壹是強化安全意識,高度重視信息安全,是保障政府網絡信息系統安全運行的前提。
目前,大多數電子政務信息系統采用開放的操作系統和網絡協議,存在固有的安全風險。網絡攻擊、黑客入侵、病毒泛濫、系統故障、自然災害、網絡盜竊和內部人員非法操作都對電子政務的安全構成了極大的威脅。因此,信息安全是壹項關系國民經濟和社會信息化全局的長期任務。
要認真貫徹落實“以電子政務建設為重點,以網絡與信息安全為重點”的精神和中辦〔2003〕27號文件的總體要求,充分認識加強信息安全體系建設的重要性和緊迫性,高度重視網絡與信息安全工作。這是信息安全的先決條件。“高度重視”首先要領導重視;只有領導重視,信息安全工作才能提上日程,放在重要位置,信息安全工作面臨的許多難題才能得到及時解決。其次,通過加強網絡安全知識的普及教育,特別是對縣級以上幹部的網絡安全知識培訓,大力強化公務員的安全保密意識,使網絡信息安全宣傳教育不留死角,為網絡信息系統安全運行創造條件。
二、加強法制建設,建立完善的制度規範,是信息安全的重要基礎。
保障政府網絡信息安全,必須加強信息安全法制建設和標準化建設,嚴格按照規章制度和工作規範辦事。俗話說,沒有規則就沒有方圓,尤其是在信息安全方面。如果能堅持建立法律制度和標準,完善制度和規範,並很好地執行,我們將最大限度地減少不安全因素和錯誤,使政府信息安全工作不斷邁上新臺階。
因此,首先要嚴格按照現有的法律法規來規範網絡行為,維護網絡秩序,同時逐步建立和完善信息安全的法律體系。加強信息安全標準化建設,抓緊制定急需的信息安全和技術標準,形成與國際標準相銜接的中國特色信息安全標準體系。
二要建立健全各項規章制度和日常工作規範。要根據網絡與信息安全面臨的新情況、新問題,緊密聯系本單位信息安全工作實際,堅持“堵、補、用”的原則,抓緊修訂、完善和構建新的信息安全工作規章制度和操作規程,切實增強制度的科學性、有用性和可操作性,使信息安全工作有據可依、有章可循。
三要註重安全標準和規章制度的落實。有了制度,就不能束之高閣。不按制度辦事是造成工作失誤和安全隱患的重要原因。很多不安全因素和工作漏洞都是因為不按程序操作造成的。因此,要組織信息工作者反復學習相關制度和規範,使其熟悉和掌握各項制度的基本內容,了解信息安全工作的規則和方法,自覺用制度約束自己,規範工作。
第四,建立和完善制度執行的監督、檢查和激勵機制。工作程序和規章制度建立後,必須遵照執行,落實規章制度的每壹項、每壹款。制度的執行主要靠自覺,但必須有嚴格的監督檢查。要通過監督檢查,建立信息安全工作的激勵機制,把信息安全工作與年度考核和“創先爭優”工作緊密結合起來,激勵先進,鞭策後進,確保各項信息安全工作制度落到實處。各地各部門要不定期對本地區、本系統的執行情況進行自查自糾,發現問題,盡快解決。
三、建立信息安全組織體系,落實安全管理責任制,是做好政府信息安全工作的關鍵。
調查顯示,實際網絡安全問題中,約80%是由管理問題引起的。因此,建立信息安全管理機構,加強組織協調,發揮其統籌規劃、科學管理、宏觀調控和決策的作用,加強信息安全管理,形成全方位的信息安全管理組織體系十分重要。
壹方面,要逐步建立和完善信息安全組織體系。這個系統應該包括各地各部門成立的保密工作領導小組;部門主管領導參加的政府網絡與信息安全協調小組;聘請由國內外安全專家組成的安全咨詢專家組。根據建設和應用的需要,也可以建立相應的信息安全管理執行機構(如“政府安全中心”),負責整個政府信息系統的安全保密工作,包括提供相關服務。
另壹方面,在完善信息安全組織體系的基礎上,切實落實安全管理責任制。明確各級各部門行政領導(或分管領導同誌)為信息安全工作的第壹責任人;技術部門主管或項目負責人作為信息安全的直接責任人,加強對網絡管理人員和運營人員的管理。有效管理人員使用,對關鍵崗位實行A、B角色管理;網絡管理者和涉密經營者應當簽訂保密協議,明確保密責任,實行持證上崗制度。要培養壹批具有信息安全管理經驗的復合型人才,充實到關鍵崗位,確保政府信息化安全。
四、註重實效,正確處理信息安全的“五大關系”,是確保信息安全投資效益的最佳選擇。
在電子政務建設中,信息安全的投資往往涉及大量資金。各地各部門要緊密結合自身實際,正確處理和把握與信息安全相關的“五大關系”,使有限的資金發揮最大的社會效益。
