-----正在制定的《政府部门信息安全管理指南》将在操作层面为今后各级政府部门的信息安全保障工作提供详尽的指导规范 \r\n 为了指导各级政府部门的信息安全管理工作,由全国信息安全标准化技术委员会提出基本要求标准并归口管理的《政府部门信息安全管理指南》(以下简称《管理指南》)正在紧锣密鼓地筹备过程中。记者日前在中国信息安全认证中心了解到,在《管理指南》中,对信息安全产品采购环节的管理已被列为维护政府部门整体信息安全的重要组成部分,需严格落实信息安全经费预算,保证信息安全工作的经费投入。 \r\n 在采购管理方面,《管理指南》鼓励各级政府部门采购国产信息技术产品和国内企业提供的信息技术服务。如需采购国外产品和服务,应进行必要性和安全性评估。对于办公用计算机、服务器等设备的更新换代,鼓励采购配备国产CPU的产品。公文处理软件、信息安全产品等应采购国产产品,信息安全产品应经过国家统一认证。 \r\n 此外,各级政府部门接受捐赠的信息技术产品,使用前应进行安全测评,并与捐赠方签订信息安全与保密协议,不得采购社会第三方认证机构提供的信息安全管理体系认证服务。信息系统数据中心、灾备中心不得设立在境外。 \r\n 《管理指南》规定,各级政府部门开展信息化建设时,应按照同步规划、建设和运行的原则,同步规划、设计、建设、运行、管理信息安全设施,建立健全信息安全防护体系。 \r\n 据了解,结合各级政府部门的工作实践,《管理指南》在信息安全组织管理、日常信息安全管理(具体包括人员管理、资产管理、采购管理、外包管理、经费保障)、信息安全防护管理(具体包括网络边界防护管理、信息系统防护管理、门户网站防护管理、电子邮件防护管理、终端计算机防护管理、存储介质防护管理)、信息安全应急管理、信息安全教育培训以及信息安全检查等6大方面对信息安全管理工作进行了详尽的规定。 \r\n 《管理指南》涉及政府采购的内容还包括资产管理、经费保障等方面。其中,对涉及信息安全资产管理的具体要求是建立并严格执行资产管理制度,指定专人负责资产管理,同时建立资产台账(清单),统一编号、标识和发放,及时记录资产状态和使用情况,保证账物相符,建立并严格执行设备维修维护和报废管理制度。对经费保障的具体要求是各级政府部门应将信息安全设施运行维护、日常信息安全管理、信息安全教育培训、信息安全检查、信息安全风险评估、信息系统等级测评、信息安全应急处置等费用纳入部门年度预算,并严格落实信息安全经费预算,保证信息安全工作的经费投入。(作者:梁爽) |
