（知本咨询咨询顾问）

《关于开展对标世界一流管理提升行动的通知》（以下简称《通知》）中，在信息化管理方面，提出要“加强信息细化管理，提升系统集成能力”。

对标国际一流实践，解决企业以往在信息化管理过程存在的诸多问题。具体来看：

首先，是要解决信息化管理缺乏统筹规划的问题。《通知》指出，要“结合‘十四五’网络安全和信息化规划制定和落实，以企业数字化智能化升级转型为主线，进一步强化顶层设计和统筹规划，充分发挥信息化驱动引领作用”。

其次，是要解决信息化与业务“两张皮”的问题。《通知》指出，要“促进业务与信息化的深度融合，推进信息系统的平台化、专业化和规模化，实现业务流程再造，为企业生产经营管理和产业转型升级注入新动力”。

第三，是要解决信息系统互联互通不够的问题。《通知》指出，要“打通信息‘孤岛’，统一基础数据标准，实现企业内部业务数据互联互通，促进以数字化为支撑的管理变革”。

最后，是要解决信息安全隐患的问题。《通知》指出，要“加强网络安全管理体系建设，落实安全责任，完善技术手段，加强应急响应保障，确保不发生重大网络安全事件”。

二、信息化规划

信息化规划，一方面要坚持战略引领。企业信息化建设工作的开展是一个涉及各个层级、各个领域、各个业务板块的，综合性、系统性、复杂性工程。

需要纳入到企业的总体发展战略制定过程中，进行统一研判、集中部署。

例如：中国海油在2020年工作会议上提出的“1534”总体发展思路，包括一个目标，建设中国特色国际一流能源公司；五个战略，创新驱动、国际化发展、绿色低碳、市场引领、人才兴企；三个作用，中国海油要争做推进“卡脖子”技术攻关的先锋队，争做油气上产的主力军，争做国民经济持续 健康 发展的“稳定器”“压舱石”；四个跨越，要实现从常规油气到非常规油气的跨越，从传统能源到新能源的跨越，从海上到陆地的跨越，从传统模式到数字化的跨越。

中国海油“1534”总体发展思路，即将数字化转型，纳入到集团总体发展战略之中，作为四个跨越之一，支撑中国特色国际一流能源公司建设目标的实现。

另一方面，要坚持需求为导向、问题为导向。

以中国大唐的数字化、信息化战略为例。

在认识到全球能源产业格局正在重塑，清洁化发展趋势不断加速，能源供需结构与供需模式不断转变，以及我国能源行业深化“四个革命、一个合作”能源安全战略，加速推进能源结构调整和产业优化升级的产业背景下，中国大唐提出了打造“数字大唐”，建设世界一流能源的企业的发展愿景。

提出了集团管控能力、运营生产能力和创新发展能力三大提升方向，从定位、管控、运营、能力和架构，五个方面开展数字化、信息化建设，均与大唐集团的运营与业务管理提升需求紧密结合。

如典型：在新运营环节，强调开展一体化智慧运营，形成运营流程端到端集成、企业外部广泛互联（生态圈）、数字驱动的智慧运营能力（智慧建设、智慧电厂等），适应新能源时代运营要求。

图|打造“数字大唐”，建设世界一流能源企业发展思路

当然，我们说在具备了完善的顶层设计的同时，合理有效的统筹安排，清晰的规划路径，也是坐实企业信息化规划，发挥信息化驱动引领作用的必要保障。

来看一个华能集团的案例，分阶段落实完善数字化、信息化规划建设。

第一阶段，在2021年3月底以前，是华能信息化建设、数字化转型战略的战略规划与夯实基础阶段。

在战略+层面，出台了《数字化转型总体规划》的同时，在数据基础层面，华能构建了企业数据治理体系，统一了数据结构与数据编码，从而形成了共性元数据与根数据。

而在运营层面，则实现所有风电、光伏数据对智慧能源数据平台的接入，并完成了瑞金智慧电厂示范项目的建设工作。

第二阶段，预计为2021-2022年，是华能信息化建设、数字化转型战略的重点突破与引领示范阶段。

华能将以纳入了风电、光伏数据的智慧能源数据平台为基础，完成对水电、火电、核电等数据的接入，从而形成统一的智慧能源数据平台。

在运营层面形成全流程、全业务的元数据管理和全生命周期的数据治理服务能力。同时，完成主要产业和企业重点业务的数字化转型。

第三阶段，为2023年，是华能信息化建设、数字化转型战略的巩固提高和全面转型阶段。

华能将实现全面的数字化转型，同时也将其作为国企改革三年行动重要成果。

将数据资源作为驱动发展的新动力，通过数据共享、数据服务，打通上下游产业链，从而形成多产业链、多系统集成的智能化生产、管理、决策体系和生态。

三、信息化与业务的融合

信息化与业务的融合发展，从政策层面可以追溯到2013年的工信部《信息化与工业化深度融合专项行动计划（2013-2018年）》，其后，在政策的持续推动与企业的积极行动之下，我国信息化与业务的融合发展进入快车道。

