北京市信息安全工作的基本要求及情况介绍.ppt

《北京市信息安全工作的基本要求及情况介绍.ppt》由会员分享，可在线阅读，更多相关《北京市信息安全工作的基本要求及情况介绍.ppt（101页珍藏版）》请在三一办公上搜索。

1、北京市信息安全工作情况介绍,2003年9月,第一部分北京市信息安全保障体系及建设的进展情况第二部分实施信息安全服务时应注意的问题,国家领导高度重视信息安全,2003年7月22日，国务院总理温家宝同志主持召开了国家信息化领导小组第三次会议，会议讨论通过了关于加强信息安全保障工作的意见。9月7日，中共中央办公厅、国务院办公厅关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知（中办发200327号）领导批示：请市信息办商有关部门结合我市实际制定实施计划,北京市领导高度重视信息安全,北京作为首都，就推进信息化建设的整体进程而言，特别在电子政务方面，在全国处于领先地位。而就一个城市来说，信息

2、安全的脆弱性与其信息化发展程度是成正比的，如果再考虑北京的特殊地位等因素，北京面临的信息安全风险和威胁必将高于国内其他省市，因此对信息安全保障也有着更高的要求。在这一前提下，北京市一直都非常重视信息安全保障工作，前任市委书记贾庆林同志和现任市委书记刘淇同志等有关市领导都对信息安全工作专门做过批示。,贾庆林同志的批示：在推进首都国民经济和社会信息化的进程中，必须高度重视信息网络安全问题。要加强规范，依法管理，促进信息网络健康有序发展，保障首都的社会政治稳定和经济安全。刘淇同志的批示：要高度重视网络与信息安全管理工作，推动“数字北京”建设快速健康发展。杜德印同志的批示：网络与信息安全是一件大事，必

3、须与信息化建设同步解决。林文漪同志的批示：目前我市信息化建设、尤其电子政务进展很快，网络与信息安全必须在系统建设之初就一起规划、投入与建设。,第一部分北京市信息安全保障体系及建设的进展情况,建立健全工作组织体系,重视安全风险分析评估,促进利用开发基础技术,推广应用信息安全产品,加强政府部门管理职能,加强安全法规标准建设,加强安全服务市场管理,全面提高用户管理水平,加强专门人才教育培养,大力建设安全基础设施,加强我市网络与信息安全保障体系建设的十点建议形成北京市信息安全保障体系雏形,一、北京市信息安全保障体系的形成,工作组织体系,风险评估等级保护,信息安全产业,信息安全技术,人才教育培养,公共基

4、础设施,信息安全宣传,政策法规标准,北京市信息安全保障体系,经过不断的修改完善形成了目前的北京市信息安全保障体系（征求意见稿）,二、北京市信息安全保障体系建设的进展情况,(一)、工作组织体系：理顺了组织领导、建立了专家顾问组和技术支持队伍(二)、公共基础设施：构建了部分基础设施(三)、政策法规和标准：制定出台了部分政策法规和标准(四)、风险评估和等级保护：开始启动(五)、信息安全产业：初步构建了产业基地(六)、安全技术研究：准备阶段(七)、人才教育培养：开展了教育培训(八)、信息安全宣传：举办信息安全展览、印发了宣传册等,(一)工作组织体系,包括三个方面:1、组织领导2、专家咨询3、技术支持,

5、1、理顺了组织领导落实责任制,鉴于信息安全建设和管理中存在着大量需要跨部门协同工作的特点，公安、保密、机要、安全、信息产业等国家有关部门对信息安全在不同的方面均有管理职能，为了使我市的信息安全保障工作形成统一的领导：,2000年11月，经林文漪副市长和刘淇市长批准同意在市信息化领导小组下成立了北京市信息安全工作组（组成，及办公室）,杜德印同志主持召开了市信息安全工作组第一次会议,领导小组文件:关于北京市信息安全工作组职责、组成人员和成员单位职责分工的通知（京信发20011号）,组织领导与责任体系（调整中）,北京市信息化工作领导小组,北京市信息安全工作组,市级党政机关及各区县信息安全领导机构,2