1,要正確處理發展和安全的關系。發展與安全是信息安全中最基本、最重要的關系,並由此衍生出其他關系。發展與安全是辯證統壹、相輔相成的關系,發展是目的,安全是保障。兩者關系處理好,安全有保障,發展有促進;如果處理不好,安全會制約和遏制發展。正確處理發展與安全的關系,就是加快發展,保障安全。具體來說,就是在加速發展的過程中保證安全;在確保安全的條件下加快發展。這裏要註意克服兩種傾向:壹是過分強調發展,忽視安全;第二,追求絕對安全制約發展。為此,必須堅持電子政務的發展和網絡信息的安全。在電子政務建設和發展過程中,要不斷加強安全管理,完善安全措施,切實保障安全;同時,在適度安全和基本安全的前提下,培育業務需求,加大工作力度,加快電子政務發展。
2、處理好安全成本與效益的關系。成本與收益的關系來源於信息安全的基本關系,兩者之間是對立統壹、相輔相成的關系。處理好成本與效益的關系,安全成本降低,效益增加;處理不好,安全成本增加,效益下降。正確處理安全成本與效益的關系,必須堅持綜合平衡。根據中辦發〔2003〕27號文件中“不同信息化發展階段、不同信息系統的安全需求不同,必須從實際出發,綜合平衡安全成本和風險,優化信息安全資源配置,確保重點”的要求,壹方面要千方百計降低安全投入成本,另壹方面, 要努力提高安保措施的實際效果,確保重點工程和關鍵部位的安保要求,充分利用有限的安保資金。
3.處理好信息安全和* * *享受(信息公開和保密)的關系。這也是來源於信息安全的基本關系。開放和發展需要信息資源被享用,互聯網為信息被享用提供了條件。但是信息披露和信息保護是壹對不可回避的矛盾。推進信息化建設,既要強調資源的享用,又要保證信息的安全。我們應該立足於電子政務這個大系統,把信息安全和資源共享問題作為壹個整體來看待,動態地看待,用發展的眼光和辯證的觀點來處理問題。在這個矛盾中,目前對資源的享用是矛盾的主要方面。目前,我國各地、各行業的信息資源建設普遍存在“數字鴻溝”和“信息孤島”現象。鑒於這種情況,在處理兩者關系時,應緊緊圍繞矛盾的主要方面,在確保國家安全和尊重個人隱私的前提下,把當前工作的重點放在最大限度地享受信息資源,消除數字鴻溝和信息孤島,提高信息資源的享受程度,使政府信息資源發揮更大的社會效益。
4、處理好安全管理和技術的關系。安全管理與技術的關系也是信息安全體系中的基本關系之壹。在信息安全系統中,安全管理和安全技術是壹個不可分割的統壹體,是同壹事物的兩個方面。管理離不開技術,技術離不開管理;兩者緊密聯系,相互滲透,相輔相成。因此,在信息安全工作中,要做到管理與技術並重,管理與技術相結合,即在加強管理的前提下,采用先進的安全技術,在提升技術的基礎上加強管理。信息安全問題的解決需要技術手段,但不能單純依靠技術。信息化的過程其實就是人和技術相互融合的過程,如何讓管理和技術相得益彰非常重要。對此,也要註意防止和克服“重管理、輕技術”和“純技術觀點”兩種傾向。既要高度重視信息安全技術的重要作用,又要避免陷入技術主義的怪圈。理論上,沒有絕對安全的技術;技術固然重要,但管理也不可忽視。“三分技術七分管理”的說法雖然不壹定準確,但從另壹個角度說明了安全管理的重要性。因此,我們應該以業務為導向,從全局角度部署安全戰略,采用先進技術,加強安全管理,把采用安全技術手段與加強日常管理、完善體制機制緊密結合起來,堅持壹手抓安全技術手段的發展,壹手抓安全規章制度的建立和完善,提高政府網絡信息系統的安全性和可靠性。
5、處理好應急處理與建立信息安全工作長效機制的關系。要確保政府網絡和信息系統的“長治久安”,必須著手建立壹套長期有效的安全機制。但是,信息化過程中的信息安全問題具有廣泛性和突發性,必須重視和重視突發事件的處理。壹旦發生影響國家利益的網絡安全和信息安全事件,我們必須能夠立即采取有效措施,控制危機的發展,將損失減少到最低限度。
為此,首先要建立和完善信息安全監控體系,及時發現和處理突發事件,提高防範網絡攻擊、病毒入侵和網絡竊取的能力,防止有害信息傳播,加強對政府網絡和信息系統的監控、管理和保護。其次,要重視信息安全應急處置,建立健全應急管理協調機制、指揮調度機制和信息安全通報制度。要制定完善信息安全處置預案,加強信息安全應急保障服務隊伍建設,提高信息安全應急能力。
希望能幫到妳,謝謝!