从融合实施进程来看，2013-2018年，可以说是我国信息化与业务融合发展的业务级融合阶段。

在企业内部，主要是在部门层面，业务层面开展融合工作，即通过信息技术，改造传统生产、经营、管理和服务等活动，在局部实现信息化、数字化改造。

这一阶段往往采用“百人计算机拥有量”、“信息系统覆盖率”等数据指标作为关键表征性指标。

当前，我国信息化与业务的融合发展，已经进入企业级融合阶段。

主要是通过对企业业务的集成化改造，对原有生产、经营、管理和服务模式进行跨业务领域、跨管理环节的整体优化。

这一阶段的关键表征性指标，除了原有的“信息系统覆盖率”等指标外，还应加入如“数字化研发设计工具普及率”、“关键工序数字化控制覆盖率”等与生产经营联系更加紧密的数据指标。

以中国兵器装备集团为例，进入企业级融合阶段，其信息化、数字化建设与业务的深入融合，主要成两个方面展开，一方面是通过信息化、数字化建设提升自主创新能力；另一方面是通过信息化、数字化改造实现制造产业智能化升级。

在提升自主创新能力方面，中国兵器装备集团依托包括国家级企业技术中心、国家重点实验室、工程研究中心、协同创新中心在内的21家高水平创新平台，开展数字化研发、设计、仿真、试验和验证工作，实现国内领先，有力支撑了集团的重点研发体系建立，研发周期平均缩短30%。

特别是在 汽车 产业领域，通过“六国九地”的全球数字化协同研发平台，中国兵器装备集团建立了多学科综合数字化建模仿真系统，填补了国内设计空白。

在实现制造产业智能化升级方面，中国兵器装备集团在集团信息化规划基础上，制定了《智能制造专项规划》，以智能化车间、智能化产品、智能化模式、智能化管理和智能化服务，五个智能化为抓手，全面推进智能制造，逐步实现柔性化生产和个性化定制，从而快速响应市场需求变化。

同时，中国兵器装备集团积极推进工信部国家级两化融合试点工作，75%的企业达到综合集成水平，在 汽车 、医药等领域建成了5个国家级智能车间示范项目，采用数字孪生技术，实现数字化工厂的虚实制造结合，产品生产周期缩短25%以上，制造成本降低10%以上。

但在立足于实际需求，通过信息化与业务的深度融合，解决和提升企业生产、经营、管理和服务等方面的问题与能力的同时，更要深入挖掘数据资源潜力，将信息与数据资源转变产品与服务，为企业、用户和 社会 创造更多价值。

国家电网在信息与数据资源的产品与服务开发方面，为我们做出了表率。

国家电网党组书记、董事长辛保安指出，“电力大数据是一座‘富矿’，有巨大的价值挖掘潜力”。

当前，国家电网正积极推动平台业务、数据产品业务的发展。

第一是开展能源电商业务。

国家电网打造了目前国内最大的能源电商平台，在2B方面，通过整合能源产业链上的上下游资源，推动能源产业链各环节物资的电商化采购；在2C方面，依托智能缴费服务，不断拓展平台功能，为客户提供综合城市生活服务，截止2020年底，注册用户超过2.7亿。

第二是开展智能车联网业务。

围绕电动 汽车 充电服务，国家电网与普天新能源、特来电、星星充电等17家充电运营商联合，建成了全球覆盖范围最广、接入设备最多、技术水平最高的智慧车联网平台。

目前平台接入充电桩103万个，为480万辆电动 汽车 的绿色出行提供便捷智能的充、换电服务，实现“车-桩-网”间高效协同，助理我国电动 汽车 产业的高速发展。

第三是开展电力大数据征信业务。

国家电网利用企业用电数据，积极开展信贷反欺诈、授信辅助、贷后预警等方面的数据分析与应用服务，目前国家电网下属17家省级公司和国网电商公司与金融机构签署战略合作协议，促成了935家中、小微企业，33.8亿元的融资。

第四是开展助力政府精准施策的政务服务业务。

例如：在协助环保监测方面，国家电网开发了智慧环保电力大数据产品，在线监测污染源企业的排污情况；在协助复工复产方面，疫情期间，国家电网开发了“企业复工电力指数”，及时准确反映各行业复工复产情况，为各级政府科学决策提供数据支持。

四、信息互通支撑管理变革

在业务层面，通过信息化、数字化建设，改造传统经营模式，拓展数据产品、服务价值的同时，在管理层面，信息化、数字化建设也是推动现代企业制度改革的重要途径和方法。

以上文提到的中国兵装集团为例，在通过信息化、数字化建设提升自主创新能力、实现制造产业智能化升级的同时，也通过信息化、数字化技术的应用推动了集团的现代企业制度改革。