6、、建立了信息安全专家组和专家库,2001年11月，市信息安全工作组第二次会议讨论通过了由市信息安全工作组各成员单位推荐组成的专家组名单，专家组将为本市信息安全的决策提供咨询。,3、建立了技术支持队伍,为了充分发挥首都北京的资源优势，调动整合社会资源，我们联系有关科研、教育机构和专业企业（具备资质条件），以委托、合作的方式或通过市场机制实施信息安全保障体系建设中的相关工作或项目等。,中国电子科技集团第三十研究所中国科学院计算技术研究所中国电子技术标准化研究所中国计算机软件与技术服务总公司北方计算中心解放军总参谋部第五十一研究所市保密技术开发服务中心解放军信息安全测评中心国家信息安全重点实验室等近

7、20家单位,目前已经开展合作的单位有：,(二)公共基础设施,信息安全公共基础设施是我市信息安全保障体系中的重要组成部分，是由政府建立和控制的，为国家和社会在有关信息安全的预警、救援、监控、测评认证、综合决策等方面提供服务的专门技术性机构。,网络预警与网络攻击,病毒检测和防治服务,网络侦控与反窃密,数字证书认证中心,网络信息保密监管,信息安全应急响应中心,公共信息内容安全监控中心,网络犯罪监察与防范,信息安全测评中心,灾难备份恢复共用设施,信息安全主要公共基础设施,1、北京信息安全测评中心,2000年7月，市编办正式批复关于成立北京信息安全测评 中心的函,北京信息安全测评中心作为权威、公正的测评

8、机构经市政府授权，依据有关标准，通过科学、有效的手段开展信息安全测评工作。目前对全市党政机关的信息系统和使用的信息安全产品已经开始测评，目前完成了市委组织部、市监察局、市公安局、市外办、石景山区等重要信息系统的安全测评。测评中心准确地说是北京市的信息安全基础设施，只是行政隶属关系归市信息办。,北京信息安全测评中心,2、北京数字证书认证中心,市政府文件:关于同意成立北京数字证书认证中心的批复(京政函2000188号),当时为了尽快建成这个中心，为北京市的各项信息化应用提供服务保障，我们采取政府主导，市场运作的模式，委托首都信息发展股份有限公司组建北京数字证书认证中心（BJCA）有限公司具体负责B

9、JCA的建设、运行和服务工作，运转两年多后，为了能够使其成为真正公正的第三方，按照市信息办的要求，10月底前完成改制。,北京数字证书认证中心已经能够为个人、单位、商家、企业、金融机构、公共服务、政府办公、工商税务、网站、服务器等网上作业的主体对象提供数字证书认证服务。目前已经应用的有西南证券、海淀园网上办公系统：组织机构代码卡和市民卡，北京市地税局网上纳税服务系统、电子商务等。发放数字证书超过15万张，包括个人证书、单位证书、服务器证书和代码签名证书。,北京数字证书认证中心,3、北京市公共信息网络安全监控中心,准备筹建的信息安全基础设施：,4、北京市信息网络安全应急中心5、信息网络安全异地容灾

10、备份中心,市信息安全工作组第一次会议纪要决定:抓紧建设北京市计算机网络应急救援中心,4、北京市信息网络安全应急中心,市信息安全工作组第二次会议纪要决定:原则同意关于建设北京市信息网络安全应急工作体系的基本设想,北京市信息网络安全应急中心基本设想,北京市应急办,北京市信息安全国家安全事项应急中心,应急资源数据库,5、信息网络安全异地容灾备份中心,异地容灾备份中心为信息网络安全应急提供一个安全、可靠的保证，确保应急工作能够顺利运行。应遵循统一规划、建设和使用，安全可靠、易维护的原则。,异地容灾备份中心初步规划,磁盘阵列,数据中心,备份中心,DWDM环路,数据实时备份,工作路径C1,C2,C3,3*

