《資訊安全保障》一2.2 我國資訊安全保障工作主要内容

本節書摘來自華章出版社《資訊安全保障》一書中的第2章，第2.2節，作者 吳世忠 江常青 孫成昊 李華 李靜，更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視

為建構資訊安全保障體系，我國已經在資訊安全标準化、應急處理與資訊通報、等級保護、風險評估和人才隊伍建設等方面展開工作，并取得了一些成果。

資訊安全标準為資訊安全保障各項工作提供規範，為保障工作的各參與方提供交流和評判的基準，是以，資訊安全标準化是國家建構資訊安全保障體系的重要基礎環節。

1.?意義

資訊安全标準化工作是我國資訊安全保障工作的重要組成部分之一，也是政府進行宏觀管理的重要依據，同時也是保護國家利益、促進産業發展的重要手段之一。雖然國際上有很多标準化組織研究制定了多個資訊安全标準，但是由于資訊安全标準事關國家安全利益，是以不能過分依賴于國際标準，而是要在充分借鑒國際标準的前提下，通過本國組織和專家制定出符合本國國情并可以信任的資訊安全技術和管理等領域的标準，切實有效地保護國家利益和安全。

資訊安全标準是解決資訊安全産品和系統在設計、研發、生産、建設、使用和測評中的一緻性、可靠性、可控性、先進性和符合性的技術規範與依據。資訊安全保障體系的建設是一個極其龐大的複雜系統，沒有配套的安全标準，就不能構造出一個可用、實用的資訊安全保障體系。資訊安全标準化建設作為我國資訊安全保障體系的重要組成部分，具有極其重要的意義。

資訊安全标準化工作是解決資訊安全問題的重要技術支撐，其作用突出地展現在能夠確定有關産品、設施的技術先進性、可靠性和一緻性。在按國際規則實行it産品市場準入時能夠為相關産品的安全性合格評定提供依據，以強化和保證我國資訊化的安全産品、工程、服務的技術自主可控。

2.?實踐曆程

目前，國務院授權在國家品質監督檢驗檢疫總局管理下，由國家标準化管理委員會統一管理全國标準化工作，下設有529個專業技術委員會。中國标準化工作實行統一管理與分工負責相結合的管理體制，由88個國務院有關行政主管部門和國務院授權的有關行業協會分工管理本部門、本行業的标準化工作，由31個省、自治區、直轄市政府有關行政主管部門分工管理本行政區域内本部門、本行業的标準化工作。

1984年7月，在我國的全國計算機與資訊處理标準化技術委員會下，建立了相應的資料加密分技術委員會，在國家技術監督局和原電子工業部的上司下，歸口管理國内外的資訊技術資料加密的标準化工作。1997年8月，随着資訊技術的發展和工作範圍的擴大，在原資料加密分委員會的基礎上，改組成立了資訊技術安全分技術委員會（與國際iso/iec jtc1/sc27資訊技術的安全技術分委會對應）。它是一個具有廣泛代表性、權威性和軍民結合的資訊安全标準化組織，其工作範圍是負責資訊和通信安全的通用架構、方法、技術和機制的标準化，歸口國内外對應的标準化工作。2002年4月，經國家标準化管理委員會準許，全國資訊安全标準化技術委員會（簡稱“信安标委”，委員會編号為tc260）正式成立。

信安标委成立後，逐漸形成“基礎性研究——标準預研——标準制定”3個階段波浪式的标準研制新模式，以工作組為主體開展資訊安全标準的研究制定工作。工作組由國内資訊安全技術領域的有關部門、研究機構、企事業機關及高等院校等代表組成，是标準研制的技術力量。目前正式成立了資訊安全标準體系與協調工作組（wg1）、涉密資訊系統安全保密工作組（wg2）、密碼工作組（wg3）、鑒别與授權工作組（wg4）、資訊安全評估工作組（wg5）、通信安全工作組（wg6）和資訊安全管理工作組（wg7）7個工作組。

信安标委制定形成了我國資訊安全标準體系架構，并以該标準體系架構作為指導我國資訊安全标準制訂工作的指導性技術檔案，圍繞資訊安全保障體系建設，積極開展了配套标準的研究制定工作。

除全國資訊安全标準化委員會、公安部資訊系統安全标準化技術委員會、中國通信标準化協會網絡與資訊安全技術工作委員會3個專業性資訊安全标準化組織外，我國其他有關主管部門和地方政府也釋出了部分資訊安全行業标準或地方标準。

發生資訊安全事件可能造成嚴重損失和惡劣社會影響，我國非常重視資訊安全事件管理。應急處理與資訊通報是資訊安全事件管理的重要内容。加強資訊安全應急處理與資訊通報是資訊安全保障實踐活動的重要内容，能夠提高安全事件的整體應對能力。