首先，中国兵器装备集团依托运营监控和大数据分析，提升优化集团的战略管控体系，将财务、人力、资产、审计、党建、“三重一大”等战略管控主要工作内容全部实现信息化，同时全面推进管理会计工具全行业信息化应用，业财一体化100%覆盖，显着降低两金占用，集团供应链管理实现集中率95%，采购降本28.88亿。

第二，中国兵器装备集团建立了动态的竞争情报分析、监测、评估体系，形成“大安全体系”，包括14个一级指标、57个二级指标， 科技 大数据近2万条专利、数百个核心技术以及智能制造核心能力指标， 汽车 大数据研、产、供、销等1300个指标全部实现实时监控和智能分析，从而有效支撑产品、业务、管理和组织的创新；

第三，中国兵器装备集团完善了数据治理体系，统一数据资产标准，打通数据产业链，力争实现数据资产的保值增值。

第四，中国兵器装备集团形成了数字化监管体系，增强集团治理能力，建设数字化总部，实现精准管控、精准决策、精准运营。

另一个打通数据“孤岛”，实现信息互联互通，推动企业管理变革的典型案例是南网电网。南方电网党组书记、董事长孟振平在署名文章《以数字化转型催生高质量发展新动能新优势》中提出，要“打造数字企业，融入国家治理体系和治理能力现代化”。

孟振平指出：将数字技术融入企业管理全过程，是当今世界一流企业的共同发展趋势，更是电网企业融入国家治理体系和治理能力现代化的必由之路。

南方电网大力建设数字企业，推动数字化运营与决策，实现管理化繁为简，提升管控力、决策力、组织力和协同力，让企业治理发挥在国家治理体系中的应有作用。

具体来看，南方电网首先是以数据驱动业务发展。

一方面，南方电网已经建设完成了覆盖企业运营管理全业务流程的一体化数字业务平台，以数据驱动公司的业务流程再造和组织结构优化，促进跨层级、跨系统、跨部门、跨业务的高效协作，进一步优化提升资源配置效率；另一方面，南方电网广泛应用人工智能技术，以技术赋能经营管理，提升管理效率，机器人流程自动化（RPA）提升财务工作效率80%以上，计量物资集约化管理降低库存52%。

其次，南方电网以数字化实现精益管理。

南方电网建设了企业运营管控平台，形成横向互联、纵向贯通的企业“驾驶舱”。

同时，以数字技术实现管理工作的量化评价，形成精益化管理，实现战略运营、业务运行、产业链运转等各类生产经营活动的实时监控、动态分析和风险管控，在提升洞察能力与集团管控水平额同时，也全面支撑了公司的运营风险管控和科学决策。

最后，南方电网以资产作为治理纽带，推动资产数据化与数据资产化。

在资产数据化方面，南方电网深化资产的全生命周期运营管理和数字化协作应用，促进资产管理各个环节的有序运转和高效协同，提升资产使用效率和管理效益；在数据资产化方面，南方电网建立健全了数据资产管理体系和管理平台，提升企业整体的数据治理能力和数据价值创造能力。

五、信息安全

2019年4月，新版《中央企业负责人经营业绩考核办法》施行，将网络安全纳入到了央企负责人的考核指标体系之中，再次凸显了信息安全、数据安全的重要性。

同样，本次对标世界一流管理提升行动中，也将解决信息安全隐患，作为企业信息管理能力提升的重要工作任务之一。

信息安全体系建设，首先要从管理理念、管理思路入手，坚持信息、数据价值开发与保护并重，国家电网在这方面进行了有益实践。

国家电网长期积累的电力数据，既是企业的战略资源和核心生产要素，也是能够直接反映经济运行、 社会 民生、产业运转、用户信用等情况的重要敏感信息。

因此，国家电网在挖掘信息、数据“富矿”价值，开发信息、数据产品的过程中，始终将安全合规作为前提和底线，确保数据安全，保护用户隐私，坚决防止发生敏感数据和个人信息的泄露，以及由于网络安全引发的大电网安全事故。

具体来看，国家电网在信息安全方面，坚持人防与技防并重，持续强化互联网大区、管理信息大区和生产控制大区三道防线建设，构建全场景的网络安全防护体系。

同时，积极开展攻防实战，将网络实战攻防固定化、常态化，在“护网2020”网络攻防演习中，国家电网夺得了全国防守方第一名的优秀成绩。

第二，总书记关于网络安全的重要讲话指出，“网络安全是整体的而不是割裂的，是动态的而不是静态的，是开放的而不是封闭的，是相对的而不是绝对的，是共同的而不是孤立的”，所以企业信息安全、数据安全与网络安全建设，要全盘考虑，统筹规划，从信息流的各个环节入手，全面提升安全保障水平。

