第一篇：公開、透明把握安全趨勢 設(shè)備商助力海外運營商構(gòu)建信息安全體系

公開、透明把握安全趨勢 設(shè)備商助力海外運營商構(gòu)建信息安全體系

移動互聯(lián)網(wǎng)應(yīng)用的豐富及模式的變化，對于運營商提出了新的要求，隨之而來的其對于信息安全的需求也發(fā)生了變化。設(shè)備商將如何應(yīng)對這些變化，來滿足運營商新的安全需求？

打鐵尚需自身硬海外市場不拒中國設(shè)備商

與華為、中興近期在美國受阻不同，近日，英國最大的電信運營商EE宣布，其4G網(wǎng)絡(luò)的基礎(chǔ)設(shè)施及解決方案由華為獨家提供。此前，美國電信運營商Clearwire也宣布將在2013年的高速移動通信網(wǎng)絡(luò)升級中，繼續(xù)使用華為的設(shè)備。EE和Clerawire都是歐美有影響的大型電信運營商，而他們的舉動，令美國國會不久前發(fā)布的“華為中興威脅美國國家安全”的調(diào)查結(jié)論不攻自破。對此，美國相關(guān)權(quán)威投資網(wǎng)站發(fā)表分析文章稱，華為目前在電信設(shè)備制造領(lǐng)域的實力有目共睹，除了可以提供電信運營商所需的各類設(shè)備外，其價格也低于思科等歐美廠商，對歐美運營商具有極大的吸引力。對此，倫敦的國際戰(zhàn)略研究所高級研究員奈杰爾·英克斯特指出，如今沒有一家美國公司能夠用美國制造的零部件建設(shè)一個4G網(wǎng)絡(luò)，像思科這樣為美國政府建造很多系統(tǒng)的公司，也要從中國采購零部件。

針對上述事實，中國工程院院士、中科院計算所研究員倪光南告訴記者：“華為、中興這些年通過自主創(chuàng)新早已具備與國外同類企業(yè)競爭的實力，這從二者所擁有的專利數(shù)可見一斑，而性價比的優(yōu)勢無疑又會讓中國企業(yè)的產(chǎn)品在海外市場競爭中得到青睞?！?/p>

同樣，華為和中興也被德國市場所熟知。例如，兩家公司都在幫助發(fā)展涉及全部德國移動運營商的超高速LTE無線網(wǎng)絡(luò)。為了表示自己產(chǎn)品的透明和安全，華為在英國甚至建立了一個安全中心，地方當局可以在此檢查他們的組件。這個安全評價中心(Security Evaluation Centre)位于英國班伯里，從2010年設(shè)立至今。在該國通過與聯(lián)邦信息安全辦公室(BSI)合作一個類似的中心也同樣在考慮中。

在飽受爭議的美國市場，為了減緩美國企業(yè)對安全問題的擔憂，華為公布了其源代碼，并允許一家名為電子沖突協(xié)會（Electronic Warfare Associates）的公司對其進行持續(xù)監(jiān)控。這一舉措在印度和英國已經(jīng)獲得成功。為此EWA公司負責基礎(chǔ)設(shè)施技術(shù)部的總裁兼CEO約翰·林奎斯特表示，華為公司接受了國防部和情報機構(gòu)最高級別的安全調(diào)查，因此可以同步所有已知的網(wǎng)絡(luò)風險。華為的客戶都可以利用EWA的調(diào)查，放心購買華為的設(shè)備。

另外，為在美國運營商中建立起信任，華為從思科、愛立信、英特爾、諾基亞、Sun、北電等公司招攬多名高管，甚至聘請前美國國務(wù)院首席律師、美國國家安全委員會顧問約翰·貝林格(John Bellinger)擔任公司顧問，并向亞德諾、博通、戴爾等美國公司采購軟件、元器件、芯片和服務(wù)。數(shù)據(jù)顯示，2006年以來，華為對美采購累計約300億美元。種種事實表明，華為用自己的公開、透明向海外運營商證明，要想用自己的產(chǎn)品、服務(wù)、方案協(xié)助構(gòu)建信息安全體系，首先需要自己的產(chǎn)品是安全可靠的，所謂打鐵先需自身硬。一體化解決方案保運營商安全

目前，電信運營商都在從網(wǎng)絡(luò)接入提供商向網(wǎng)絡(luò)服務(wù)提供商轉(zhuǎn)變，其盈利模式也在隨之發(fā)生改變，從單純向用戶提供網(wǎng)絡(luò)帶寬轉(zhuǎn)變?yōu)橥ㄟ^提供各種增值服務(wù)，如為個人用戶提供彩鈴、彩信，為家庭用戶提供互聯(lián)網(wǎng)服務(wù)、視頻點播，為企業(yè)用戶提供數(shù)據(jù)中心、在線視頻監(jiān)控、移動辦公等服務(wù)而產(chǎn)生利潤。不僅如此，越來越多的運營商在傳統(tǒng)業(yè)務(wù)上推陳出新，增加了諸多安全、存儲的增值服務(wù)。

