政务信息安全制度

相关推荐

政务信息安全制度

随着我国信息化进程的不断推进和电子政务的快速发展，信息系统在农业部门中得到了日益广泛的应用。农业部机关及各直属单位对信息系统的依赖性不断增强，日常行政办公等各类业务信息已经全面依赖信息系统进行处理。与此同时，信息系统的安全问题也日益突出。为加强信息系统安全保障能力建设，近年来在国家有关部门的大力支持下，农业部在加强信息安全制度建设、提高信息系统安全管理能力方面进行了一些有益的探索，取得了一定成效。

政务信息安全制度

一、电子政务信息安全面临的复杂性、艰巨性迫切需要系统化的规划构建安全管理制度

农业部电子政务信息系统是存储、处理、传输涉及服务“三农”各类信息的重要信息系统和计算机网络。这种以计算机网络为载体、以传输电子信息为主的信息系统的安全保密，与传统的纸介质文件信息的安全保密管理相比，更具有复杂性、艰巨性和挑战性。

（一）电子政务信息系统覆盖范围大，涉及人员广

农业部电子政务信息系统使用范围涉及部机关各司局及相关直属事业单位，系统内有计算机终端千余台。这种网络化条件下的信息安全工作，已由原来纸质文件安全管理的纵向垂直金字塔模式，过渡到了平面和垂直交叉的模式，其覆盖范围更广泛，涉及部门和人员更多，凡是网络所覆盖的所有单位和人员均为信息安全管理的重要对象，大大拓展了信息安全管理的深度和广度。

（二）电子政务信息系统环节较多，流程复杂

农业部电子政务信息系统主要应用于政务办公自动化系统和邮件系统，是日常政务工作正常运转的基础办公平台，不仅涉及实际业务工作中文件的起草、审核、传输、存储、处理等，还涉及到计算机、打印机、交换机、路由器、服务器、存储设备、安全设备、链路系统、应用系统、配线间、网络机房等诸多因素，一个文件的处理往往涉及到许多环节，信息流程较为复杂。信息安全管理已由原来纸质文件流转下的孤立的点对点管理，过渡到如今环节众多、交叉复杂的网络状、立体化管理，如不严格把好各道关口，容易造成信息不经意外流。

（三）电子信息的安全控制更加困难

与传统纸质文件信息相比，电子信息的存储和传输方式发生了很大的变化，信息流转快，载体多样化，易复制，易传输，可远程控制，信息的丢失不易觉察，看不见、摸不着，容易批量丢失，一旦丢失造成的损失十分巨大。这些特点增加了电子信息安全管理的难度。

（四）信息系统的安全管理具有很强的技术性和专业性

信息化条件下的电子信息安全涉及计算机网络、通信、电磁防护、密码保护、文件管理等多个领域的专业知识，不仅要求工作人员具有较强的信息安全意识，还要具有较强的信息网络安全专业知识和技术，而大部分行政业务工作人员缺乏计算机及网络相关的安全知识和技术，存在盲目操作、违规操作、随意操作、无防护措施操作等问题，容易造成信息的“不经意”、“无意”等被动失泄密，在很大程度上增加了管理难度。

（五）信息技术更新快，网络攻击手段多样化

与传统纸介质文件的信息安全条件和环境相比，信息化条件下的信息安全环境和条件更为复杂。一方面，随着当今计算机与网络技术的飞速发展，信息技术日新月异，安全防护技术更新也越来越快，进一步增加了信息系统信息安全的复杂程度；另一方面，网络攻击手段花样多、变化快，隐蔽性强，给信息系统的信息安全带来严峻挑战，不仅要及时升级更新系统软硬件设备设施，更要及时健全管理制度。

制度规划建设在信息系统信息安全管理工作中起着根本性、指导性、全局性的作用。新形势下，传统的信息安全管理制度已经不能满足实际需要，农业部原有的管理制度存在内容不全面、要求不到位、责任不落实等问题，迫切需要根据信息化、网络化、电子化条件下的信息安全新特点，全方位、立体化、系统化地规划构建信息系统的信息安全制度体系。

二、电子政务系统安全制度规划的指导思想和基本原则

（一）指导思想

农业部电子政务信息系统信息安全管理制度规划建设必须充分认识新形势下信息安全工作的复杂性、艰巨性和极端重要性，充分把握网络化、信息化、电子化条件下信息安全工作的新特点、新要求，充分掌握计算机网络及其信息安全的新技术、新方法，以严格贯彻执行国-家-信-息安全法规政策为准则，以全面提高农业部信息安全能力为目标，以完善制度、落实责任为重点，以全网络、全要素、全过程安全管理为主要内容，以“积极防御、综合防范”为基本方针，转变观念，创新思路，技术与管理并重，系统化地构建农业部特色的信息安全管理制度体系，全面提高农业部电子政务信息系统的信息安全防范能力。