典型如华润集团的信息安全保障工作，从开展伊始，就明确了集团统一筹划、各业务单元协同落地的工作原则。

考虑到集团下属各个业务单元间信息安全保障能力的现实差距，华润在相关技术领域制定了统一的安全技术标准与规范，以及一体化的安全运营管理机制，贯穿集团总部到下属各个业务单元。

同时，华润积极开展网络与信息安全工作信息化、数字化与智能化建设，研发三大作战指挥平台，慧脑SCP安全作战指挥云平台、慧眼SSP安全态势感知云平台和慧联STP安全协同平台，以及MarvelNet网络智能运维平台、Rango系统漏洞智能修复平台、Tota护网实战事件管理平台等，一系列平台级工具软件，将安全管理体系、技术体系、运营体系融为一体，使相关管理流程、机制固化到了管理系统中，融合联动了各类异构防护设备（G01、K01、WAF等）、监测设备（D01、网络流量安全感知等）与网络设备，实现了基于资产的威胁自动分析、IP自动封堵、事件自动提单、跨领域人员高效协同研判与处置、辅助作战指令下达、全局态势洞察等多项功能，实现全集团安全上下一体，全局风险与威胁可视、可管、可控。

第三，在企业网络信息安全体系建设过程中，技术只是工具，管理才是主线，只有建立了完善的网络信息安全应对策略、组织与流程，才能使各类网络信息安全技术发挥出应有的作用，从而全面保障企业的信息安全。

平安集团智慧经营副总裁、首席增长官张君毅在2020年5月第二届移动互联网安全峰会上的发言，提到：平安认为，以数据为中心的安全保护，七分靠管理，三分靠技术，有效管理是数据安全有效保护的前提。平安集团的信息与数据安全体系建设，一直践行着这一理念。

一是平安建立了一体化的信息与数据安全保护组织体系。

从决策层到管理层，以及控制层和执行层，都有专人负责信息安全事件的响应和审批，通过闭环管理，规避企业内部对外数据传递过程中的系统化风险。

二是平安制定了严格的信息与数据安全管理制度流程。

将制度建在流程上，将流程建在系统上，形成了规范化的流程制度体系，使信息与数据安全的控制理念，贯穿于整个经营生产流程之中。

三是平安搭建了一个可控、可查、可见的一体化数据安全运营中心。

通过不断地对标差距、搭建体系，形成完善的信息与数据安全能力矩阵，保证平台信息与数据安全体系的健全运行和安全合规。

六、信息化对标分析总结

在信息化规划部分，通过对中国海油、中国大唐和华能集团的信息化战略与规划案例分析，可以深刻的认识到，信息化规划，一方面要坚持战略引领；另一方面，要坚持需求为导向、问题为导向。

同时，合理有效的统筹安排，清晰的规划路径，也是坐实企业信息化规划，发挥信息化驱动引领作用的必要保障。

在信息化与业务的融合部分，通过对中国兵器装备集团与国家电网的案例分析，可以看到信息化与业务融合，一方面是要立足于实际需求，通过信息化与业务的深度融合，解决和提升企业生产、经营、管理和服务等方面的问题与能力；另一方面是要更加深入的挖掘数据资源潜力，将信息与数据资源转变产品与服务，为企业、用户和 社会 创造更多价值。

在信息互通支撑管理变革部分，通过对南方电网和中国兵器装备集团的管理变革案例，突出了信息化、数字化建设对现代企业制度改革的重要推动作用。

在信息安全部分，通过对国家电网、华润集团和平安集团的信息与数据安全体系建设，强调了信息与数据价值开发和保护并重的信息安全管理理念；信息与数据安全体系建设要全盘考虑，统筹规划，从信息流的各个环节入手，全面提升安全保障水平；同时，在企业网络信息安全体系建设过程中，技术只是工具，管理才是主线，只有建立了完善的网络信息安全应对策略、组织与流程，才能使各类网络信息安全技术发挥出应有的作用，从而全面保障企业的信息安全。

编辑丨叶子

‘柒’ 十八大以来我国互联网发展取得了哪些巨大成就

十八大以来我国互联网发展取得九大成就：

1、着力加强互联网发展顶层设计和统筹规划，完善了网络强国推进体制机制。党的十八大以来，适应发展形势和面临趋势，及时加强了我国互联网发展顶层设计和统筹规划，成立中央网络安全和信息化领导小组，确立了建设网络强国的重大战略目标，从国际国内大势出发，总体布局，统筹各方，加快实施和推进网络强国建设，五年来网络空间国际竞争力持续不断提高。