與此同時，電信網(wǎng)絡(luò)也在向融合化、全IP化的方向發(fā)展?；贗P化固有的問題，如先天安全缺失和開放性，以及融合網(wǎng)絡(luò)帶來的“牽一發(fā)而動全身”的安全問題，安全防護產(chǎn)業(yè)也在不斷地發(fā)展變化。

“安全功能基礎(chǔ)化之后，方案的競爭優(yōu)勢越來越依賴于設(shè)備提供商的服務(wù)和咨詢；安全防護技術(shù)將向著廣而深的方向發(fā)展，覆蓋面更廣并與信息世界更加密不可分；各種安全防護產(chǎn)品的融合日益緊密。”某行業(yè)專家如此評價運營商網(wǎng)絡(luò)安全的趨勢。

所以說，安全防護已經(jīng)不是一個簡單的技術(shù)或產(chǎn)品，而是一個從分析、設(shè)計、實施、測試到運維和管理的螺旋式不斷上升的過程。設(shè)備提供商僅僅依靠產(chǎn)品的高可靠性和良好的性價比，已經(jīng)無法滿足市場需求，因為運營商需要的是能夠從運營層面，為客戶提供一體化的綜合解決方案。

例如，海外某老牌電信運營商，對網(wǎng)絡(luò)安全問題非常重視，2008年底專門邀請英國一家專業(yè)的安全服務(wù)公司，對其網(wǎng)絡(luò)實施滲透測試。測試結(jié)果顯示，網(wǎng)絡(luò)存在一定的安全漏洞，雖然暫時不會出現(xiàn)影響業(yè)務(wù)的安全事件，但卻為網(wǎng)絡(luò)長期穩(wěn)定運行埋下了安全隱患。為此，該運營商向設(shè)備商提出5年期安全規(guī)劃需求，其中涉及組織、流程、審計、運維等環(huán)節(jié)。

“在充分理解客戶需求的基礎(chǔ)上，華為提出了整網(wǎng)安全評估和規(guī)劃方案，分步驟、多層次地協(xié)助客戶進行整網(wǎng)安全建設(shè)，主要包括風險評估、安全流程設(shè)計、網(wǎng)絡(luò)安全架構(gòu)部署等。華為整體方案從咨詢、設(shè)計、集成到運維，端到端的統(tǒng)籌規(guī)劃和設(shè)計，得到了該運營商的高度認可，極大地推動了其網(wǎng)絡(luò)安全建設(shè)及業(yè)務(wù)發(fā)展，為該運營商獲得ISO27001信息安全體系認證提供了有力保障?！比A為相關(guān)人士向記者介紹。

對于上述華為的案例，業(yè)內(nèi)安全專家認為：“面對網(wǎng)絡(luò)安全挑戰(zhàn)，政府、運營商、設(shè)備制造商必須聯(lián)合在一起，任何一方都難以單獨對抗網(wǎng)絡(luò)安全問題，而設(shè)備制造商是網(wǎng)絡(luò)安全最重要的環(huán)節(jié)，因為設(shè)備商是連接上述環(huán)節(jié)的紐帶，設(shè)備商必須在設(shè)備功能上完成其安全機制。” “華為解決方案的安全性和完整性是國際業(yè)界公認的，其誠信表現(xiàn)、產(chǎn)品質(zhì)量與安全得到了全球140多個市場的認可，被超過500家運營商使用。同時，華為還引進西方管理實踐，構(gòu)建了規(guī)范的、流程化的運作管理體系，包括產(chǎn)品開發(fā)、供應(yīng)鏈管理、財務(wù)管理、人力資源、質(zhì)量管理等?！蹦呈煜とA為的業(yè)內(nèi)人士如此評價華為的實力。文章來源：移動通信http://004km.cn

第二篇：構(gòu)建信息安全保密體系

構(gòu)建信息安全保密體系

摘 要：信息安全保密已經(jīng)成為當前保密工作的重點。本文從策略和機制的角度出發(fā)，給出了信息安全保密的服務(wù)支持、標準規(guī)范、技術(shù)防范、管理保障和工作能力體系，體現(xiàn)了技術(shù)與管理相結(jié)合的信息安全保密原則。關(guān)鍵詞：信息 安全 保密 體系