（二）基本原则

⒈以人为本，细化责任

建立电子政务信息系统的主要目的在于提高信息处理能力和行政办公效率，提高现代化办公的方便快捷程度；而电子政务信息系统的信息安全管理往往与这一目标存在冲突和矛盾。因此，电子政务信息系统信息安全制度建设应当在确保信息安全的基础上，充分考虑机关工作人员的需要，为大家提供方便快捷的办公自动化平台。同时，应当明确电子政务信息系统各级管理和使用部门、人员的安全责任，推行安全责任制，把安全责任层层落实到人，增强人员安全意识，切实把好每道关口。

⒉结合实际，突出实效

农业部电子政务信息系统信息安全制度建设，既要严格依据国家有关政策法规、标准规范，又要结合农业部的实际情况，从农业部存在的实际问题、安全管理的实际需要出发，明确指向，突出可操作性和实效性，立足解决实际问题。

⒊主动防御，综合防范

在充分分析电子政务信息系统面临安全风险和威胁的基础上，立足安全防御为主的策略，制定事前防御、事后处置、定期检查、各单位自主防范与部信息中心统一监管相结合的综合防范措施和制度，确保农业部电子政务信息系统实现主动预警、主动监测，及时发现和处理安全隐患。

⒋技管并重，全面管理

在信息化条件下，要从技术和管理两方面，采取多种有效措施，制定包括涉密信息系统人员、环境、设备、网络、机构等多方面的全面信息安全管理制度，把传统的信息安全管理制度、方法、措施与现代信息化技术相结合，充分发挥技术保障作用和行政管理职能，建立系统化的信息安全管理制度体系。

三、电子政务系统安全制度规划建设的主要内容

根据新形势下农业部信息安全工作的实际需要，在充分梳理原有信息安全制度的基础上，结合国家现行信息系统信息安全管理的有关规定，重点从以下8 个方面规划建设农业部电子政务信息系统的安全管理制度。

（一）完善责任制度，强化组织领导和责任落实

通过制度建设，一是确立分级管理体制。按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，实行分类分级管理体制。二是明确各部门、各单位的信息安全管理职能。农业部办公厅负责组织协调和监督检查，农业部信息中心具体承担信息系统的建设、运行、维护和技术指导等工作，各司局、各有关单位具体负责本单位接入电子政务信息系统的设施设备和应用系统的安全管理。三是建立层层落实的安全工作责任制。明确农业部各机关司局、有关直属单位、信息中心、应用系统管理人员、信息系统使用人员的安全责任，人人签订责任书，层层落实、责任到人。四是建立奖惩制度。把各单位电子政务信息系统的信息安全管理与单位考核、个人考核挂钩，实行一票否决制。

（二）完善人员管理制度，强化全员全过程管理

制定严格的人员管理制度，对使用和管理电子政务信息系统的所有人员实行从人员录用、岗位职责、教育培训、安全监管、人员奖惩到人员离岗离职管理等多方面、严格的全过程管理，推行安全管理和年度考核挂钩的奖惩制度，切实有效地加强使用人员的管理。

（三）完善运行维护制度，强化日常安全运行管理

对电子政务信息系统的变更、应用系统的运行维护及新增系统的开发等提出安全建设的具体要求，明确规定新增应用系统在接入电子政务信息系统前，系统开发单位须在身份鉴别、访问控制和安全审计等方面进行安全功能的同步开发。规范各单位应用系统的使用管理，要求各单位结合实际情况建立相应的应用系统安全管理制度，包括系统维修与报废、备份与恢复、软件安装管理、系统配置变更管理等方面的规定。

（四）完善运行环境管理制度，强化电子政务系统安全的立体化管理

电子政务信息系统的运行环境涉及到农业部机关大院及周边环境、办公大楼内外环境、机房与配线间、行政机关所有办公场所，等等。通过制度建设，建立严格的办公场所及周边环境的安全巡防巡查制度、节假日运行环境值班制度、相关监控设施设备的检测检修制度、机房管理制度、配线间及相关设施的安全管理制度等，对电子政务信息系统所覆盖的空间及周边环境管理提出了规范性要求。