2、大力推动互联网和经济发展领域深度融合，促进了经济发展新动能培育。党的十八大以来，党中央和国务院高瞻远瞩、审时度势、与时俱进，根据国际国内发展形势，及时做出了经济新常态重要战略判断，制定和实施了“互联网+”、大数据等发展战略，积极推进以互联网应用为主要特征的新一代信息通信技术与经济发展深度融合，让创新、协调、绿色、开放、共享等五大发展理念深度融入到经济发展各领域，电子商务、移动支付等应用已经深刻改变经济发展各领域组织模式、服务模式和商业模式，产业转型升级持续加速，新服务、新模式、新业态不断涌现，经济发展新动能不断培育和增多，有效适应和引领了经济新常态。

3、积极深化互联网在社会发展领域普及应用，促进了信息惠民便民和利民。党的十八大以来，我国教育、医疗、文化、社保、养老等领域与互联网加快深度融合，互联网教育、互联网医疗、互联网养老等新业态促进了优质资源流动，促进了城乡协调和共享发展。电子商务应用持续保持高速增长态势，电子商务交易额从2012年的7.89万亿元增长到2016年年底的22.97万亿元，微信支付、支付宝支付等移动支付模式快速普及应用，加速推进我国迈向无现金社会时代，电子商务、移动支付和社交通信等移动互联网应用正在为我国人民创造一种令很多国家向往和羡慕的新生活方式，科技改变未来因互联网应用正在加速实现。

4、多层次完善互联网发展法制环境，保障了互联网长期可持续健康发展。党的十八大以来，在中央网络安全和信息化领导小组的统筹协调下，我国互联网相关法律法规建设进程明显加快，先后在网络安全、电信和互联网用户个人信息保护、网络约车、网络借贷、互联网广告、互联网直播、网络出版、网络交易价格监管、网络支付、网络募捐、移动智能终端软件预置等领域出台了一大批法律法规和部门规章，及时填补了新业态监管的空白，有效地防范了新业态风险发生，特别是《网络安全法》的出台，极大优化了互联网发展法制环境，夯实网络强国建设法制保障。

5、持续强化网络空间全面整顿治理，促进了网络空间规范和有序发展。党的十八大以来，在中央网络安全和信息化领导小组的统一领导下，各级网信、工信、公安、文化、工商、新闻出版广电部门各司其职、密切配合、齐抓共管，在个人信息保护、互联网新闻、互联网网站、网络直播、网络赌博、互联网文化、互联网金融、电信诈骗、移动应用、互联网账号、云服务等多个领域持续开展各类专项治理行动，剑指网络顽疾，保持高压态势，形成持续震慑，网络空间天朗气清的环境正在逐步形成。

6、大力加强互联网治理国际交流合作，提高了网络空间治理国际话语权。党的十八大以来，我国积极参与互联网治理国际交流和合作，连续召开了三次世界互联网大会以及中美、中英、中新等互联网论坛，尤其是在第二届世界互联网大会上，提出了推进全球互联网治理体系变革应该坚持四项基本原则和五点主张，获得了国际社会的广泛认同和赞赏，大大提高了我国在全球互联网治理领域国际地位和话语权。

7、加快构建高速宽带移动信息基础设施，夯实了网络经济发展基础保障。党的十八大以来，我国大力实施“宽带中国”战略，积极加快网络宽带基础设施建设，先后于2013年12和2015年2月发放了4G TD-LTE网络牌照和4G FDD-LTE网络牌照，2017年又发布了促进NB-IoT网络建设相关政策，网络基础设施加速升级，宽带普及提速和降费年年持续大力推进，固定家庭宽带普及率、移动电话普及率、4G用户数量别从2012年年底的40.1%、82.5部/百人、0户提高到67%、96.2部/百人、7.7亿户，信息通信领域多项指标跃居世界第一。

8、积极推进“互联网+”政务服务，加速了国家治理能力和治理体系现代化。党的十八大以来，党中央和国务院持续推进简政放权、放管结合、优化服务改革，积极发展“互联网+”政务，推行“一号、一窗、一网”服务，不断优化服务流程，创新服务方式，推进数据共享，打通信息孤岛，创新监管和服务模式，实现了让企业和群众少跑腿、好办事、不添堵，宏观调控、社会管理、公共服务、市场监管等治国理政能力不断增强，营商环境显着改善，双创活力蓬勃激发，依法治国深入推进，制度性交易成本持续降低，国家治理能力和水平全面提升。

9、普及推广互联网全面创新发展思维，激发了大众创新和万众创业活力。“互联网+”、大数据等国家战略的实施让互联网思维成为了当下中国思维和观念创新的最强音，网络化、平台化和生态化企业组织模式，众包、众创、众筹、众扶资源配置模式，移动服务、个性化定制、网络制造、远程运维等服务模式，已经深刻改变了大众对资源禀赋、特权资源、区位优势、阶层固化等影响创新创业要素的认识，人人皆想创新创业、人人皆能创新创业正在全面开启活力中国建设，不仅有效地适应和引领了经济新常态，更是调动和激活了创新发展的大众基础。