一、引言

構(gòu)建信息安全保密體系，不能僅僅從技術(shù)層面入手，而應(yīng)該將管理和技術(shù)手段有機結(jié)合起來，用規(guī)范的制度約束人，同時建立、健全信息安全保密的組織體制，改變現(xiàn)有的管理模式，彌補技術(shù)、制度、體制等方面存在的不足，從標準、技術(shù)、管理、服務(wù)、策略等方面形成綜合的信息安全保密能力，如圖1所示。圖 1 信息安全保密的體系框架

該保密體系是以信息安全保密策略和機制為核心，以信息安全保密服務(wù)為支持，以標準規(guī)范、安全技術(shù)和組織管理體系為具體內(nèi)容，最終形成能夠滿足信息安全保密需求的工作能力。

二、信息安全保密的策略和機制 所謂信息安全保密策略，是指為了保護信息系統(tǒng)和信息網(wǎng)絡(luò)中的秘密，對使用者（及其代理）允許什么、禁止什么的規(guī)定。從信息資產(chǎn)安全管理的角度出發(fā)，為了保護涉密信息資產(chǎn)，消除或降低泄密風險，制訂的各種綱領(lǐng)、制度、規(guī)范和操作流程等，都屬于安全保密策略。例如：禁止（工作或技術(shù)人員）將涉密軟盤或移動存儲設(shè)備帶出涉密場所；嚴禁（使用人員將）涉密計算機（連）上互聯(lián)網(wǎng)；不允許（參觀人員）在涉密場所拍照、錄像等。

信息安全保密機制，是指實施信息安全保密策略的一種方法、工具或者規(guī)程。例如，針對前面給出的保密策略，可分別采取以下機制：為涉密移動存儲設(shè)備安裝射頻標識，為涉密場所安裝門禁和報警系統(tǒng)；登記上網(wǎng)計算機的（物理）地址，實時監(jiān)控上網(wǎng)設(shè)備；進入涉密場所前，托管所有攝錄像設(shè)備等。

根據(jù)信息系統(tǒng)和信息網(wǎng)絡(luò)的安全保密需求，在制定其安全保密策略時，應(yīng)主要從物理安全保密策略，系統(tǒng)或網(wǎng)絡(luò)的訪問控制策略，信息的加密策略，系統(tǒng)及網(wǎng)絡(luò)的安全管理策略，人員安全管理策略，內(nèi)容監(jiān)管策略等方面入手。在安全保密機制方面，應(yīng)主要從組織管理、安全控制和教育培訓等方面，針對給出的安全保密策略，確定詳細的操作或運行規(guī)程，技術(shù)標準和安全解決方案。

三、信息安全保密的服務(wù)支持體系

信息安全保密的服務(wù)支持體系，主要是由技術(shù)檢查服務(wù)、調(diào)查取證服務(wù)、風險管理服務(wù)、系統(tǒng)測評服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓服務(wù)組成的，如圖2所示。其中，風險管理服務(wù)必須貫穿到信息安全保密的整個工程中，要在信息系統(tǒng)和信息網(wǎng)絡(luò)規(guī)劃與建設(shè)的初期，就進行專業(yè)的安全風險評估與分析，并在系統(tǒng)或網(wǎng)絡(luò)的運營管理過程中，經(jīng)常性地開展保密風險評估工作，采取有效的措施控制風險，只有這樣才能提高信息安全保密的效益和針對性，增強系統(tǒng)或網(wǎng)絡(luò)的安全可觀性、可控性。其次，還要大力加強調(diào)查取證服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓服務(wù)的建設(shè)，對突發(fā)性的失泄密事件能夠快速反應(yīng)，同時盡可能提高信息系統(tǒng)、信息網(wǎng)絡(luò)管理人員的安全技能，以及他們的法規(guī)意識和防范意識，做到“事前有準備，事后有措施，事中有監(jiān)察”。

加強信息安全保密服務(wù)的主要措施包括： 借用安全評估服務(wù)幫助我們了解自身的安全性

通過安全掃描、滲透測試、問卷調(diào)查等方式對信息系統(tǒng)及網(wǎng)絡(luò)的資產(chǎn)價值、存在的脆弱性和面臨的威脅進行分析評估，確定失泄密風險的大小，并實施有效的安全風險控制。采用安全加固服務(wù)來增強信息系統(tǒng)的自身安全性 具體包括操作系統(tǒng)的安全修補、加固和優(yōu)化；應(yīng)用服務(wù)的安全修補、加固和優(yōu)化；網(wǎng)絡(luò)設(shè)備的安全修補、加固和優(yōu)化；現(xiàn)有安全制度和策略的改進與完善等。部署專用安全系統(tǒng)及設(shè)備提升安全保護等級

借助目前成熟的安全技術(shù)和產(chǎn)品來幫助我們提升整個系統(tǒng)及網(wǎng)絡(luò)的安全防護等級，可采用的產(chǎn)品包括防火墻、IDS、VPN、防病毒網(wǎng)關(guān)等。

