天津市网络安全等级保护和关键信息基础设施安全保护工作宣贯会成功举办

10月19日，天津市网络安全等级保护和关键信息基础设施安全保护工作宣贯会成功举办。

本次会议由天津市公安局网络安全保卫总队指导，天津市网络与信息安全信息通报中心主办。会议旨在宣传贯彻公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》，解读《信息安全技术 网络安全等级保护定级指南》国家标准，探讨关键信息基础设施安全保护工作和密码安全建设实践。

大会伊始，由天津市公安局网络安全保卫总队副总队长杨卫、天津市国家密码管理局商用密码管理处处长郑丙建、天津市政府办公厅网络安全与信息化办公室副主任曹迎黎等与会各部门领导发表致辞讲话。

大会还特别邀请中国工程院院士沈昌祥进行主题为《按等级保护2.0可信计算3.0筑牢关键信息基础设施安全防线》的远程视频演讲，讲解了可信计算3.0的发展与创新，指出要尽快在核心技术上取得突破，加快安全可信的产品推广应用，在网络安全等级保护制度2.0标准要求下，全面使用安全可信的产品和服务，切实保障关键信息基础设施安全。

公安部网络安全保卫局处长祝国邦作题为《贯彻落实网络安全等级保护和关键信息基础设施安全保护制度指导意见解读》的主题报告，强调了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》的重要性，重点解读了前述文件，详细介绍了加强等级保护和关键信息基础设施安全保护的基本原则、工作目标和具体措施，指出各部门应贯彻落实“两个制度”的要求，全面加强等级保护与关键信息基础设施安全保护各项工作，提升关键信息基础设施、重要网络和数据安全建设与能力。

公安部信息安全等级保护评估中心主任助理李明博士就4月28日正式发布的GB/T 22240-《信息安全技术 网络安全等级保护定级指南》从专业角度进行了讲解。

商用密码应用安全性评估测评员徐士元作《规范重要信息系统密码应用-密码应用安全性评估》的主题报告，充分表明进行密码与加密算法安全建设的重要性。

未来，润成安全将基于自身行业实践经验，不断推进网络安全等级保护制度的应用和关键信息基础设施安全保护工作，为保护关键信息基础设施安全贡献力量，为国家网络强国建设保驾护航！

《贯彻落实网络安全等级保护和关键信息基础设施安全保护制度指导意见解读》部分摘要

一、指导意见制作背景

1、贯彻落实中央文件精神和《网络安全法》。

2、全面落实网络安全等级保护制度和关键信息基础设施安全保护制度。

3、健全完善网络安全综合防控体系。

4、保障关键信息基础设施、重要网络和数据安全。

二、基本原则和工作目标

（一）基本原则

1、坚持分等级保护、突出重点。重点保障关键信息基础设施、第三级以上网络、重要数据安全。

2、坚持积极防御、综合防护。充分利用人工智能、大数据分析等技术，强化安全监测、态势感知、通报预警和应急处置等工作。

3、坚持依法保护、形成合力。公安机关依法履行保卫和监管职责，行业主管部门履行本行业主管、监管责任，落实网络运营者主体防护责任。

（二）工作目标

1、网络安全等级保护制度深入贯彻实施。

2、关键信息基础设施安全保护制度建立实施。

3、网络安全监测预警和应急处置能力显著提升。

4、网络安全综合防控体系基本形成。

三、深入贯彻落实网络安全等级保护制度

按照国家网络安全等级保护制度要求，各单位、各部门在公安机关指导监督下，认真组织、深入开展网络安全等级保护工作，建立良好的网络安全保护生态，切实履行主体责任，全面提升网络安全保护能力。

（一）深化网络定级备案工作。

（二）定期开展网络安全等级测评。

➢依据《网络安全等级保护测评要求》等有关标准，对网络进行检测评估，查找可能存在的网络安全问题和隐患。

➢第三级以上网络运营者应委托等级测评机构，每年开展一次网络安全等级测评。

➢新建第三级以上网络应在通过等级测评后投入运行。

➢公安机关加强对等级测评机构的监督管理。

（三）科学开展安全建设整改。

（四）强化安全责任落实。

➢行业主管部门、 网络运营者应依据《网络安全法》等法律法规和中央关于网络安全工作责任制要求，建立网络安全等级保护工作责任制，落实责任追究制度，做到“守土有责、守土尽责”。

➢网络运营者要定期组织专门力量开展网络安全自查和检测评估，行业主管部门要组织风险评估，及时发现网络安全隐患和薄弱环节并予以整改。

（五）加强供应链安全管理。

➢应加强网络关键人员的安全管理，第三级以上网络运营者应对为其提供设计、建设、运维、技术服务的机构和人员加强管理，评估风险，并采取相应的管控措施。

➢应加强网络运维管理，因业务需要确需通过互联网远程运维的，应进行评估论证，并采取相应的管控措施。

➢应采购、使用符合国家法律法规和有关标准要求的网络产品及服务，积极应用安全可信的网络产品及服务。

（六）落实密码安全防护要求。

四、建立并实施关键信息基础设施安全保护制度

公安机关指导监督关键信息基础设施安全保护工作。各单位、各部门应加强关键信息基础设施安全的法律体系、政策体系、标准体系、保护体系、保卫体系和保障体系建设，建立并实施关键信息基础设施安全保护制度，在落实网络安全等级保护制度基础上，突出保护重点，强化保护措施，切实维护关键信息基础设施安全。

（一）组织认定关键信息基础设施。

（二）明确关键信息基础设施安全保护工作职能分工。

（三）落实关键信息基础设施重点防护措施。

（四）加强重要数据和个人信息保护。

（五）强化核心岗位人员和产品服务的安全管理。

五、加强网络安全保护工作协作配合

行业主管部门、网络运营者与公安机关要密切协同，大力开展安全监测、通报预警、应急处置、威胁情报等工作，落实常态化措施，提升应对、处置网络安全突发事件和重大风险防控能力。

（一）加强网络安全立体化监测体系建设。

（二）加强网络安全信息共享和通报预警。

（三）加强网络安全应急处置机制建设。

（四）加强网络安全事件处置和案件侦办。

（五）加强网络安全问题隐患整改督办。

六、加强网络安全工作各项保障

（一）加强组织领导。

（二）加强经费政策保障。

（三）加强考核评价。

（四）加强技术攻关。

（五）加强人才培养。