國家資訊基礎設施安全應急保障工作是國家資訊安全保障體系建設的重要組成部分。建立健全應急處理與資訊通報機制依賴于建設和完善資訊安全監控體系，提高網絡安全事件應對和防範能力，防止有害資訊傳播。是以，高度重視資訊安全應急處置工作，健全資訊安全應急指揮和安全通報制度，不斷完善資訊安全應急處置預案，具有十分重要的意義。

1）資訊安全應急處理與資訊通報工作是國家資訊安全保障工作的基本制度和重要措施。

建立國家網絡與資訊安全通報機制，有利于各部門、各領域實作資訊交流與共享，綜合分析安全威脅和安全狀況，做好資訊安全預警和防範工作，提升對資訊安全事件的快速反應和整體應對能力，保證應對措施的及時性和有效性；有利于國家調動和整合各領域的有利資源，迅速、全面掌握整體情況，及時做出決策部署；有利于全社會增強安全防範意識，共同參與資訊安全保障工作。是以，建立國家網絡與資訊安全通報制度，是國家資訊安全保障工作的基本制度和重要舉措。

2）資訊安全應急處理與資訊通報工作有利于提高基礎資訊網絡與重要資訊系統的資訊安全防範、保障能力。

建立國家網絡與資訊安全資訊通報制度，能夠及時、全面地收集、彙總各方面的網絡與資訊安全資訊，經過綜合研判分析，提出對策、建議并及時通報基礎資訊網絡和重要資訊系統，為事件發生機關提供對策和技術支援，為其他機關提供預警資訊，進而協助基礎資訊網絡和重要資訊系統全面掌握國内、外網絡與資訊安全政策和技術動态，有針對性地制定和實施安全防範措施，增強網絡與資訊安全防範、保障能力，確定涉及國計民生的基礎資訊網絡和重要資訊系統的安全。

3）資訊安全應急處理與資訊通報工作有助于加強國家網絡與資訊安全應急處置工作。

建立國家網絡與資訊安全通報制度，能夠在發生重大網絡與資訊安全事件時，在國家網絡與資訊安全協調小組和成員機關之間以及各成員機關之間，建立暢通的資訊交流管道，全面收集事件的相關情況，及時上報協調小組，同時将協調小組的預警指令和決策部署下達到成員機關，做好預警和防範工作，建立健全國家資訊安全應急處置協調機制和指揮排程機制，提高對網絡與資訊安全事件的快速反應和整體應對能力，保證應急處置措施的及時性和有效性，確定國家基礎資訊網絡和重要資訊系統的安全。

資訊安全應急保障體系包括組織機構、标準法規、支撐系統和運作能力4個方面。組織機構是負責國家資訊基礎設施安全應急處理與通報工作的主體；标準法規是實施國家資訊基礎設施安全應急處理與通報工作的行為準則和技術标準；支撐系統是支援國家資訊基礎設施安全應急處理與通報工作實施的技術手段；運作能力是組織機構按照标準法規、利用支撐系統處置國家資訊基礎設施安全應急事件的能力。

（1）資訊安全應急處理機制的建立

2000年，我國成立了國家計算機網絡應急技術處理協調中心（national computer network emergency response technical team coordination center of china，cncert/cc）、國家計算機病毒應急進行中心和國家計算機網絡入侵防範中心，建立了最早的技術合作雛形。後來根據在2001年應對一系列大規模網絡安全事件中得到的經驗教訓，這個合作體系又擴大到各骨幹網際網路營運機關。擴充後的合作體系使我國對大規模網絡安全事件的應急響應效率和能力有了極大的提高。自2003年起，各部門都開始制定與網際網路相關的應急預案，開始重視應急協調預案和不同部門間的協調。根據新的網絡安全威脅特點，這個體系在2004年又進行了進一步的擴充和調整，形成了我國公共網際網路絡應急處理體系，以便發揮政府、産業界、專業組織、研究機構和安全企業等方面的作用，在中央和地方組成的核心架構下，形成有機整體，使網絡安全事件的預防、應對能力均得到更全面、更有效的加強。

我國的應急響應機構包括cncert/cc、中國教育和科研計算機網緊急響應組（china education and research network computer emergency response team，ccert）及其他專業性的組織。cncert/cc由工業和資訊化部（以下簡稱“工信部”）網際網路應急處理協調辦公室直接上司，負責協調我國各計算機網絡安全事件應急組（computer emergency response team，cert），共同處理國家公共網際網路上的安全緊急事件，為國家公共網際網路、國家主要網絡資訊應用系統以及關鍵部門提供計算機網絡安全的監測、預警、應急和防範等安全服務和技術支援，及時收集、核實、彙總和釋出有關網際網路安全的權威性資訊，組織國内計算機網絡安全應急組織進行國際合作和交流。ccert是中國教育和科研計算機網cernet專家委員會上司之下的一個公益性的服務和研究組織，從事網絡安全技術的研究和非營利性質的網絡安全服務。目前，ccert的應急響應體系已經包括cernet内部各級網絡中心的安全事件響應組織或安全管理相關部門，是一個由30多個機關組成、覆寫全國的應急響應組織。其他專業性的應急組織還包括國家計算機病毒應急進行中心、國家計算機網絡入侵防範中心、國家863計劃反計算機入侵和防病毒研究中心。