運用安全控制服務(wù)增強信息系統(tǒng)及網(wǎng)絡(luò)的安全可觀性、可控性

通過部署面向終端、服務(wù)器和網(wǎng)絡(luò)邊界的安全控制系統(tǒng)，以及集中式的安全控制平臺，增強對整個信息系統(tǒng)及網(wǎng)絡(luò)的可觀性，以及對使用網(wǎng)絡(luò)的人員、網(wǎng)絡(luò)中的設(shè)備及其所提供服務(wù)的可控性。

加強安全保密教育培訓來減少和避免失泄密事件的發(fā)生 加強信息安全基礎(chǔ)知識及防護技能的培訓，尤其是個人終端安全技術(shù)的培訓，提高使用和管理人員的安全保密意識，以及檢查入侵、查處失泄密事件的能力。引入應(yīng)急響應(yīng)服務(wù)及時有效地處理重大失泄密事件

具體包括：協(xié)助恢復系統(tǒng)到正常工作狀態(tài)；協(xié)助檢查入侵來源、時間、方法等；對網(wǎng)絡(luò)進行安全評估，找出存在的安全隱患；做出事件分析報告；制定并貫徹實施安全改進計劃。采用安全通告服務(wù)來對竊密威脅提前預警 具體包括對緊急事件的通告，對安全漏洞和最新補丁的通告，對最新防護技術(shù)及措施的通告，對國家、軍隊的安全保密政策法規(guī)和安全標準的通告等。

四、信息安全保密的標準規(guī)范體系 信息安全保密的標準規(guī)范體系，主要是由國家和軍隊相關(guān)安全技術(shù)標準構(gòu)成的，如圖3所示。這些技術(shù)標準和規(guī)范涉及到物理場所、電磁環(huán)境、通信、計算機、網(wǎng)絡(luò)、數(shù)據(jù)等不同的對象，涵蓋信息獲取、存儲、處理、傳輸、利用和銷毀等整個生命周期。既有對信息載體的相關(guān)安全保密防護規(guī)定，也有對人員的管理和操作要求。因此，它們是設(shè)計信息安全保密解決方案，提供各種安全保密服務(wù)，檢查與查處失泄密事件的準則和依據(jù)。各部門應(yīng)該根據(jù)本單位信息系統(tǒng)、信息網(wǎng)絡(luò)的安全保密需求，以及組織結(jié)構(gòu)和使用維護人員的配置情況，制定相應(yīng)的，操作性和針對性更強的技術(shù)和管理標準。

五、信息安全保密的技術(shù)防范體系 信息安全保密的技術(shù)防范體系，主要是由電磁防護技術(shù)、信息終端防護技術(shù)、通信安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和其他安全技術(shù)組成的。這些技術(shù)措施的目的，是為了從信息系統(tǒng)和信息網(wǎng)絡(luò)的不同層面保護信息的機密性、完整性、可用性、可控性和不可否認性，進而保障信息及信息系統(tǒng)的安全，提高信息系統(tǒng)和信息網(wǎng)絡(luò)的抗攻擊能力和安全可靠性。安全保密技術(shù)是隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù)，以及各種入侵與攻擊技術(shù)的發(fā)展不斷完善和提高的，一些最新的安全防護技術(shù)，如可信計算技術(shù)、內(nèi)網(wǎng)監(jiān)控技術(shù)等，可以極大地彌補傳統(tǒng)安全防護手段存在的不足，這就為我們降低安全保密管理的難度和成本，提高信息系統(tǒng)和信息網(wǎng)絡(luò)的安全可控性和可用性，奠定了技術(shù)基礎(chǔ)。因此，信息安全保密的技術(shù)防范體系，是構(gòu)建信息安全保密體系的一個重要組成部分，應(yīng)該在資金到位和技術(shù)可行的情況下，盡可能采用最新的、先進的技術(shù)防護手段，這樣才能有效抵御不斷出現(xiàn)的安全威脅。

六、信息安全保密的管理保障體系

俗話說，信息安全是“三分靠技術(shù)，七分靠管理”。信息安全保密的管理保障體系，主要是從技術(shù)管理、制度管理、資產(chǎn)管理和風險管理等方面，加強安全保密管理的力度，使管理成為信息安全保密工作的重中之重。

技術(shù)管理主要包括對泄密隱患的技術(shù)檢查，對安全產(chǎn)品、系統(tǒng)的技術(shù)測評，對各種失泄密事件的技術(shù)取證；制度管理主要是指各種信息安全保密制度的制定、審查、監(jiān)督執(zhí)行與落實；資產(chǎn)管理主要包括涉密人員的管理，重要信息資產(chǎn)的備份恢復管理，涉密場所、計算機和網(wǎng)絡(luò)的管理，涉密移動通信設(shè)備和存儲設(shè)備的管理等；風險管理主要是指保密安全風險的評估與控制。