‘捌’ 怎样推进我国网络强国的建设

当今世界，信息技术革命日新月异，对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响。信息化和经济全球化相互促进，互联网已经融入社会生活方方面面，深刻改变了人们的生产和生活方式。我国正处在这个大潮之中，受到的影响越来越深。我国互联网和信息化工作取得了显着发展成就，网络走入千家万户，网民数量世界第一，我国已成为网络大国。同时也要看到，我们在自主创新方面还相对落后，区域和城乡差异比较明显，特别是人均带宽与国际先进水平差距较大，国内互联网发展瓶颈仍然较为突出。
网络安全和信息化对一个国家很多领域都是牵一发而动全身的，要认清我们面临的形势和任务，充分认识做好工作的重要性和紧迫性，因势而谋，应势而动，顺势而为。网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作，要处理好安全和发展的关系，做到协调一致、齐头并进，以安全保发展、以发展促安全，努力建久安之势、成长治之业。
做好网上舆论工作是一项长期任务，要创新改进网上宣传，运用网络传播规律，弘扬主旋律，激发正能量，大力培育和践行社会主义核心价值观，把握好网上舆论引导的时、度、效，使网络空间清朗起来。
网络信息是跨国界流动的，信息流引领技术流、资金流、人才流，信息资源日益成为重要生产要素和社会财富，信息掌握的多寡成为国家软实力和竞争力的重要标志。信息技术和产业发展程度决定着信息化发展水平，要加强核心技术自主创新和基础设施建设，提升信息采集、处理、传播、利用、安全能力，更好惠及民生。
没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国，要有自己的技术，有过硬的技术；要有丰富全面的信息服务，繁荣发展的网络文化；要有良好的信息基础设施，形成实力雄厚的信息经济；要有高素质的网络安全和信息化人才队伍；要积极开展双边、多边的互联网国际交流合作。建设网络强国的战略部署要与“两个一百年”奋斗目标同步推进，向着网络基础设施基本普及、自主创新能力显着增强、信息经济全面发展、网络安全保障有力的目标不断前进。
要制定全面的信息技术、网络技术研究发展战略，下大气力解决科研成果转化问题。要出台支持企业发展的政策，让他们成为技术创新主体，成为信息产业发展主体。要抓紧制定立法规划，完善互联网信息内容管理、关键信息基础设施保护等法律法规，

‘玖’ 专家解读2019年《网络安全法》草案

一、重大历史进步

网络安全不是今天才重要，网络安全立法也不是今天才迫切。十二年前的中央文件曾罕见地以书名号明确了立法任务，可见决心之巨。只是网络安全立法之路实在艰辛，时国务院信息办审时度势，由信息安全条例角度入手，并连续数年推动其列入国务院法制办二类立法计划，之后未能再进一步。2008年后，国务院信息办职能整体划转至工业和信息化部，有关方面意识到制定条例未必就比人大立法容易，且国务院行政法规无力调整现行上位法的法律规定，遂决定返回制定信息安全法。然而国民经济和社会发展颇多领域亟待立法，国家立法资源有限，每个部门允许提出的立法建议屈指可数。工业和信息化部既要考虑信息化立法，还要考虑工业立法，一半指标已不得用，而信息化方向还有一部历史更为悠久的电信法望眼欲穿，信息安全法终究连个队都没排上。期间，人大建议、政协提案不计其数，社会公众翘首以盼，均无果。

此次草案公开征求意见，表明这项工作进入了实质性立法程序，这是一个重大历史进步。欢欣鼓舞之所在，不是因为草案具体内容，而源于征求意见本身的象征意义。时至今日，我们对网络安全立法不是搞清楚、看明白了，而是问题更多、更复杂了，很多观点分歧可能更大了，网络安全立法难度不降反升，但突破恰恰在此时。中央网络安全和信息化领导小组成立后，中央领导同志英明决策，切实将网络安全提升到了国家安全和发展的高度，不但作出“网络强国”的全局战略部署，更扎实推进各项工作取得积极进展。网络安全宣传周、网络空间安全一级学科等，无一不历经多年论证而蹉跎，今朝方开花结果。

诚然，网络安全立法工作十分艰巨，草案肯定有这样那样的问题，但今天的一小步，是国家网络安全工作的一大步。我们应该宽容它、呵护它，使其不断成熟、更加科学，成长为护佑国家网络安全和信息化发展的参天大树。