（2）資訊安全通報機制的建立

網絡資訊的安全保障和應急處置涉及多個部門、多個層次，需要建立和規範對影響網絡與資訊安全的事件的發現、分析、通報、預警以及處置的工作機制，以便統一釋出危害警報，統一協調行動。協同加強安全防範，確定一旦發生大規模病毒感染、網絡攻擊及其他網絡資訊安全事件時，能夠及時有效處置，減少危害損失和影響範圍。

根據“誰主管、誰負責；誰經營，誰負責”的原則，強化各個部門的資訊彙總和研判工作，在國家網絡與資訊安全協調小組的上司下，形成跨部門的網絡與資訊安全有關資訊的共享機制。堅持政府主導，充分發揮社會中介的作用。采用分類、分級的處理方式，規範網絡與資訊安全的預警和通報工作，及時有效地化解安全風險。

“分類、分級”的預警與通報機制由公安部負責協調小組成員機關和各重要資訊系統主管部門的網絡與資訊安全資訊彙總和回報工作。發生網絡資訊安全事件後，協調小組成員機關和各重要資訊系統主管部門除按正常管道上報外，必須及時通知公安機關，公安部在綜合分析後，及時将研判結果通報各有關機關。公安部公共資訊網絡安全監察部門，面向全國接受網絡與資訊安全方面的報警，組織對計算機安全犯罪行為的調查和打擊，研究并提出相應的應對措施，分析研判資訊安全問題的性質、危害程度和可能的影響範圍，必要時向政府機關、科研機關和網絡營運管理部門釋出安全預警資訊。發生網絡安全事件後，各部門、各機關、各網絡營運機關和社會公衆有義務及時向各級公安機關報告。

工信部負責基礎電信網絡和網際網路的網絡與資訊安全事件通報，通過cert的協作機制，接受網絡與資訊安全事件報告，分析研判資訊安全事件的性質和危害程度，研究提出相應的對應措施，組織技術應急，面向基礎電信網絡和網際網路釋出預警資訊。

國家網絡與資訊安全協調小組辦公室将定期對國家網絡與資訊安全的總體形勢進行綜合研究和會商，研究提出相應的管理和技術政策建議，并向國務院報告。出現可能影響社會穩定和國民經濟正常運作的網絡與資訊安全威脅時，随時組織會商，及時報告。

實施資訊安全等級保護能夠針對不同系統有效實作恰當保護，提供所需級别的保護能力，是我國在相應法規、政策和标準的基礎上推行的一項重要資訊安全保障工作。

近年來，黨中央、國務院高度重視，各有關部門協調配合、共同努力，我國資訊安全保障工作取得了很大進展。但是從總體上看，我國的資訊安全保障工作尚處于起步階段，基礎薄弱，水準不高，存在以下突出問題：資訊安全意識和安全防範能力薄弱，資訊安全滞後于資訊化發展；資訊系統安全建設和管理的目标不明确；資訊安全保障工作的重點不突出；資訊安全監督管理缺乏依據和标準，監管措施不到位，監管體系尚待完善。随着資訊技術的高速發展和網絡應用的迅速普及，我國國民經濟發展和社會資訊化程序全面加快，資訊系統的基礎性、全局性作用日益增強，資訊資源已經成為國家經濟建設和社會發展的重要戰略資源之一。保障資訊安全，維護國家安全、公共利益和社會穩定是目前資訊化發展中迫切需要解決的重大問題。

實施資訊安全等級保護，能夠有效地提高我國資訊和資訊系統安全建設的整體水準，有利于在資訊化建設過程中同步建設資訊安全設施，保障資訊安全與資訊化建設相協調；有利于為資訊系統安全建設和管理提供系統的指導和服務，有效控制資訊安全建設成本；有利于優化資訊安全資源的配置，對資訊系統實施分等級保護，重點保障基礎資訊網絡和關系國家安全、經濟命脈和社會穩定等方面的重要資訊系統的安全；有利于明确國家、法人和其他組織、公民的資訊安全責任，加強資訊安全管理；有利于推動資訊安全産業的發展，逐漸探索出一條适合社會主義市場經濟發展的資訊安全模式。