現(xiàn)有的安全管理，重在保密技術(shù)管理，而極大地忽視了保密風險管理，同時在制度管理和資產(chǎn)管理等方面也存在很多問題，要么是管理制度不健全，落實不到位；要么是一些重要的資產(chǎn)監(jiān)管不利，這就給失竊密和遭受網(wǎng)絡(luò)攻擊帶來了人為的隱患。加強安全管理，不但能改進和提高現(xiàn)有安全保密措施的效益，還能充分發(fā)揮人員的主動性和積極性，使信息安全保密工作從被動接受變成自覺履行。

七、信息安全保密的工作能力體系

將技術(shù)、管理與標準規(guī)范結(jié)合起來，以安全保密策略和服務(wù)為支持，就能合力形成信息安全保密工作的能力體系，如圖4所示。該能力體系既是信息安全保密工作效益與效率的體現(xiàn)，也能反映出當前信息安全保密工作是否到位。它以防護、檢測、響應(yīng)、恢復為核心，對信息安全保密的相關(guān)組織和個人進行工作考評，并通過標準化、流程化的方式加以持續(xù)改進，使信息安全保密能力隨著信息化建設(shè)的進展不斷提高。

八、結(jié)論

技術(shù)與管理相結(jié)合，是構(gòu)建信息安全保密體系應(yīng)該把握的核心原則。為了增強信息系統(tǒng)和信息網(wǎng)絡(luò)的綜合安全保密能力，重點應(yīng)該在健全上述保密體系，尤其是組織體系、管理體系、服務(wù)體系和制度（技術(shù)標準及規(guī)范）體系的基礎(chǔ)上，規(guī)范數(shù)據(jù)備份、密鑰管理、訪問授權(quán)、風險控制、身份認證、應(yīng)急響應(yīng)、系統(tǒng)及應(yīng)用安全等管理方案，努力提高系統(tǒng)漏洞掃描、信息內(nèi)容監(jiān)控、安全風險評估、入侵事件檢測、病毒預防治理、系統(tǒng)安全審計、網(wǎng)絡(luò)邊界防護等方面的技術(shù)水平。

參考文獻：

[1]信息與網(wǎng)絡(luò)安全研究新進展．全國計算機安全學術(shù)交流會論文集．第二十二卷[C]．合肥：中國科技大學出版社, 2007 [2]中國計算機學會信息保密專業(yè)委員會論文集．第十六卷[C]．合肥：中國科技大學出版社, 2006 [3]胡建偉．網(wǎng)絡(luò)安全與保密[M]．西安：西安電子科技大學出版社, 2003

第三篇：構(gòu)建信息安全保密體系.

構(gòu)建信息安全保密體系

摘要:信息安全保密已經(jīng)成為當前保密工作的重點。本文從策略和機制的角度出發(fā),給出了信息安全保密的服務(wù)支持、標準規(guī)范、技術(shù)防范、管理保障和工作能力體系,體現(xiàn)了技術(shù)與管理相結(jié)合的信息安全保密原則。

關(guān)鍵詞:信息安全保密體系

一、引言

構(gòu)建信息安全保密體系,不能僅僅從技術(shù)層面入手,而應(yīng)該將管理和技術(shù)手段有機結(jié)合起來,用規(guī)范的制度約束人,同時建立、健全信息安全保密的組織體制,改變現(xiàn)有的管理模式,彌補技術(shù)、制度、體制等方面存在的不足,從標準、技術(shù)、管理、服務(wù)、策略等方面形成綜合的信息安全保密能力,如圖1所示。

圖1 信息安全保密的體系框架

該保密體系是以信息安全保密策略和機制為核心,以信息安全保密服務(wù)為支持,以標準規(guī)范、安全技術(shù)和組織管理體系為具體內(nèi)容,最終形成能夠滿足信息安全保密需求的工作能力。

二、信息安全保密的策略和機制

所謂信息安全保密策略,是指為了保護信息系統(tǒng)和信息網(wǎng)絡(luò)中的秘密,對使用者(及其代理允許什么、禁止什么的規(guī)定。從信息資產(chǎn)安全管理的角度出發(fā),為了保護涉密信息資產(chǎn),消除或降低泄密風險,制訂的各種綱領(lǐng)、制度、規(guī)范和操作流程等,都屬于安全保密策略。例如:禁止(工作或技術(shù)人員將涉密軟盤或移動存儲設(shè)備帶出涉密場所;嚴禁(使用人員將涉密計算機(連上互聯(lián)網(wǎng);不允許(參觀人員在涉密場所拍照、錄像等。