11、FC2*GE,保护路径C1,C2,C3,磁盘阵列,(三)出台了部分政策法规和标准,目前信息化法制建设和标准化建设都相对滞后，这将在相当大的程度上制约信息化的进一步发展。刘淇同志曾在昨日市情上批示：将信息化工作纳入法治轨道。建设网络与信息安全保障体系必须遵循特定的、科学的技术规则，才能使技术、管理、人员等资源形成特定的形态与结构，产生相应的能力，才能使有关信息安全的法律法规的制订和实施符合信息化社会的实际。这种规则，就是信息安全技术标准。,政府规章:,北京市政务与公共信息化工程建设管理办法（2000年12月19日经市人民政府第31次常务会议通过）,四委办局联合发文:北京市政务与公共信息化工程建设

12、管理办法实施细则（京信息办200065号）,市政府文件:,北京市人民政府关于加快政务信息化建设的意见（京政发20011号）,市委办公厅、市政府办公厅文件:,北京市党政机关计算机网络与信息安全管理办法（京办发200127号）,关于印发北京市信息安全服务单位资质等级评定条件(试行)的通知（京信息办2002127号）,市信息办文件:,2001年，我市已推出了首都信息化标准化指南和首都信息化标准体系，其中，指南第一分册信息系统安全与保密共五篇十六章，对信息网络安全标准作出了阐述和说明。,北京市地方标准:政务公开网站通用安全技术要求（DB11/T145-2002）,北京市地方标准:党政机关信息系统安全测

13、评规范（DB11/T171-2002）,北京市政务与公共信息网络安全管理若干规定北京市数字证书管理办法信息安全产品管理平台通用安全技术要求北京市电子政务信息安全指导意见北京市电子政务专网安全技术要求北京市党政机关信息系统安全定级指南等,已经报送和正在起草的政策法规和标准,(四)启动了风险评估和等级保护工作,通过对我市各部门、各单位、各行业信息系统的安全风险进行分析与评估，才能合理配置和利用我们的资源去实施保护。中办、国办17号文中明确要求：“要正确处理发展与安全的关系，综合平衡成本和效益。”中办、国办27号文转发的国家信息化领导小组关于加强信息安全保障工作的意见中，将风险评估和等级保护作为最重

14、要内容。,贯彻落实国家第三次信息化领导小组会议的精神,组织起草了信息系统安全定级指南，随后我们将在全市大力推进风险评估和等级保护制度，将风险评估和等级保护机制贯穿于方案设计、组织实施、项目验收和系统运行等信息化建设的始终，使信息安全保障体系进一步完善。,(五)信息安全产业,北京作为全国最大的信息安全产品研究、开发、生产机构和企业的聚集地，也是信息安全技术优秀人才最集中的地区，我们理应发挥北京市的各种优势，为保障国家信息安全作出应有的贡献。各类信息安全服务单位（研发、生产、系统集成、咨询等）的资质能力水平，从根本上制约着我市信息网络安全保障体系的可靠程度,与安全程度。我们将根据北京市信息服务资质

15、等级评定条件从法律地位、组织结构、人力资源、财务状况、设备设施、业绩、管理体系等各方面对信息安全服务单位的资质能力进行监管，推行安全服务单位资质和进入我市的信息安全产品的强制性安全认证。这项工作对政府监管、保护用户利益及提高信息安全服务单位的自身的核心竞争力从而促进信息安全产业等均会起到积极的作用。,初步构建了信息安全产业基地,促进信息安全产业发展，建立信息安全产业基地，加大信息安全产品政府采购力度，加速信息安全企业的资源整合，培育出高水平、上规模的信息安全骨干企业和具有国内、国际竞争力的信息安全名牌产品。,(六)、安全技术研究,我们将组织有关部门研究制定“基础技术应用与评估指南”和“基础技术