實行資訊安全等級保護，本質上就是要明确重點、確定重點。首先是要明确重點，在國家層面，這個重點就是那些關系國家安全、經濟命脈、社會穩定的基礎網絡和重要資訊系統。對于部門、地方和企業而言，也應根據實際确定自己的保護重點。其次，在系統定級的基礎上，還要綜合平衡資訊安全風險和建設成本，進一步确定重點部位，将有限的資源用到最急需、最核心的地方，根據安全等級進行建設和管理，確定核心系統安全。最後，實行等級保護要堅持從實際出發。我國的資訊化發展不平衡，東中西部差異較大，不同部門、不同地區資訊化所處的發展階段不同，面臨的資訊安全風險和資訊安全需求也不一樣。是以，在資訊安全保障中必須從實際安全需求出發，不能片面追求“絕對安全”，搞不計成本的安全，也不能搞一刀切、上下一般粗、全國一個模式。必須區分輕重緩急，根據不同等級、不同類别、不同階段，突出重點，将有限的資源用到最急需保障的地方。這也是實事求是思想路線在資訊安全保障工作中的具體展現。

資訊安全等級保護是國家資訊安全保障的基本制度和方法，開展資訊安全等級保護工作是促進資訊化發展，保障國家資訊安全的重要舉措，也是我國多年來資訊安全工作的經驗總結。開展資訊安全等級保護，就是要解決我國資訊安全面臨的威脅和存在的主要問題，有效展現“适度安全、保護重點”的目的，将有限的财力、物力和人力投入重要資訊系統安全保護中，按标準建設安全保護措施，建立安全保護制度，落實安全責任，加強監督檢查，有效提高我國資訊和資訊系統安全建設的整體水準。

1994年2月18日，《中華人民共和國計算機資訊系統安全保護條例》（國務院令第147号）釋出，以國務院行政法規的形式正式确定對我國境内的計算機資訊系統實行安全等級保護制度，明确公安部作為主管機關，對具體工作從法律上做了明确規定，由公安機關負責國家資訊安全等級保護工作的監督、檢查和指導，公安部會同有關部門制定安全等級劃分标準和保護的具體辦法，公安部根據本條例制定實施辦法。

（1）研究制定等級保護的準則、規範和标準

1999年，gb 17859—1999《計算機資訊系統安全保護等級劃分準則》（以下簡稱《劃分準則》）釋出。這是一部強制性國家标準，它既是一部技術法規，也是等級保護的重要基礎标準，它從功能上把資訊系統的安全等級劃分為5個級别的安全保護能力。随後，國家先後頒布了多部資訊安全等級保護相關标準，逐漸形成等級保護标準體系。

（2）強化等級保護

為了進一步貫徹落實27号檔案精神，推動等級保護工作，2004年9月15日，公安部會同國家保密局和國信辦共同研究制定《關于資訊安全等級保護工作的實施意見》（公通字[2004]66号，以下簡稱《實施意見》），把等級保護确認為國家資訊安全的基本制度和根本方法，明确了資訊安全等級保護的建設原則、工作要求、實施計劃，對資訊等級保護工作做了更加具體的明确，把等級保護提到一個新的高度。2005年《實施意見》下發，等級保護工作全面啟動。

2005年9月15日，國信辦正式釋出《電子政務資訊安全等級保護實施指南（試行）》（國信辦[2005]25号）（以下簡稱《實施指南（試行）》），着重闡述了電子政務資訊安全等級保護的基本概念、工作方法和實施過程，供各級黨政機關在建立和已建電子政務系統中開展資訊安全等級保護工作參考。

（3）開展等級保護基礎調研

2005年底，公安部和國信辦聯合印發了《關于開展資訊系統安全等級保護基礎調查工作的通知》（公信安[2005]1431号），就此拉開2006年資訊安全等級保護工作的序幕。2006年1月17日，根據《實施意見》，公安部、國家保密局、國家密碼管理局和國務院資訊化工作辦公室（以下簡稱“國信辦”）聯合釋出《關于印發〈資訊安全等級保護管理辦法（試行）〉的通知》（公通字[2006]7号），于2006年3月1日起實施。

2006年5月20日，資訊安全等級保護基礎調查工作初步完成，共調研了涉及各級财政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業、公用通信和廣播電視傳媒等4897個資訊系統。

（4）開展等級保護試點工作

2006年5月19日，由公安部副部長任組長，公安部、國家保密局、國家密碼管理局和國信辦有關上司為成員的國家等級保護工作協調小組召開了第一次會議。資訊産業部、廣電總局、鐵道部、人民銀行、海關總署、國稅總局、民航總局、國家電網公司、證監會和保監會等國家基礎資訊網絡和重要資訊系統主管部門的有關上司參加了本次會議。2006年6月6日，公安部、國家保密局、國家密碼管理局和國信辦聯合正式下發了《關于開展資訊安全等級保護試點工作的通知》（公信安[2006]573号），确定從2006年7～10月組織開展資訊安全等級保護試點工作。