二、彰显国家意志，确立基本原则

草案在“总则”和“网络安全战略、规划与促进”部分提出的宣示性条款远较其他法律为多，还设立一条倡导性条款(即“倡导诚实守信、健康文明的网络行为”)。作为我国网络安全的基本法，这些“软性”法律规定确有必要，其意在于宣示国家网络安全工作的基本原则，明确建设网络安全保障体系的主要举措，从而为整体推进保障体系建设提供法律依据。

一是坚持网络安全和信息化发展并重原则。网络安全和信息化是一体之两翼，驱动之双轮，要坚持以安全保发展、以发展促安全，不能简单地通过不上网、不共享、不互联互通来保安全，或者片面强调建专网。要努力实现技术创新和体制机制创新，不断增强维护网络安全的新思路、新方法、新举措、新本领，而不是因噎废食、自甘落后。

二是提出了网络空间主权。网络空间主权是国家主权在网络空间的体现和延伸，网络空间主权原则是我国维护国家安全和利益、参与网络空间国际合作所坚持的重要原则。草案虽未作解释，且一笔带过，然犹有石破天惊之意。

三是开展国际合作。网络安全是全球面临的共同问题，中国对广泛开展国际合作持积极态度，合作重点包括但不限于网络治理、技术与标准、打击违法犯罪等，目标是推动构建和平、安全、开放、合作的网络空间。

四是建立统筹协调、分工负责的网络安全管理体制。多年 实践 和各国经验表明，网络安全工作离不开统筹协调。随着中央网络安全和信息化领导小组的成立，有必要通过立法增强领导小组及其办公室的权威性。草案规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。具体包括，对监测预警和信息通报、网络安全应急、关键信息基础设施安全防护等跨部门工作，由网信部门统筹协调;对网络安全审查、重要数据跨境流动安全评估等新出现的综合性管理工作，由网信部门会同国务院有关部门制定办法或组织实施。由此，政府向解决分散、多头和重复管理迈出了关键一步。

五是加强行业自律。要充分发挥行业组织作用，指导行业组织成员加强网络安全防护，促进行业健康发展。

六是强化网络安全顶层设计。顶层设计至关重要，首先是要制定网络安全国家战略，对外宣示主张，对内指导工作;其次要由行业主管部门、其他有关部门制定重点行业、重点领域网络安全规划，确保战略落地，确保这些行业和领域的网络安全工作有目标、有任务、有举措、有监督。

七是建立和完善网络安全标准体系，充分发挥标准在网络安全建设中的指导性、规范性作用。

八是加大财政投入，以加快产业发展，深化技术研发，提升网络安全创新能力。

九是做好宣传教育和 人才 培养工作。首先，要开展经常性的网络安全宣传教育;其次，要通过学历教育和在职培训，采取多种方式培养网络安全人才。

三、关键信息基础设施保护工作进入正轨

关键信息基础设施保护(CIIP)是各国的通行举措。虽然关键基础设施保护(CIP)涉及物理设施安全，与前者不完全一致，但两者在多数情况下已可以混用。CIIP/CIP一直是各国网络安全战略的重点，有的国家甚至以CIIP/CIP战略代指国家网络安全战略。我们国家在2003年时已经要求“重点保障基础信息网络和重要信息系统安全”，并且在实践中明确了基础信息网络是广电网、电信网、互联网，重要信息系统是银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统，即俗称的“2+8”，相关保护工作也常抓不懈。但整体而言，我们与国外差距很大，已是国家安全的软肋，草案为此设立了“关键信息基础设施的运行安全”一节。

一是扩展了保护范围。纵观世界各国，凡是已经开展了网络安全建设的国家，其关键基础设施的范围几乎都远超过我们，例如美国有17类，而我们则有很多重要系统尚未纳入保护视野。草案首次明确了关键信息基础设施范围，包括基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统。最后一类系统中很多由私企运营，运营者可能对其列为国家关键信息基础设施不适应，但当网络服务商的用户达到一定规模时，其安全已经不再是企业自身问题，而成为一个公共问题、社会问题甚至国家安全问题，理应承担更多责任。一些国外机构可能会拿这个做文章，但事实上美国的关键基础设施有87%受私营企业控制。

二是明确了保护要求。等级保护是1994年《计算机信息系统安全保护条例》提出的制度，其对全国各类信息系统提出了分五个等级的通用安全要求。恰恰因为通用，这个要求只能是基线(即基本要求)，其有必要但并不足够，特别是不足以反映应用模式日趋复杂的异构系统的动态防护需求。此外，保护关键信息基础设施涉及很多工作，不仅仅是提出系统自身的保护要求、加强系统安全建设那么简单，还包括一系列的管理工作和公共平台建设，不能由一项制度取代其他制度，理应对此建立专门制度。草案提出，关键信息基础设施安全保护办法由国务院制定。对于某些重点要求，如网络安全审查、风险评估等，草案则在具体条款中进行了明确。

