贾颖禾(代吕诚昭):各位早上好,我代表吕司长把他自己起草的稿子念一下。国家信息安全保障战略目标是全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统的安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全的战略目标。要经过五年左右的努力,基本形成国家信息安全保障体系,这是我国信息安全保障的近期的战略目标,要完成国家信息安全保障战略目标,就必须立足国情,坚持以我为主。开发自主知识产权和自主可控的先进技术,要发动全社会的力量,共同构筑国家信息安全保障体系,信息安全涉及国家利益、社会稳定和经济发展,全面影响国家安全,因此要明确国家、企业、个人的责任和义务,充分发挥各方面的作用,全社会共同构筑信息安全保障体系。要立足我国信息安全的现状,就必须充分研究和掌握我国信息安全的现状,要研究和掌握我国信息安全的现状,就必须提高信息安全风险意识,加强风险管理。
所谓信息系统的安全,风险是指由于系统存在的脆弱性,人为或自然的威胁导致信息安全的可能性,及其造成的影响和危害,构成信息系统安全风险的重要因素就是信息系统的脆弱性和各种安全危险,简单地说,信息安全问题的发生是由于存在安全风险。因此,信息安全风险管理是信息安全管理的核心问题。信息安全风险管理的目的就是要避免控制减少或者转移风险,随着信息化的发展,国家关键基础设施对信息系统的依赖性,以及信息系统间的互依赖性越来越强。信息资源越来越复杂,因此进行信息安全风险管理的需求越来越迫切。同时,风险管理的难度也将越来越大。只有进行认真的信息安全风险评估,对网络和信息系统的安全威胁和防护系统进行安全评估,才能真正对网络由于安全系统的现状做到心中有数,确实可行地进行风险控制、减少和转移。
因此,信息安全风险评估是风险管理的基础,信息安全建设和管理的起点和基础,经验证明,风险评估的结果是制定信息安全计划和战略的重要依据。提高漏洞的发现能力,是做好风险评估的关键。安全漏洞包括:信息技术产品安全漏洞、网络和信息系统的安全隐患,以及安全管理方面的薄弱环节等。
下一步需要进一步研究和加强的工作是,提高信息安全风险意识,完善和制定信息安全风险评估的标准和规范,全国信息化标准化技术委员会现在正在抓紧工作,加强信息技术产品安全漏洞分析和控制的研究,落实信息系统风险评估和管理的责任。按照谁主管谁负责,谁运营谁负责的原则,现阶段我们还要强调自主评估和自行保护。另一方面,要按照信息安全等级保护的基本制度的要求,开展风险评估和加强风险管理,做好自行定级、健全各项措施。
最后,祝大会圆满成功!谢谢。