（5）開展等級保護定級工作，等級保護獲得快速推進

2007年6月22日，公安部、保密局、密碼管理局和國信辦四部委聯合正式下發《關于印發〈資訊安全等級保護管理辦法〉的通知》（公通字[2007]43号），标志着資訊安全等級保護工作的正式實行。該管理辦法正式确定了資訊安全等級保護制度的基本内容及各項工作要求，進一步明确了國家、公民、法人和其他組織在等級保護工作中的責任和義務，各職能部門在資訊安全等級保護工作中的職責分工，以及資訊系統營運使用機關、行業主管部門的安全保障法律責任。

公安部、國家保密局、國家密碼管理局和國信辦于2007年7月26日聯合下發《關于開展全國重要資訊系統安全等級保護定級工作的通知》（公信安[2007]861号），部署各省、自治區、直轄市公安、保密、密碼管理、資訊化上司小組辦公室以及中央和國家機關各部委相關部門組織開展重要資訊系統安全等級保護定級工作。

重視資訊安全風險評估是資訊化發達國家的重要經驗，作為風險評估先驅者的資訊化發達國家越來越重視資訊系統風險評估工作。早在20世紀70年代初期，美國政府就提出了風險評估的要求，要求聯邦政府部門依據資訊和資訊系統所面臨的風險，根據資訊丢失、濫用、洩露和未授權通路等造成損失的大小，制訂、實施和維持資訊安全計劃，以保證資訊和資訊系統的适度安全。2002年頒布的《2002聯邦資訊安全管理法》對資訊安全風險評估提出了更加具體的要求，指定聯邦管理和預算辦公室（office of management and budget，omb）督促這項工作，要求各聯邦機構周期性地評估各自資訊和資訊系統的未授權通路、資訊洩露、服務中斷和系統破壞所造成的風險和危害，周期性地測試資訊安全措施和技術的有效性。

2006年6月，美國國土安全部正式釋出了《國家基礎設施保護計劃》（national infrastructure protection plan，nipp）。nipp是美國國土安全架構的一個關鍵要素，它是建立于一系列國家戰略之上，包括2002年7月釋出的《國土安全戰略》，2003年2月釋出的《關鍵基礎設施和重要資産實體保護的國家戰略》，2003年2月釋出的《保護網際空間國家戰略》，以及2003年12月釋出的第7号國土安全總統令。從nipp和這一系列美國國家戰略中可以看出，以風險管理架構為基礎開展風險評估工作，已經成為美國等西方發達國家保障關鍵基礎設施和重要資源，進而保護國土安全的一個核心要素和重要手段。

資訊安全風險評估是資訊安全保障體系建立過程中一種重要的評價方法和決策機制，在資訊安全保障體系建設中具有不可替代的地位和重要作用。資訊安全風險評估是資訊安全保障的基礎性工作，它既是明确安全需求、确定安全保障重點的科學方法和手段，又是資訊安全建設和管理的重要保證。沒有準确及時的風險評估，各個機構無法對其資訊安全的狀況做出準确的判斷。

風險評估工作的目的是為國家資訊化發展服務，促進資訊安全保障體系的建設，提高資訊系統的安全保護能力。目前，國家關鍵基礎設施對資訊系統的依賴性越來越強，是以，許多重要資訊網絡和重要資訊系統機關開展資訊安全風險評估的需求越來越迫切，一些大型應用行業在考慮資訊系統建設的布局時，已經在資訊安全評估、咨詢和規劃方面投入了實質性的資金支援。現階段，風險評估工作的主要任務是要認清資訊安全環境和狀況，采取和完善安全保障措施，使其更加經濟有效，并使資訊安全政策保持一緻性和持續性。

風險評估工作的意義和作用，具體展現在以下幾個方面。

（1）資訊安全風險評估是資訊安全建設的起點和基礎

資訊安全風險評估是科學分析資訊和資訊系統在保密性、完整性和可用性等方面所面臨的風險，揭示一個組織機構的風險狀況，并提出改進風險狀況的建議的工作。隻有在正确、全面認識風險後，才能在控制風險、減少風險、轉移風險和接受風險之間做出正确的判斷，才能決定調動多少資源，采取何種應對措施去化解、降低風險。所有資訊安全建設和管理都應該是基于資訊安全風險評估的結果，隻有這樣，資訊安全建設才能做到從實際出發，堅持需求主導、突出重點，以最小的代價去最大程度地保障安全。