16、采用与发展政策”。这是建设信息安全保障体系的基础性工作之一。这两方面的工作将对我市充分利用国内资源、推动我市有关企业、机构在的科研开发等非常有利。（准备阶段）,(七)开展了信息安全的教育培训,我市网络与信息安全保障体系的最终基础是各层次的各类信息安全专门人才。社会各方面对这类人才的需求范围广泛，数量巨大。信息安全专门人才的教育培养，包括两方面的基础工作，一是由设有信息安全专业的大学实施，包括本科、硕士、博士等学历教育；二是由具有专业能力的培训机构实施，包括就业培训、岗位培训、证书培训和职务培训等。我们将根据不同的要求，协调各成员单位，配合教育、人事部门就我,市对信息安全专门人才的需求数量、需求

17、结构和需求时间进行调查统计，组织有关单位进行教育基础研究，在全市范围内，分期分批分重点地组织针对各个不同层次的信息安全宣传培训计划和活动。在党政机关和区县委办局一层，我们将会同市委组织部组织局级领导干部的培训，会同市人事局组织处以下机关干部的培训。对专门从事信息安全管理工作的人员实行上岗培训和资格考试，只有通过考试的人员才能担任党政机关信息安全管理的相关工作，从而推动这些单位信息安全工作的标准化和规范化。,在面向社会公众一层，一方面，要开展全社会特别是对青少年的信息安全教育和法律法规教育，增强全民信息安全意识，自觉规范网络行为；另一方面，要建立信息安全服务人员的执业资格考试制度，建立并掌握一批

18、高素质的信息安全管理和技术人才队伍。,(八)开展了全市网络 与信息安全的宣传,为了宣传、普及网络与信息安全知识，提高我市国家机关和企、事业单位的网络与信息安全意识，北京市信息安全工作组办公室于2001年9月19日，在市委大院主办了以“为数字北京保驾护航”为主题的网络与信息安全展览，为期3天半，刘淇、林文漪等市政府主要领导以及80多个区、县、委、办、局的领导和相关工作人员近千人参观了展览，此外52所高等院校和68家企业也派专人参观了展览。北京电视台、北京日报、北京青年报、北京晨报、北京晚报、网络,安全技术与应用杂志社6家新闻单位对展览进行了采访报道。市长刘淇、副市长林文漪等领导同志在参观展览过程

19、中，不仅认真听取了工作人员的汇报，仔细的观看了演示，还就一些关键技术问题作了深入了解。市主要领导同志参观结束后，对展览给予了很高的评价，并要求延长展期，为市委机关、市政府机关干部分别举办专场，同时杜德印和林文漪同志都提出了具体要求。由于领导的高度重视，大大提升了这次展览的影响和效果。,刘淇同志参观信息网络安全展览,林文漪同志参观信息网络安全展览,杜德印同志要求：要出宣传手册林文漪同志要求：要出指导手册,会同市政府新闻办召开新闻发布会,第二部分实施信息安全服务时应注意的问题,一、正确理解国家、本市有关信息安全政策文件、法规和标准中有关信息安全的精神,（一）主要政策文件和法规,1、中共中央办公厅、

20、国务院办公厅关于转发国家信息化领导小组关于我国电子政务建设指导意见的通知（中办发200217号）2、中共中央办公厅、国务院办公厅关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知（中办发200327号）3、国信办、科技部、信息产业部关于印发电子政务工程技术指南的通知(国信办20032号)4、“十五”时期首都信息化发展规划,5、北京市人民政府第67号令北京市政务与公共服务信息化工程建设管理办法实施细则6、北京市委办公厅、北京市人民政府办公厅关于印发北京市党政机关计算机网络与信息信息安全管理办法的通知（京办发200127号）7、北京信息办关于发布北京市信息安全服务单位资质等级评定条件（