三是划定了保护责任。草案规定了关键信息基础设施运营者的安全保护义务，解决了其保护责任模糊不明的问题。他们有必要从国家安全角度承担防护责任，但这个责任毕竟是有界限的。大家希望知道做到什么程度就无责了，也关心自身的权利如何保障。对很多重点行业的信息技术或网络安全部门来说，这不仅仅是免责的需要，也是推动工作的需要，因为这些内设机构如果没有强制性依据，很难得到业务部门的配合。此外，以前我国重点行业的网络安全监管责任也很不明确。似乎谁都可以进入机房检查，但谁都不用负责，重点行业往往无所适从、疲于应付。为此，草案明确了行业主管部门的监督指导职责，这是一个重要进步。考虑到关键信息基础设施保护的确涉及多个部门，草案授权国家网信部门统筹协调有关部门，建立协作机制。特别是在网络安全检查工作中，要杜绝某个部门前脚走，另一部门后脚来的现象。

四、兼具综合法与专门法的特点

网络安全包含的内容太多，当前需要立法规范的事项也很多，于是就有了综合法与专门法的争议。一个基本事实是，目前世界上鲜见网络安全的综合法，有名的美国《计算机安全法》实际上针对的是美国联邦政府信息系统安全保护，近几年美国国会讨论的《网络安全法》或《网络安全增强法》则主要解决关键基础设施的安全保护问题。

作为第一部网络安全法(《电子签名法》不应该计算在内)，草案首先要体现综合性，其侧重点应该在以下四个方面：

一是要明确部门、企业、社会组织和个人的权利、义务和责任。

二是规定国家网络安全工作的基本原则和理念。

三是将成熟的政策规定和措施上升为法律，为政府部门的工作提供法律依据，体现依法治国要求。这首先是政府部门的工作需要(如对境外违法信息予以阻断、实施网络通信管制等);其次，这些规定和措施往往经过了实践检验，部门间争议较小，有利于提高立法效率。

四是建立国家网络安全的一系列基本制度、形成制度框架，这些基本制度带有全局性、基础性，是推动基础性工作、夯实基础能力所必需。

此外，为了突出实用性，草案还应部分体现专门法的特点。这应从三个方面去考虑：

一是实施重点防护，对关键信息基础设施、网络信息内容等重点安全关注予以优先考虑。

二是防范重大威胁。例如，信息系统安全受控于人是我们面临的心腹大患，斯诺登事件使我们进一步看清风险所在，这就要对供应链安全进行规范。

三是对普遍性、长期存在的社会诉求予以响应。

总体看，草案比较好地处理了综合法与专门法的关系问题，但个别条款还是过于纠结细枝末节(如网络运营者的分项安全保护义务不必展开)，或细致到了足可取代部分专门法的地步(如个人信息保护应制定专门法，原有条款似可删减后将重心转向规范信息内容安全)。除了个人信息外，草案没有突出对公民个人权益的更多保护，如对危害网络安全行为的举报并不是为了解决公民作为受害者“报案无门”的困窘，这不能不说是小的遗憾。

五、“网络安全”的定义还可以更为妥帖

“网络”和“网络安全”是“网络安全法”的题眼。但草案给出的这两个定义却使整篇草案黯然失色，效果有云泥之别。近年的工作中，我们用过“信息安全”，也用过“网络安全”，学者们各抒己见，一些部门也喜欢朝向有利于自身职能的角度去解释，这些自不待言。但中央网络安全和信息化领导小组成立后，已经基本将其统一为“网络安全”。当然，国安委还是使用“信息安全”，《国家安全法》使用的是“网络与信息安全”，但这些已不会造成工作上的障碍。

只是这个“网络安全”实是“CyberSecurity”之译，非“NetworkSecurity”。这里面的“网络”其实指的是“网络空间”(Cyberspace)。因此，当草案试图从“网络空间”的内涵上去解释“网络”时，便挑战了大众的科技常识底线，且出现了“网络是指网络和系统”的尴尬。当然，如果就这么用下去，倒也自成一脉，但草案转眼就去使用狭义的“网络”了，如“建设、运营、维护和使用网络”、“网络基础设施”、“网络数据”、“网络接入”等，这里都是指的“network”。由此，草案中频繁出现自己与自己打架的情况。

而草案中的“网络安全”定义也需修改。现有定义不但丢掉了信息内容安全，更是与“网络空间主权”没有关联。

解决这个问题的途径是，网络就是网络，不要让网络去包括信息系统。即，自始至终使用传统意义上的“Network”概念。对于“网络安全”，则按“网络空间安全”去解释即可。

另外，草案的起草坚持问题导向，对一些确有必要，但尚缺乏实践经验的制度安排做出原则性规定。这一处理十分务实、有益，但对于什么是“原则性规定”则要仔细琢磨。