風險評估既是實施資訊系統安全等級保護的前提，又是資訊系統安全建設和安全管理的基礎工作。通過風險評估，能及早發現和解決問題，防患于未然。目前，尤其迫切需要對我國基礎資訊網絡和關系國家安全、經濟命脈、社會穩定等方面的重要資訊系統進行持續的風險評估，随時掌握其安全狀态，及時采取有針對性的應對措施，為建立全方位的國家資訊安全保障體系提供服務。通過風險評估可以有助于認清資訊安全環境和資訊安全狀況，明确資訊化建設中各級的責任，采取或完善更加經濟有效的安全保障措施，保證資訊安全政策的一緻性和持續性，進而服務于國家資訊化的發展，促進資訊安全保障體系的建設，全面提高資訊安全保障能力。

（2）資訊安全風險評估是資訊安全建設和管理的科學方法

資訊系統的安全性取決于系統的資産、脆弱性和威脅等多種安全要素，這些要素之間的關系以及與系統環境的關系。資産包括裝置、軟體、資料以及人員等，脆弱性包括系統自身在結構上、管理上和技術上的弱點和不足，威脅有自然威脅與人為威脅、内部威脅與外部威脅等，包括病毒傳播、黑客攻擊、網絡竊密等。風險評估提供了這樣一種科學的方法，它将系統的風險理論應用于某一組織的具體生産營運環境，使組織的管理層和決策層能了解組織資訊安全的客觀狀況，基于對現狀的了解，才能做出後續資訊安全相關建設的正确決策。

（3）風險評估實際上是在倡導一種适度安全

從理論上講，不存在絕對的安全，風險總是客觀存在的。風險評估并不追求零風險，不計成本的絕對安全，或者試圖完全消滅風險。資訊安全風險評估要求在認清風險的基礎上，決定哪些風險是必須要避免的，哪些風險是可以容忍的。也就是說，資訊安全風險評估要求組織的管理者在風險與成本之間尋求一個最佳平衡點，這展現了适度安全的原則。

在我國，實施資訊安全風險評估已有十餘年。國家政策性檔案《國家資訊化上司小組關于加強資訊安全保障工作的意見》（中辦發［2003］27号）對資訊安全風險評估工作的重視，促使我國的資訊安全風險評估工作開始進入快車道。為貫徹國家政策對風險評估工作的要求，2003年，國信辦成立課題組，啟動了資訊安全風險評估工作。課題組通過調研、标準編寫和試點3個階段的工作，先後對北京、廣州、深圳和上海4個地區十幾個行業的50多家機關進行了深入細緻的調查與研究。在調查研究的基礎上，課題組撰寫了《資訊安全風險評估調查報告》和《資訊安全風險評估研究報告》，全面介紹資訊安全風險評估的基本概念、基本理論和基本方法，闡述了資訊安全風險評估的意義以及在我國推動資訊安全風險評估工作的具體建議。

2004年1月9日，全國資訊安全保障工作會議在北京召開，該會對風險評估工作提出了明确要求，要“抓緊研究制定基礎資訊網絡和重要資訊系統風險評估的管理規範，并組織力量提供技術支援。根據風險評估結果，進行相應等級的安全建設和管理，特别是對涉及國家機密的資訊系統，要按照黨和國家有關保密規定進行保護。對涉及國計民生的重要資訊系統，要進行必要的資訊安全檢查。”2004年3～9月，國家資訊中心組織國内二十多家機關，編制完成了《資訊安全風險評估指南》、《資訊安全風險管理指南》等标準規範草案。

2005年2～8月，國務院資訊辦在北京市、上海市、黑龍江省、雲南省、人民銀行、稅務總局、國家電網公司、國家資訊中心等地方、部門和機關組織開展了國家基礎資訊網絡和重要資訊系統資訊安全風險評估試點工作，進一步完善兩個标準草案并驗證兩個标準草案的可用性，為全面推廣資訊安全風險評估工作，出台資訊安全風險評估相關政策檔案進行了實踐探索。開展風險評估試點工作顯著提高了試點機關資訊安全防護和管理水準，探索了風險評估工作的基本規律和方法，檢驗并完善了有關标準，培養和鍛煉了人才隊伍。

2005年12月16日，國家網絡與資訊安全協調小組正式通過了《關于開展資訊安全風險評估的意見》，于2006年1月正式釋出，标志着我國将開始在全國範圍内，尤其是基礎資訊網絡和重要資訊系統，推進資訊安全風險評估工作，使資訊安全風險評估工作在實踐中更加深入。該意見明确關系國計民生和社會穩定的基礎資訊網絡和重要資訊系統的資訊安全風險評估技術服務由國家專控隊伍承擔。中國資訊安全測評中心和國家資訊技術安全研究中心是國家資訊安全風險評估專控隊伍。自2006年起，每年國信辦都組織風險評估專控隊伍對全國基礎資訊網絡和重要資訊系統進行檢查。2006年3月7日，國信辦分别在北京、雲南組織召開了全面推進資訊安全風險評估工作的宣貫會，由此拉開我國分步全面推廣資訊安全風險評估工作的序幕。

