三、“健全信息安全保障体系”的几大关键

“信息安全无小事”，信息安全本身包括的范围很大，大到国家军事政治等机密安全，小范围的包括如防范商业企业机密泄露，防范青少年对不良信息的浏览，个人信息的泄露等。因此“健全信息安全保障体系”是一项系统性的工程，可以从以下几方面入手：

1、认识上，立足国情，以我为主，共同合作，逐步提高

“健全信息安全保障体系”的总体方向就是要继续贯彻执行“坚持积极防御、综合防范的方针，全面提高信息安全防护能力；重点保障基础信息网络和重要信息系统安全；创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。”的既定方针。要落实这一方针，既要坚持立足国情，以我为主，同时又要坚持改革开放和国际合作。信息安全保障能力的提高，不能仅仅依靠一国力量，而是需要世界范围的共同合作，需要政府与企业、全社会每个人的互动，才能在互联网这样一个复杂的巨系统中，逐步建立、完善和提高信息安全保障以及应急响应的处理水平。同时，加强国际信息安全交流，积极参与国际规则制定，增强在国际信息安全领域的影响力，推动我国信息安全保障体系的建设与完善，在我国的信息化建设中主动出击、保障安全。

2、战略上，做好信息安全顶层设计

信息安全是一个关乎全局、动态、多变、多层次、长期的复杂问题，它涉及因素多，关系复杂，单靠几项信息安全技术或管理措施无法解决，这就要求我们在处理安全问题时不能头痛医头、脚痛医脚，要从信息安全的本质出发，需要站在战略的高度统筹考虑，这就要站在全局高度进行信息安全的顶层设计，以顶层设计来指导信息安全保障体系的构建和信息安全管理能力的提升。同时，要加强党和政府对信息安全的领导，充分发挥各级党政机关、职能部门的作用，广泛动员和组织社会各方面的力量，调整管理方式，从组织领导、政策、法律、标准、技术、人才等方面积极推进，发挥政府在信息安全保障中的主导作用，强化对信息安全的治理能力，形成有利于综合治理的局面。

3、运营上，做好风险防范和预警、突发事故处理工作

当前，我国信息化发展不均衡，信息安全建设欠账还较多。因此，要加强关键基础设施和重要信息系统的保护和管理，强化企业、机构在网络经济活动中保护用户数据和国家基础数据的责任。加快安全能力建设，完善网络与信息安全基础设施，加强信息安全应急等基础性工作，强化网络与信息安全应急处置工作，完善应急预案，加强对网络与信息安全灾备设施建设的指导和协调。加强信息共享和交流平台建设，健全网络与信息安全信息通报机制。完善信息安全认证认可体系，加强信息安全产品认证工作等。

4、技术上，加强新技术研究和网络信任体系建设

技术上要统筹规划，整合力量，进一步加大网络与信息安全技术研发力度，加强对云计算、物联网、移动互联网、下一代互联网等方面的信息安全技术研究。要健全电子认证服务体系，推动电子签名在金融等重点领域和电子商务中的应用。应大力推动密码技术在涉密信息系统和重要信息系统保护中的应用，强化密码在保障电子政务、电子商务安全和保护公民个人信息等方面的支撑作用等。

5、制度上，加快法规制度和标准建设

制度上，要加快完善信息化发展和网络与信息安全法律法规，研究制定政府信息安全管理、个人信息保护等管理办法。健全相关法规制度，明确并落实企事业单位和社会组织维护信息安全的责任。同时，制定和完善新一代信息技术在重点领域的应用标准，注重发挥标准对产业发展的技术支撑作用。积极参与制定信息安全国际行为准则、互联网治理等国际规则和标准等，以建立有利于“健全信息安全保障体系”的长效机制。

（作者系中国信息安全测评中心秘书长、博士）