（五）完善设备和介质管理制度，强化信息载体的安全管理

通过制度建设，一是加强对无线、多媒体产品的使用管理。二是加强移动存储介质的使用管理。规定对农业部各单位的移动存储介质进行登记备案，明确责任负责人，严格遵循不交叉使用移动存储介质的规章制度。三是安全设备的规范使用要求。对农业部电子政务信息系统上部署使用的安全产品，指定专门的部门负责统一购置、统一部署，按照有关要求选用通过国家有关部门检测的国产设备。要求各单位指定专门人员负责安全设备的管理，按照“谁使用谁负责”的原则，妥善保管、规范操作，并按照相关要求做好安全设备的申请、标识、登记、更换、移交等工作；对安全设备和介质的维修与报废进行了严格规定。四是建立农业部计算机的软件安装列表，对电子政务信息系统使用的所有软件实行许可制度，禁止擅自安装和使用未经许可的软件。

（六）完善应急响应管理制度，强化应急突发事件的处置能力

制定农业部电子政务信息系统的安全应急响应预案，要求各单位根据实际情况，结合安全审计等措施，指定专职管理人员进行安全监测工作，定期开展安全分析和风险评估，对发生异常事件后的应急响应措施和处置流程提出了明确要求。

（七）完善信息安全政策宣贯制度，强化信息安全教育

针对机关及事业单位工作人员电脑技术基础薄弱、信息安全知识缺乏的现状，建立信息安全政策宣贯制度。一是建立信息安全法规讲座制度、信息安全宣传周制度和信息安全问卷制度等，要求采取灵活多样的形式，开展信息安全法规制度宣传，营造信息安全法制宣传氛围，提高广大干部职工的信息安全意识；二是建立定期培训教育制度，根据网络安全现状和信息安全的要求，明确规定定期开展公务员和事业单位人员的信息安全培训，全面提高农业部广大干部职工的信息安全意识和防范能力。

（八）完善信息安全督查执行制度，强化信息安全制度的有效落实

通过制度规划建设，将监督检查作为确保农业部信息安全工作成效的一项重要举措和长效机制，规定各单位要按照不漏一机、不漏一网、不漏一人的要求，定期自查、全面整改，农业部办公厅重点抽查。通过监督检查，及时发现存在的问题与风险隐患，尽快组织整改落实，确保信息安全工作切实有效。

四、电子政务系统安全制度规划建设的主要成效

农业部通过系统化地规划、构建和落实信息安全制度，有效地提高了电子政务信息系统的安全防护水平。

（一）提升了农业部电子政务信息系统的综合防范能力

通过建立和健全各项信息安全制度并严格执行，全面规范了农业部电子政务信息系统在电磁防护、身份鉴别、访问控制、安全策略、介质管理等多方面的安全操作行为，强化了病毒防护、入侵检测、漏洞扫描、安全审计、主机监控等多种安全手段，使农业部电子政务信息系统较好地达到国家有关标准的要求，并顺利通过了国家有关部门组织的安全测评，系统的安全防范能力得到了全面提高。

（二）杜绝了违规互联、无线设备使用及存储介质交

叉使用等违规行为通过全面建设和贯彻落实各项安全制度，基本杜绝了机关工作人员违规互联、无线设备使用及存储介质交叉使用的违规行为。从2 0 0 9 年以来的安全检查结果看，与新的安全制度实施前普遍存在的交叉使用存储介质、违规互联、违规使用无线设备情况相比，在农业部计算机终端及百余台网络设备的使用和管理中已基本不存在上述违规问题，大大降低了安全风险和安全隐患。

（三）降低了信息系统恶意代码入侵和安全漏洞隐患

通过各项安全制度的建设和贯彻执行，确立了农业部技术防范、监测预警、监督检查“三位一体”的安全监管体系，不断加强技术防范措施，利用漏洞扫描、主机监控、安全审计、病毒防控等技术手段实现主动监测预警，同时定期开展监督检查，强化制度落实，有效控制了各种病毒、木马等恶意代码对网络的侵袭，减少了安全漏洞隐患，降低了非法入侵风险。近期安全检查及漏洞扫描的结果显示，农业部计算机感染病毒木马、存在安全漏洞等隐患的现象已由之前的普遍现象转变为现在的个别现象，系统安全性得到全面提升。

（四）增强了农业部广大干部职工的信息安全意识

通过信息安全政策宣贯制度、安全知识培训制度、安全督察执行制度的实施，在农业部广大干部职工中有效普及了信息系统信息安全知识，增强了农业部广大干部的信息安全意识，规范了信息安全行为，提高了机关工作人员的信息安全技术防范水平，切实增强了农业部电子政务信息系统的安全防范能力。