2007年釋出的gb/t 20984—2007《資訊安全風險評估規範》和2009年釋出的gb/z 24364—2009《資訊安全風險管理指南》，使我國的風險評估和風險管理工作更趨規範。

災難恢複能力是資訊安全保障能力的重要組成部分。災難性事件的破壞力是巨大的，然而最近幾年，災難性事件頻發，由此導緻很多關鍵業務系統中斷，造成嚴重後果。確定災難過後關鍵業務能在較短時間内恢複是資訊安全保障工作的目标之一。災難恢複規劃是實作業務連續性的重要步驟，是資訊安全保障實踐的重要内容。

災難恢複是指将資訊系統從災難造成的故障或癱瘓狀态恢複到可正常運作狀态，并将其支援的業務功能從不正常狀态恢複到可接受狀态而設計的活動和流程。

目前，資訊系統災難恢複工作已經引起了國家、社會和機關的高度重視。災難恢複是機關保持業務連續運作的需要，長期可持續發展的要求。它是機關加強風險管理，提高市場競争力的重要手段，同時也是保證國家安全、人民利益、社會穩定和經濟發展的需要。國内、外一系列已經發生的資訊安全事件表明，如果沒有應對災難的準備和一定的恢複能力，重要資訊系統一旦發生重大事故或者遭遇突發事件，将嚴重影響國民經濟發展和社會穩定。災難恢複是為高風險、低機率事件所準備的。在一般情況下，災難恢複資源處于閑置狀态，但當災難來臨時，若災難備份中心不能正常發揮作用，将對機關和社會造成巨大的損失和影響。而資訊系統災難恢複管理是資訊安全保障的重要組成部分，災難恢複建設是現有資訊系統安全保護的延伸，承載災難恢複系統建設的災備中心是保障資訊安全的重要基礎設施。災難恢複是整個資訊安全應急工作的一個重要環節，是資訊安全綜合保障的最後一道防線。我國政府高度重視重要資訊系統的災難備份和災難恢複工作，出台了有關政策和指南。

20世紀90年代末期，一些機關在資訊化建設的同時，開始關注資料的安全保護，進行資料的備份和恢複。但當時，無論從災難恢複理論水準、重視程度、從業人員數量和品質，還是技術水準方面都很不成熟。

2000年的“千年蟲”事件和2001年的“9•11”事件引發了國内對資訊系統災難的集體性關注。随着國内資訊化建設的不斷完善，以及資料大集中的開展，國家對災難恢複工作高度重視，越來越多的機關和部門認識到災難恢複的重要性和必要性，開展災難恢複建設的時機已基本成熟。

2002年4月，銀監會頒布了《商業銀行内部控制指引》，其中第八章《計算機資訊系統的内部控制》第一百一十七條指出：建立和健全計算機資訊系統風險防範的制度，確定計算機資訊系統裝置、資料、系統運作和系統環境的安全；第一百三十一條中明确規定：商業銀行應當建立計算機安全應急系統，制訂詳細的應急方案，并定期進行修訂和演練。資料備份應當做到異地存放，在條件允許時，應當建立異地計算機災難備份中心。2002年8月，人民銀行下發的《中國人民銀行關于加強銀行資料集中安全工作的指導意見》中明确規定：“為保障銀行業務的連續性，確定銀行穩健運作，實施資料集中的銀行必須建立相應的災難備份中心”。

2004年9月，國信辦印發了《關于做好重要資訊系統災難備份工作的通知》（信安通[2004]11号），對做好國家重要資訊系統災難備份工作的主要目标、基本原則和近期任務提出了明确要求。檔案強調了“統籌規劃，資源共享，平戰結合”的災備工作原則。為進一步推動8個重點行業加快實施災難恢複工作，國信辦于2005年4月下發了《重要資訊系統災難恢複指南》（以下簡稱《指南》），指明了災難恢複工作的流程，災備中心的等級劃分及災難恢複預案的制定，使得災難恢複建設邁上了一個新的台階。

2006年，在《指南》工作組的基礎上，成立了标準工作組，編寫《資訊系統災難恢複規範》（以下簡稱《規範》），編制任務由全國資訊安全标準化委員會下達，由中國資訊安全測評中心承擔。2007年6月14日《規範》正式釋出，編号為gb/t 20988—2007，這是我國災難恢複行業第一部國家标準。

除了國家政策上的支援，近年來，各行業為了提高資訊系統的可靠性，也逐漸展開了資訊系統的災難恢複建設。随着各機關對災難恢複重視程度的提高，相關管理辦法和規範陸續出台，2004年，中國災難恢複市場開始初具規模。目前，深圳市已經開始建設災備中心，北京、上海、廣州和杭州等地方政府正在研究建設災備中心。有關部委也在啟動災難恢複工作，海關總署已建成災備中心，其他一些機關的災備中心也在建設或規劃中。