信息安全保密機制,是指實施信息安全保密策略的一種方法、工具或者規(guī)程。例如,針對前面給出的保密策略,可分別采取以下機制:為涉密移動存儲設(shè)備安裝射頻標識,為涉密場所安裝門禁和報警系統(tǒng);登記上網(wǎng)計算機的(物理地址,實時監(jiān)控上網(wǎng)設(shè)備;進入涉密場所前,托管所有攝錄像設(shè)備等。

根據(jù)信息系統(tǒng)和信息網(wǎng)絡(luò)的安全保密需求,在制定其安全保密策略時,應(yīng)主要從物理安全保密策略,系統(tǒng)或網(wǎng)絡(luò)的訪問控制策略,信息的加密策略,系統(tǒng)及網(wǎng)絡(luò)的安全管理策略,人員安全管理策略,內(nèi)容監(jiān)管策略等方面入手。在安全保密機制方面,應(yīng)主要從組織管理、安全控制和教育培訓等方面,針對給出的安全保密策略,確定詳細的操作或運行規(guī)程,技術(shù)標準和安全解決方案。

三、信息安全保密的服務(wù)支持體系

信息安全保密的服務(wù)支持體系,主要是由技術(shù)檢查服務(wù)、調(diào)查取證服務(wù)、風險管理服務(wù)、系統(tǒng)測評服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓服務(wù)組成的,如圖2所示。其中,風險管理服務(wù)必須貫穿到信息安全保密的整個工程中,要在信息系統(tǒng)和信息網(wǎng)絡(luò)規(guī)劃與建設(shè)的初期,就進行專業(yè)的安全風險評估與分析,并在系統(tǒng)或網(wǎng)絡(luò)的運營管理過程中,經(jīng)常性地開展保密風險評估工作,采取有效的措施控制風險,只有這樣才能提高信息安全保密的效益和針對性,增強系統(tǒng)或網(wǎng)絡(luò)的安全可觀性、可控性。其次,還要大力加強調(diào)查取證服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓服務(wù)的建設(shè),對突發(fā)性的失泄密事件能夠快速反應(yīng),同時盡可能提高信息系統(tǒng)、信息網(wǎng)絡(luò)管理人員的安全技能,以及他們的法規(guī)意識和防范意識,做到“事前有準備,事后有措施,事中有監(jiān)察”。

加強信息安全保密服務(wù)的主要措施包括: 借用安全評估服務(wù)幫助我們了解自身的安全性

通過安全掃描、滲透測試、問卷調(diào)查等方式對信息系統(tǒng)及網(wǎng)絡(luò)的資產(chǎn)價值、存在的脆弱性和面臨的威脅進行分析評估,確定失泄密風險的大小,并實施有效的安全風險控制。

采用安全加固服務(wù)來增強信息系統(tǒng)的自身安全性

具體包括操作系統(tǒng)的安全修補、加固和優(yōu)化;應(yīng)用服務(wù)的安全修補、加固和優(yōu)化;網(wǎng)絡(luò)設(shè)備的安全修補、加固和優(yōu)化;現(xiàn)有安全制度和策略的改進與完善等。

部署專用安全系統(tǒng)及設(shè)備提升安全保護等級

借助目前成熟的安全技術(shù)和產(chǎn)品來幫助我們提升整個系統(tǒng)及網(wǎng)絡(luò)的安全防護等級,可采用的產(chǎn)品包括防火墻、IDS、VPN、防病毒網(wǎng)關(guān)等。

運用安全控制服務(wù)增強信息系統(tǒng)及網(wǎng)絡(luò)的安全可觀性、可控性

通過部署面向終端、服務(wù)器和網(wǎng)絡(luò)邊界的安全控制系統(tǒng),以及集中式的安全控制平臺,增強對整個信息系統(tǒng)及網(wǎng)絡(luò)的可觀性,以及對使用網(wǎng)絡(luò)的人員、網(wǎng)絡(luò)中的設(shè)備及其所提供服務(wù)的可控性。

加強安全保密教育培訓來減少和避免失泄密事件的發(fā)生

加強信息安全基礎(chǔ)知識及防護技能的培訓,尤其是個人終端安全技術(shù)的培訓,提高使用和管理人員的安全保密意識,以及檢查入侵、查處失泄密事件的能力。

引入應(yīng)急響應(yīng)服務(wù)及時有效地處理重大失泄密事件

具體包括:協(xié)助恢復系統(tǒng)到正常工作狀態(tài);協(xié)助檢查入侵來源、時間、方法等;對網(wǎng)絡(luò)進行安全評估,找出存在的安全隱患;做出事件分析報告;制定并貫徹實施安全改進計劃。