五、农业部电子政务系统安全制度规划建设的主要经验

总结农业部电子政务系统信息安全管理的实践可以看出，农业部在安全制度规划建设方面进行了一些有益的探索和尝试，积累了一定的经验。

（一）领导重视安全保密制度规划建设

农业部领导高度重视信息安全制度建设工作，部领导多次批示，要“切实完善落实各项制度，要严格落实安全责任制”；主管副部长亲自研究部署制度建设工作。在部领导的关心和支持下，在较短的时间内，根据新形势的需要和信息安全存在的问题，农业部迅速完善了网络化条件下的信息安全制度体系。

（二）完善信息安全的组织机构

为切实做好信息安全工作，农业部设立了由有关单位主要负责同志参加的农业部保密委员会，下设了保密办公室；同时，在新一轮机构改革中，在办公厅设立了督察保密处，与部保密办合署办公，专职负责国家政策的贯彻执行与农业部信息安全制度的制定落实；在信息中心设立了信息安全处，专职负责信息系统信息安全的技术防范工作；机关各单位明确了专职负责信息安全工作的机构和人员。在这些部门的协同努力下，农业部信息安全制度的建设得到了有效推进。

三）创造性地贯彻落实国-家-安-全法规

国家有关的信息安全管理标准规范是我们掌握规律、解决信息安全技术防范和管理难题的理论和政策依据。因此，必须严格按照国家有关规定进行相关建设管理。农业部办公厅、信息中心在认真学习、充分领会并全面掌握国家有关法规标准要求的基础上，针对农业部电子政务信息系统存在的突出问题与隐患，结合原有制度中亟待改进的内容进行修改完善。同时，充分借鉴其他部委单位的有效做法，在国家法规标准和农业部原有规章制度基础上创新思维，确保农业部电子政务信息系统的信息安全制度建设目标明确，切实有效。

（四）充分发挥技术部门的作用

信息系统信息安全工作技术性、政策性很强。在农业部电子政务信息系统信息安全管理工作中，农业部充分发挥了信息中心等技术部门的技术支撑作用，结合信息安全存在的问题，从技术角度建设和完善了电磁防护、身份鉴别、访问控制、介质管理、病毒防护、漏洞扫描、安全审计、主机监控等多方面的管理规范，有效地提高了农业部的信息安全防范能力。

（五）全员参与信息安全制度规划建设

农业部电子政务信息系统覆盖范围广，涉及单位多，同时，信息安全工作与每位工作人员息息相关，仅仅依赖一个部门或一个单位的力量难以落实。在农业部保密委员会领导下，农业部在信息安全制度建设过程中，注重调查研究，充分听取各司局、各单位人员的意见和建议，充分调动所有单位参与信息安全制度建设的积极性，确保所制定的信息安全制度的可操作性和实用性。

虽然农业部在电子政务系统安全管理制度的规划建设方面做了不少工作，也取得了一定成效，但与当前技术进步速度和网络安全要求相比还有差距。农业部将根据新的形势和实际需要，进一步加强电子政务系统信息安全制度建设，不断提高安全防护能力，确保为“三农”服务工作中的信息安全。

政务信息制度2015-10-18 10:14 | #2楼

我国电子政务建设已经步入了深化应用阶段。应用与安全是一对矛盾，电子政务的深化应用与安全管理必须并举，不可偏重。如何在电子政务深化应用的同时建立起相应的信息安全管理体系，保证应用与安全的协调发展？这些都是摆在目前中国电子政务工作者面前的重要课题。

在刚刚结束的“2015第三届中国电子政务高峰论坛”上，工业和信息化部副部长杨学山指出，作为IT建设的重中之重和关键信息的重要承载组织，电子政务要向着全流程、全覆盖、全业务的方向走。我们如何使应用系统更加成熟稳定？如何使信息资源更加集成优化？网络系统更加适用和可靠？电子政务中的信息安全保证是电子政务建设的当务之急。

之所以着力发展信息安全，是因为在电子政务建设初期在很大程度上是“摸着石头过河”，缺乏明确的策略对其进行指导。系统大都是采用开放式的操作系统和网络协议，存在着先天的安全隐患。随着电子政务建设的逐步推进，政府门户网站所承载业务的数量在逐步增加，网站被入侵或篡改所带来的危害将不仅仅限于“政府形象”的损害，甚至能会造成巨大的经济损失，或者严重的社会问题。

系统测评制度保证

河北省工业和信息化厅副厅长段润保谈到，电子政务深化应用在工作中得到了加强，网上审批可能达到了50%，重要的数据就不能上了，因为确保不了安全。今天达到100%，全社会的老百姓都来网上了，安全更不能保证。所以，各方面的强度肯定要增强，原来的软件就没有做软件测评，现在不行，必须要做。随着应用面越来越广，深度越来越深，使用频率越来越高。我们很多电子政务领域都用上了，上班就得用这个东西，像海关一样。