2005年5月和2006年7月，在國務院資訊辦的指導下，中國資訊産業商會資訊安全産業分會分别在廣東南海和北京成功舉辦了災難恢複行業高層論壇和研讨會，對中國災難恢複行業有序、健康發展起到了積極推動作用。

2.2.6　人才隊伍建設

建構資訊安全保障體系的各項工作，都需要具有相應資訊安全知識和技能的人員來推動。然而，資訊安全人才短缺卻是目前我國資訊安全保障工作面臨的主要問題之一。針對這一現狀，國家已經先後在多個政策和規劃當中提出加快加強資訊安全人才隊伍建設的要求。

在整個資訊安全保障工作中，人是最核心、最活躍的因素，資訊安全保障工作最終也是通過人來落實的。是以，加快資訊安全人才培養體系建設是發展我國資訊安全保障體系必備的基礎和先決條件。

多年來，國家高度重視我國資訊安全人才隊伍的培養和建設。2003年9月，中共中央辦公廳、國務院辦公廳轉發了《國家資訊化上司小組關于加強資訊安全保障工作的意見》（中辦發[2003] 27号），針對資訊安全人才建設與培養工作提出了“加快資訊安全人才培養，增強全民資訊安全意識”的指導精神。2010年4月6日，中央軍委印發《關于加強新形勢下軍隊資訊安全保障工作的意見》，意見提出要加強資訊安全人才隊伍建設，抓好專業力量訓練群組織運用，要充分發揮廣大官兵在資訊安全防護中的主體作用，采取多種形式開展資訊安全教育，進一步增強資訊安全意識。2012年5月，國務院常務會議釋出了《關于大力推進資訊化發展和切實保障資訊安全的若幹意見》，明确提出加強宣傳教育和人才培養，開展面向全社會的資訊化應用和資訊安全宣傳教育教育訓練。

我國培養資訊安全人才以建成國家資訊安全保障體系為目标，明确資訊安全人才培養的使命，把培養資訊安全進階人才與資訊安全的普及教育相結合，提高公民的資訊安全意識。在加強學科教育的同時，加大資訊安全職業教育訓練的規模，滿足社會資訊化發展的需求。

2005年，教育部釋出《教育部關于進一步加強資訊安全學科、專業建設和人才培養工作的意見》，從加強資訊安全學科體系研究、資訊安全碩士和博士點建設、穩定資訊安全大學專業設定和建立資訊安全繼續教育制度等十個方面提出了指導性意見。2007年我國成立了“教育部高等學校資訊安全類專業教學指導委員會”，進一步促進了高校的資訊安全學科建設。

1999～2012年，我國已有80餘所高校建立了資訊安全大學專業，每年培養資訊安全類專業大學畢業生近萬人，資訊安全學科建設和人才培養進入熱潮階段。從2001年武漢大學建立全國第一個資訊安全大學專業，到北京大學軟體與微電子學院宣布正式成立資訊安全系，各高校在網際網路安全監察、等級保護、風險評估、網絡攻防、内容安全、數字版權保護、安全政策管理、安全系統設計與監理、計算機犯罪驗證、安全标準與管理規範等多個方面形成了資訊安全工程碩士的培養體系，并已經向政府立法、執法、監管和廣大企、事業機關輸送了大批專門人才。我國資訊安全專業教育已基本形成了從專科、大學、碩士、博士到博士後的正規高等教育人才培養體系。

除正規大學教育外，我國資訊安全非學曆教育已基本形成了以各種認證為核心，輔以各種職業技能教育訓練的資訊安全人才教育訓練體系。這種教育訓練認證是提高資訊安全從業人員整體水準，解決資訊安全專業人才缺口的重要方法和途徑。目前，我國資訊安全認證教育訓練主要是政府相關部門的認證，如中國資訊安全測評中心的“注冊資訊安全專業人員”（certified information security professional，cisp）資質認證；以及一些資訊安全企業認證，如微軟、思科等。這些都對提高資訊安全專業人員的理論和技術水準，提升資訊安全産業的競争能力，強化國家資訊安全管理起到了重要作用。

然而，我國現有資訊安全人才培養狀況尚不能滿足國家政府部門、基礎資訊系統和網絡等關系到國計民生的重要部門與行業的需求。一方面，國内每年對資訊安全人才的需求量高達數十萬，今後一段時間，還将持續增長，而人才供給（包括學曆教育和在職教育）每年不到3萬人，在未來一段時間内，資訊安全從業人員的數量同社會實際需求仍然存在較大缺口。另一方面，資訊安全人才綜合能力要求高，知識更新快，而目前我國資訊安全教育應用實踐性不足，難以滿足用人機關的深層次、個性化要求。