21、试行）的通知（京信息办2002127号）,1、中共中央办公厅、国务院办公厅关于转发国家信息化领导小组关于我国电子政务建设指导意见的通知（中办发200217号）原则中要求：统一标准，保障安全。正确处理安全与发展的关系，综合平衡成本和效益，一手抓电子政务，一手抓网络与信息安全，制定并完善电子政务信息安全保障体系。主要目标中要求：初步形成电子政务网络与信息安全保障体系。,主要任务：（五）基本建立电子政务网络与信息安全保障体系。要组织建立我国电子政务网络与信息安全保障体系框架，逐步完善安全管理制度，建立电子政务信任体系，加强关键性安全技术产品的研究和开发，建立应急支援中心和数据灾难备份基础设施。,2、

22、中共中央办公厅、国务院办公厅关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知（中办发200327号）第一：加强信息安全保障工作的总体要求和主要原则总体要求：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础网络和重要系统的安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。,主要原则：立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全保发展，从发展中求安全；统筹规划，突出重点，强化基础性工作，明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。第二：实行信息安全等级保护信息化发

23、展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。要,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。要重视信息安全风险评估工作，对网络与信息安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。对涉及国家秘密的信息系统，要按照党和国家有关保密规定进行保护。,第三：加强以密码技术为基础的信息保护和网络信任体系建设密码技术是信息安全保

24、护技术的关键技术，特别是在网络与信息系统的数据保护、安全隔离、信任体系建设等方面起着基础作用。随着信息化的发展，电子政务、电子商务建设乃至公民个人信息保护都越来越多地应用密码技术。第四：建设和完善信息安全监控体系。,第五：重视信息安全应急处理工作。国家和社会各方面都要充分重视信息安全应急处理机制，建立健全指挥调度机制和信息安全通报制度，加强细心你安全事件的应急处置工作。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定并不断完善信息安全应急处理预案。灾难备份建设要从实际出发，提倡资源共享、互为备份。要加强信息安全应急支援服务队伍建设，鼓励社会力量参与灾难备份设施建设和提供技术服务

25、，提高信息安全应急响应能力。,第六：加强信息安全技术研究开发，推进信息安全产业发展。,要采取积极措施，组织和动员各方面力量，加强信息安全关键技术和相关核心技术的研究开发，提高自主创新能力，促进技术转化，加快产业化进程。要集中力量，加强对密码技术、安全隔离与审计、病毒防范、网络监管、检测与应急处理、信息安全测试与评估、取证、卫星防攻击等关键技术以及相关技术的研究开发。要加强对引进信息技术产品的安全可控技术研究，注意研究应用新技术、新业务可能带来的信息安全,问题。要重视研究应用于互联网的信息安全技术,保障互联网的健康发展。坚持政府引导与市场机制相结合，推动我国信息安全产业发展,逐步形成基础信息网络

26、和重要信息系统以自主可控设备为主的格局。使用国家财政资金建设的信息化项目,要按照中华人民共和国政府年采购法的规定采用国产软件、设备和服务。要推进认证认可工作,规范和加强信息安全产品测评认证。建立健全信息安全市场服务体系,为我国信息安全产业发展创造良好的市场环境。,第七：加强信息安全法制建设和标准化建设。,坚持依法保障和促进信息化发展,严格依照现行法律法规,规范网络行为,维护网络秩序。要加强信息安全理论和战略研究，抓紧研究起草信息安全法，建立和完善信息安全法律制度，明确社会各方面保障信息安全的责任和义务。要积极参与国际信息网络规则的制定，开展涉及信息网络的国际司法协助。要重视信息安全执法队伍建设

27、，加强对利用网络传播有害信息、危害公众利益和国家安全的违法犯罪活动的打击。,要加强信息安全标准化工作，抓紧制定急需的信息安全管理和技术标准，形成与国际标准相衔接的中国特色的信息安全标准体系。要重视信息安全标准的贯彻实施，充分发挥其积极性、规范作用。,第八：加快信息安全人才培养，增强全民信息安全意识。,加强信息安全保障工作，必须有一批高素质的信息安全管理和技术人才。要加强信息安全科学、专业和培训机构建设，加快信息安全人才培养。要采取积极措施，吸引和用好高素质的信息安全管理和技术人才。要加强信息安全的基础知识和基础技能，重视对各级领导干部的信息安全教育和法律法规教育，要开展社会特别是对青少年的信息