采用安全通告服務(wù)來對竊密威脅提前預警

具體包括對緊急事件的通告,對安全漏洞和最新補丁的通告,對最新防護技術(shù)及措施的通告,對國家、軍隊的安全保密政策法規(guī)和安全標準的通告等。

四、信息安全保密的標準規(guī)范體系

信息安全保密的標準規(guī)范體系,主要是由國家和軍隊相關(guān)安全技術(shù)標準構(gòu)成的,如圖3所示。這些技術(shù)標準和規(guī)范涉及到物理場所、電磁環(huán)境、通信、計算機、網(wǎng)絡(luò)、數(shù)據(jù)等不同的對象,涵蓋信息獲取、存儲、處理、傳輸、利用和銷毀等整個生命周期。既有對信息載體的相關(guān)安全保密防護規(guī)定,也有對人員的管理和操作要求。因此,它們是設(shè)計信息安全保密解決方案,提供各種安全保密服務(wù),檢查與查處失泄密事件的準則和依據(jù)。各部門應(yīng)該根據(jù)本單位信息系統(tǒng)、信息網(wǎng)絡(luò)的安全保密需

求,以及組織結(jié)構(gòu)和使用維護人員的配置情況,制定相應(yīng)的,操作性和針對性更強的技術(shù)和管理標準。

五、信息安全保密的技術(shù)防范體系

信息安全保密的技術(shù)防范體系,主要是由電磁防護技術(shù)、信息終端防護技術(shù)、通信安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和其他安全技術(shù)組成的。這些技術(shù)措施的目的,是為了從信息系統(tǒng)和信息網(wǎng)絡(luò)的不同層面保護信息的機密性、完整性、可用性、可控性和不可否認性,進而保障信息及信息系統(tǒng)的安全,提高信息系統(tǒng)和信息網(wǎng)絡(luò)的抗攻擊能力和安全可靠性。安全保密技術(shù)是隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù),以及各種入侵與攻擊技術(shù)的發(fā)展不斷完善和提高的,一些最新的安全防護技術(shù),如可信計算技術(shù)、內(nèi)網(wǎng)監(jiān)控技術(shù)等,可以極大地彌補傳統(tǒng)安全防護手段存在的不足,這就為我們降低安全保密管理的難度和成本,提高信息系統(tǒng)和信息網(wǎng)絡(luò)的安全可控性和可用性,奠定了技術(shù)基礎(chǔ)。因此,信息安全保密的技術(shù)防范體系,是構(gòu)建信息安全保密體系的一個重要組成部分,應(yīng)該在資金到位和技術(shù)可行的情況下,盡可能采用最新的、先進的技術(shù)防護手段,這樣才能有效抵御不斷出現(xiàn)的安全威脅。

六、信息安全保密的管理保障體系

俗話說,信息安全是“三分靠技術(shù),七分靠管理”。信息安全保密的管理保障體系,主要是從技術(shù)管理、制度管理、資產(chǎn)管理和風險管理等方面,加強安全保密管理的力度,使管理成為信息安全保密工作的重中之重。

技術(shù)管理主要包括對泄密隱患的技術(shù)檢查,對安全產(chǎn)品、系統(tǒng)的技術(shù)測評,對各種失泄密事件的技術(shù)取證;制度管理主要是指各種信息安全保密制度的制定、審查、監(jiān)督執(zhí)行與落實;資產(chǎn)管理主要包括涉密人員的管理,重要信息資產(chǎn)的備份恢復管理,涉密場所、計算機和網(wǎng)

絡(luò)的管理,涉密移動通信設(shè)備和存儲設(shè)備的管理等;風險管理主要是指保密安全風險的評估與控制。

現(xiàn)有的安全管理,重在保密技術(shù)管理,而極大地忽視了保密風險管理,同時在制度管理和資產(chǎn)管理等方面也存在很多問題,要么是管理制度不健全,落實不到位;要么是一些重要的資產(chǎn)監(jiān)管不利,這就給失竊密和遭受網(wǎng)絡(luò)攻擊帶來了人為的隱患。加強安全管理,不但能改進和提高現(xiàn)有安全保密措施的效益,還能充分發(fā)揮人員的主動性和積極性,使信息安全保密工作從被動接受變成自覺履行。

七、信息安全保密的工作能力體系

將技術(shù)、管理與標準規(guī)范結(jié)合起來,以安全保密策略和服務(wù)為支持,就能合力形成信息安全保密工作的能力體系,如圖4所示。該能力體系既是信息安全保密工作效益與效率的體現(xiàn),也能反映出當前信息安全保密工作是否到位。它以防護、檢測、響應(yīng)、恢復為核心,對信息安全保密的相關(guān)組織和個人進行工作考評,并通過標準化、流程化的方式加以持續(xù)改進,使信息安全保密能力隨著信息化建設(shè)的進展不斷提高。