段润保还提到，河北的现状应该说不容乐观，到省级还比较好一些，到市勉强，到县就不行了。最近查的800余个网站，非常高的比例存在安全隐患，漏洞、信息泄漏，这样的问题有很多，非常严峻。年年抓还是这个情况，内网当然要好一些。内网有一个安全测评，有什么问题可以整改。在这样的问题下我们怎么样推进电子政务深化，确实要从制度要求。出了问题谁负责？有的时候没有制度，规范，所以说第二个问题是信息安全来保证电子政务的深化研究，基本的制度，比如说风险评估，你建了这个系统以后效果怎么样。等级保护制度，那是国家强制的，必须要这么做。

说是安全，实际上也有很多制度。这个系统按时升级了，口令8位以上，做复杂了他也不好破。很多制度是有，但是不执行，比如应该是一个星期升级，结果一个月也不升级，漏洞就有了。要建立新的制度，旧的制度也要不断完善，这样才能发展。

明确责任体系建设

国土资源部信息中心总工顾炳中指出，安全是一种责任，要明确安全的责任。划分政治界限，规定政治红线在哪儿。在不碰红线的前提下，我们来做我们的事情，所以必须满足红线。政策的安全红线是什么？国家的安全17859分级保护，强调的就是适度安全，安全不是绝对的。分级保护的原则指导下，23号文件，分级的改造，等级保护按43号文进行公安部的要求保护。这样的事情做下来是有一个基本要求，再出事不承担失职的责任。

这样是不是就是安全了？绝对不够。安全跟我们现在的规定，相关部门的规定还有一定的差距，安全应该是一个理念，应该贯穿到整个信息系统规划、设计、实施、运维全过程。政策红线只是规避了常发生的信息安全问题。包括现在的风险评估，风险评估有用吗？基本没太大的用。因为他说有漏洞，有漏洞不等于事实，不等于信息就不安全。漏洞多了，我们写代码可能有8个漏洞在里面，没有人检查，漏洞是永恒的，病毒也是永恒的。我们必须把安全作为一个理念，从规划和实施当中贯彻，采取自己切实可行的手段来保证安全。重要的数据我有方法备份，重要的信息系统我有方法检查，采用一系列的手段来进行保护。

分级保护风险评估

公安部第一研究所安全系统测评中心技术部主任秦超指出，电子政务与安全的直接关系，08年出台了一个文件，08年起，国家发改委批准的项目必须经过风险评估和安全测评，这是与电子政务最直接相关的测评报告。

08年奥运在一些单位检查当中发现很多领导都很重视。信息安全很重要，他们就会很谦虚的问网站怎么弄？怕攻击了，有什么办法？外网系统固然很重要，他们怕产生社会影响，怕丢面子。但是内网也很重要，内部最容易是作为堡垒被攻破。我们要重视内网的安全，一个是要加强审计。怎么处理好安全应用的关系？等级保护就是最好的方法，最好的是适度安全。我们的电子政务信息系统很庞大，如果把有限的财力，人力集中到信息系统上就要定级。有些单位说定了三级怎么实现？每个系统由一些小系统来组成，小系统划成核心区域，非核心区域，根据你自己的需要来采取安全措施。分级保护是把复杂的系统简单化，我们是从两个角度定义的，一个是按保密性，还有一个是可控性，两个组合形成最后的安全等级高低。

在安全保护过程中强调的是安全管理。我们强调的是建立一大堆制度，但是没有相应的机构，相应的人员来落实。领导兼职会拿它当工作做吗？我已经发现了一个规律，一个单位如果有相应的实权机构来负责这个事，一般这个单位的安全系统都是有秩序的。一些单位在技术方面确实不够专业，可以选择外包，但是要选择可靠的是要以运营单位来保证。

大家都普遍认识一点，安全是一个周期性的工作，漏洞是不断的被挖掘出来的，VISTA被发布之前，微软说VISTA很安全，没有漏洞，但是发布之后他说漏洞很小。所以要不断的对信息系统进行审计评估，对于三级系统一年要检查测评一次，四级系统要半年检查一次。

尽管电子政务代表了政务实施发展的趋势和方向，但是，建立和完善电子政务系统不是一朝一夕能完成的工程。除了技术的提升，信息安全意识和制度尤为重要。信息安全是一个管理体系，不管是等级保护，风险评估还是边界的管理，信息安全应该在下一步的深化应用当中渗透到各个环节。

【政务信息安全制度】相关文章：