28、安全教育和法律法规教育，增强全民信息安全意识，自觉规范网络行为。,第九：保证信息安全资金。第十：加强对信息安全工作的领导，建立健全信息安全管理责任制。,3、国信办、科技部、信息产业部关于印发电子政务工程技术指南的通知(国信办20032号)：,第一条:(二)要根据安全需求,实现不同类型和级别的网络与信息安全,提高电子政务系统的安全性。(三)要根据应用的需求,合理确定系统平均无故障运行时间和可靠性等级，合理确定系统部件平均故障修复时间。第十一条:要高度重视电子政务工程中的网络与信息安全建设,依据国家有关电子政务建设信息安全管理的要求同步建设电子政务系统的安全保障体系。,第十二条:涉及国家经济命脉、

29、信息安全、国计民生和社会安定的电子政务系统、在系统的运行、维护、升级过程中，必要时可要求开发单位提供有关源代码和技术文档支持。第十三条:电子政务工程建设的采购活动要严格执行中华人民共和国政府采购法。各级政府要为购买自用正版软件提供必要的资金。在同等条件下，优先购买使用国产信息产品及软件。,4、“十五”时期首都信息化发展规划,(七)加强信息安全保障体系建设信息安全保障能力关系到国家、城市和广大群众的安全与利益，也是广大群众应用与信赖信息系统的基础。1.建立首都的信息安全保障体系。主要包括：理顺管理体制，明确职责；制定推行信息安全政策法规和标准；完善安全基础设施；研发具有自主知识产权的信息安全技术

30、；开发信息安全人力资源；研究信息安全目标与策略等。2.加强信息安全的组织领导，强化北京市信息安全工作小组的职能：负责协调本市各有关部门，统筹规划信息安全保障体系、,基础设施建设，促进资源的共享，信息安全的管理。3.完善信息安全测评中心及其系统工程实验室、CA认证中心建设，建立信息安全应急响应中心、信息系统安全研发机构等基础设施。4.推行相关的政策法规与标准，加强对于信息安全的产品、服务商资质、信息系统的安全的管理与测评认证。建立健全网络的安全管理制度，建立网络信息安全专业岗位、及其培训和考核制度。定期对网络进行信息安全检测。5.在信息系统建设的同时，要进行信息安全的总体设计和信息系统安全工程建

31、设，在系统验收时必须对信息系统安全进行测评,认证。对于已建的信息系统，要完善信息安全的总体设计和信息系统安全工程建设，进行系统安全测评认证。在信息系统建设中信息安全的投资应占系统投资的一定比例。6.在信息化建设的各个领域和各个技术层面,采用多种信息安全技术，强化信息安全措施。抓好重点领域和部门的安全示范工程。加强信息安全技术的研发，开发我国自主版权的信息安全技术与产品。7.开展信息安全和信息法制教育，提高全民的信息安全意识，防范、打击计算机与网络犯罪。,5、北京市人民政府第67号令北京市政务与公共服务信息化工程建设管理办法实施细则(修改后）第一、二条：目的和适用范围第三、四条：主管部门和职责分

32、工第五、六条：资金保障、方案论证第七、八条：立项审查和备案第九条：招投标第十、十一条：资质准入第十二条：政府采购第十三条：相关标准第十四条：科学、合理实施保护,第十五条：安全服务单位和个人资质准入第十六条：建设单位人员上岗培训第十七条：监理制度第十八条：验收和安全测评第十九条：保修制度第二十、二十一条：罚责第二十二条：贯彻落实第二十三条：实施时间,6、北京市委办公厅、北京市人民政府办公厅关于印发北京市党政机关计算机网络与信息信息安全管理办法的通知（京办发200127号）,第一、二条：目的、适用范围第三、四条：组织领导和责任制第五条：总体原则第六、七条：符合标准，合理实施保护第八条：安全方案审查

