江苏建信息安全保障体系

吴天寿

江苏省信息安全保障体系的建设，离不开“三个重在”的落实。齐心、落实、建设，江苏省用行动践行了这句话。

信息安全是国家安全的重要组成部分。随着国民经济和社会信息化进程的加快，信息安全保障体系建设日益重要。中央决定成立国家安全委员会，完善国家安全体制和国家安全战略，必将进一步提高我国基础信息网络和重要信息系统安全防护能力，对于建成我国完备的信息安全保障体系具有重要的现实意义和巨大的长期效益。以组织机构、法规建设和应急处置为主要内容的江苏省信息安全保障体系建设，在工业和信息化部的正确指导和省政府的直接领导下，取得了一些成绩。其主要做法是着力做好“三个重在”。

组织机构的齐心协力

信息安全保障工作内容多、范围广、领域宽，是一项系统工程，涉及部门较多，需要跨部门的协调与合作。国务院办公厅要求的重点领域信息安全检查和我省日常应急处置工作充分说明，要把工作真正落到实处并抓出成效，都需要各地、各部门的通力配合。如果各地、各部门各行其是，各自为政，就会分散我们有限的信息安全保障资源，造成资源配置不合理。我省充分利用网络与信息安全协调小组这样一个协调议事的平台，充分交流，精诚合作，统筹规划，切实保障信息安全。首先，逐步建立和完善信息安全组织体系。省网络与信息安全协调小组及其办公室已成立多年，也经历了几次调整充实，目前共有党政14个部门。各有关部门都能按职责分工抓好各项工作的落实，并取得了一定的成绩。目前各省辖市都成立了相应的机构，并实现了与省协调机构的对接。从去年重点领域信息安全检查的情况来看，80%以上的省辖市所属县区也都建立了信息安全协调机构。我省各地、各部门在工作中不但按照各自的职责认真完成各自的任务，而且相互配合，心往一处想，劲往一处使，尽快建立了省、市、县区上下一致的信息安全组织机构，共同做好信息安全保障体系建设。其次，切实落实信息安全管理工作责任制。全省各级信息安全协调小组办公室、各成员单位和各部门的主管领导同志作为信息安全保障工作的第一责任人，适时明确了内设机构业务部门负责人作为信息安全保障工作的直接责任人，并强化对每个与信息系统使用、运维有关工作岗位的信息安全管理人员和操作人员的管理，对关键岗位实行了信息安全管理的A、B角色。省市两级信息安全主管部门积极联合人社部门进一步加强了信息安全员的专业培训，在全省县区以上党政机关推行了信息安全员持证上岗制度。再次，努力形成齐抓共管的局面。信息安全管理是一项涉及面很广的社会系统工程，跨部门特性非常突出。做好这项工作，需要全省各级信安办的各成员单位齐抓共管、密切协作，也需要全社会各个方面的共同努力。各成员单位共同完善现有的信息安全管理机制，重在齐心协力，加大联合检查监督力度，不断提高了信息安全管理工作的整体水平。

法规建设的工作落实

信息安全法规建设，对确保基础信息网络和重要信息系统安全运行将起到重要作用。俗话说，没有规矩不成方圆。信息安全建设跨部门、跨领域、跨行业，其保障工作更是如此。《江苏省信息化条例》已于2012年1月1日起施行，《省政府关于大力推进信息化发展和切实保障信息安全的实施意见》也于去年6月15日由江苏省人民政府颁布，省网络与信息安全协调小组先后制定下发了信息安全会议、通报和考核制度，各地、各部门也都建立了若干保障信息系统安全的管理规章制度。一是建立健全各项规章制度和日常工作规范。各地、各部门和各单位根据信息安全形势的发展和面临的新情况、新问题，紧密联系本单位信息安全工作的实际，抓紧修订、完善和新建信息安全工作的各项规章制度，切实增强了制度的科学性、可操作性，使信息安全工作有据可依、有章可循。二是重视信息安全法规、标准和规章制度的贯彻落实。有了法规、标准和制度，不能把它束之高阁。不按法规、标准和制度办事，是造成工作失误和安全隐患的重要原因。很多不安全因素和工作漏洞都是由于没有按程序办事所造成的。为此，我省组织信息安全工作人员反复学习有关法规、标准和制度，使他们熟悉和掌握其基本内容，明白保障信息安全的程序和方法，自觉用法规、标准和制度约束自己，规范工作流程。三是建立完善对制度执行情况的监督检查和激励机制。工作程序、规章制度建立后，必须做到行必循之，把规章制度的每一条、每一款落到实处。执行制度主要靠自觉，但必须有严格的监督检查措施和相应的技术检测手段。《江苏省信息化条例》要求，信息化工程必须同步规划、建设、运行信息安全保障系统，系统投入使用前应当进行信息安全等级保护和风险评估，应当建立信息安全事件应急预案并向主管部门报备。各级信息安全主管部门依此对本地区、本部门信息化工程建设加大敦促检查力度，确保这些法规得到贯彻执行。《省政府关于大力推进信息化发展和切实保障信息安全的实施意见》提出了加强网络和信息安全保障8项要求和若干保障措施；省网络与信息安全协调小组颁发了信息安全会议制度、通报制度和考核制度。我省通过监督检查考核方式建立起信息安全工作的激励机制，表彰先进，鞭策后进，确保了各项信息安全工作制度落到实处。各成员单位也不定期地对本部门和本系统的法规落实情况进行自查自纠，发现问题及早解决，重在抓好工作落实。

应急处置的机制建设

当前我国信息化发展存在着一些亟待解决的问题，主要表现之一是：计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害信息和网络违法犯罪等信息安全问题日渐突出。如应对不当，将会给我省基础信息网络和重要信息系统安全运行，乃至经济发展和社会稳定带来不同程度的影响。信息安全问题在信息化应用中广泛存在且突发性强，必须强调和重视信息安全事件的应急处置。除此之外，要保证我省基础信息网络和重要信息系统的安全运行，还必须着手建立一套长效的安全保障机制。应急处置是关键，长效机制是基础，要重在机制建设，重在建立一个长效的协同工作机制。长效机制建立好了，有利于做好预防预警工作，降低信息安全事件的发生率，减少应急处置前的协调时间，降低受事件破坏的广度和深度。为此，一是重视信息安全事件的应急处置工作。我省各级信息安全主管部门认真执行信息安全通报制度，各地建立健全信息安全应急管理协调机制、指挥调度机制，完善信息安全事件应急处置预案，建设信息安全应急支撑队伍，定期开展信息安全事件应急演练，提高了信息安全应急响应能力。二是建立和完善信息安全监管体系。各地积极努力建设政务网站及重要信息系统监测预警平台，并与省平台联动，有效构建起全省重要信息系统的信息安全监管体系，及时发现、预警信息安全问题，提高对网络攻击、病毒入侵、网络失窃密的防范能力，防治有害信息传播，增强对我省政务网站及重要信息系统的长效监控、预警、管理和保护。三是逐步构建全省信息安全指挥体系。我省即将建设省级信息安全事件应急指挥平台，该平台为宣传、公安、通管等相关部门和省辖市以及社会信息安全相关机构留有标准数据接口。各地、各部门重在机制建设，以构建全省统一的信息安全指挥体系为目标，提供本地区、本部门信息安全相关监测系统接口情况，使该平台实现互联互通和资源共享，做到及时响应并协同处置我省信息安全事件，进一步完善我省信息安全保障体系。

（作者为江苏省经济和信息化委员会信息安全处副处长）endprint