33、第九、十条：安全服务单位、产品资质准入,第十一条：保密要求第十二条：管理制度第十三条：监控和应急处理第十四条：软件正版化第十五条：信息内容第十六条：人员上岗培训第十七条：宣传、教育、监督检查第十八条：法律责任第十九条：实施时间,7、北京信息办关于发布北京市信息安全服务单位资质等级评定条件（试行）的通知（京信息办2002127号）,非涉密分一级、二级和暂定级，每级中含系统安全建设与维护和培训两类。从事信息安全人员的执业资格,（二）主要技术标准,1、首都信息化标准化指南信息系统安全与保密共五篇十六章，对信息网络安全的国际、国家标准作出了阐述和说明 2、党政机关信息系统安全测评规范（DB11/T17

34、12002）根据信息系统中信息资源的价值和面临的威胁划分五类(级)3、政务公开网站通用安全技术要求（DB11/T145-2002）4、信息系统工程监理规范（DB11/T1602002）,二、开展信息安全服务资质认证的必要性,随着信息化建设和应用的不断深入，信息安全服务越来越受到国家领导和市领导的重视。一方面，信息安全服务单位人员结构不稳定，后续服务不能满足客户需求，甚至出现欺诈服务行为等等。有些不具备提供信息安全服务能力的单位常常鱼目混珠，通过关系在投标、竞标工作中搅乱正常秩序，破坏“游戏规则”。有的充当“二传手”转由其他企业承包，从转手中捞肥，使真正有实力承担信息安全服务的单位利益受损，搅乱

35、了信息安全服务市场的正常秩序，阻碍了,信息安全服务业的健康发展。一旦这样的单位中标，将无法保证项目的安全，对国家安全的危害极大。特别对电子政务和影响城市正常运转的信息化项目更为重要。另一方面，对于有能力的信息安全服务单位而言，随着国际国内市场竞争日趋激烈，需要加强自身建设，提高自身的核心竞争力来迎接我国加入WTO后国外企业的挑战，参与竞争。他们迫切需要政府行业主管部门对信息安全服务市场予以规范，希望政府主管部门尽快开展信息安全服务资质认证工作，,对其信息安全服务的能力予以认定。对于建设单位也急需选择具有相应能力的信息安全服务单位来承担项目的建设。所以，开展计算机信息系统集成资质认证工作迫在眉睫

36、，势在必行，刻不容缓。当前，对信息安全服务单位管理的手段，工商管理部门只能在单位成立和依法经营方面施行管理，可以说，对信息安全服务业的管理存在严重欠缺，急需政府主管部门从从业资质角度加强行业管理。,信息安全服务资质认证工作的意义可概括为：1、有利于国家安全、社会稳定2、有利于建设单位客观、公正地选择信息安全服务单位3、有利于信息安全服务单位增强自身的；核心竞争力4、可以享受优惠政策，获得重点扶持5、有利于规范信息安全服务市场6、有利于保证信息安全服务的质量7、有利于行业主管部门加强管理，加大推进信息安全服务产业和信息化建设发展的力度等,三、为电子政务提供信息安全服务时需要注意的问题,立项、招投标阶段,组织实施阶段,电子政务建设中的四个主要阶段,1、要具备从事信息安全服务的相应资质和资格（政务与公共服务项目强制）2、定位要准，到位不越位，遵循用户为主，服务为辅的原则。3、职业道德，不损害用户利益（保密）4、提供的信息安全产品要符合要求（法律、法规、规范性文件的要求）5、依托合法的信息安全公共基础设施（测评系统、产品、服务，数字证书的应用等）6、协助政府做好相关监督执法和宣传,谢谢！,