八、結(jié)論

技術(shù)與管理相結(jié)合,是構(gòu)建信息安全保密體系應(yīng)該把握的核心原則。為了增強信息系統(tǒng)和信息網(wǎng)絡(luò)的綜合安全保密能力,重點應(yīng)該在健全上述保密體系,尤其是組織體系、管理體系、服務(wù)體系和制度(技術(shù)標準及規(guī)范體系的基礎(chǔ)上,規(guī)范數(shù)據(jù)備份、密鑰管理、訪問授權(quán)、風險控制、身份認證、應(yīng)急響應(yīng)、系統(tǒng)及應(yīng)用安全等管理方案,努力提高系統(tǒng)漏洞掃描、信息內(nèi)容監(jiān)控、安全風險評估、入侵事件檢測、病毒預防治理、系統(tǒng)安全審計、網(wǎng)絡(luò)邊界防護等方面的技術(shù)水平。

參考文獻: [1]信息與網(wǎng)絡(luò)安全研究新進展.全國計算機安全學術(shù)交流會論文集.第二十二卷[C].合肥:中國科技大學出版社, 2007 [2]中國計算機學會信息保密專業(yè)委員會論文集.第十六卷[C].合肥:中國科技大學出版社, 2006

[3]胡建偉.網(wǎng)絡(luò)安全與保密[M].西安:西安電子科技大學出版社, 2003

第四篇：五步構(gòu)建信息安全運維體系

五步構(gòu)建信息安全運維體系

隨著信息安全管理體系和技術(shù)體系在信息安全建設(shè)中不斷推進，占信息系統(tǒng)生命周期70%-80%的信息安全運維體系的建設(shè)已經(jīng)越來越被廣大用戶重視。尤其是隨著信息系統(tǒng)建設(shè)工作從大規(guī)模建設(shè)階段逐步轉(zhuǎn)型到“建設(shè)和運維”并舉的發(fā)展階段，信息安全負責人員需要管理越來越龐大的IT系統(tǒng)的情況下，信息安全運維體系建設(shè)已經(jīng)被提到了一個空前的高度上。

目前，大多數(shù)的信息安全運維體系的服務(wù)水平處在一個被動的階段。這主要表現(xiàn)在信息技術(shù)和設(shè)備的應(yīng)用越來越多，但運維人員在信息系統(tǒng)出現(xiàn)安全事件的時候卻茫然不知所措。究其原因，是該組織未建設(shè)成完整的信息安全運維體系。

正是因為目前運維服務(wù)中存在的弊端，山東省軟件評測中心依靠長期從事信息系統(tǒng)運維服務(wù)的經(jīng)驗，同時結(jié)合信息安全保障體系建設(shè)中運維體系建設(shè)的要求，遵循ITIL、ISO/IEC 27000系列服務(wù)標準、等級保護和分級保護制度，建立了一整套信息安全運維服務(wù)管理的建設(shè)方案。

信息安全運維體系的構(gòu)建第一步：建立安全運維監(jiān)控中心

基于關(guān)鍵業(yè)務(wù)點面向業(yè)務(wù)系統(tǒng)可用性和業(yè)務(wù)連續(xù)性進行合理布控和監(jiān)測，以關(guān)鍵績效指標指導和考核信息系統(tǒng)運行質(zhì)量和運維管理工作的實施和執(zhí)行，幫助用戶建立全面覆蓋信息系統(tǒng)的監(jiān)測中心，并對各類事件做出快速、準確的定位和展現(xiàn)。實現(xiàn)對信息系統(tǒng)運行動態(tài)的快速掌握，以及運行維護管理過程中的事前預警、事發(fā)時快速定位。其主要包括：

● 集中監(jiān)控：采用開放的、遵循國際標準的、可擴展的架構(gòu)，整合各類監(jiān)控管理工具的監(jiān)控信息，實現(xiàn)對信息資產(chǎn)的集中監(jiān)視、查看和管理的智能化、可視化監(jiān)控系統(tǒng)。監(jiān)控的主要內(nèi)容包括：基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、通信、安全、主機、中間件、數(shù)據(jù)庫和核心應(yīng)用系統(tǒng)等。

● 綜合展現(xiàn)：合理規(guī)劃與布控，整合來自各種不同的監(jiān)控管理工具和信息源，進行標準化、歸一化的處理，并進行過濾和歸并，實現(xiàn)集中、綜合的展現(xiàn)?！?快速定位和預警：經(jīng)過同構(gòu)和歸并的信息，將依據(jù)預先配置的規(guī)則、事件知識庫、關(guān)聯(lián)關(guān)系進行快速的故障定位，并根據(jù)預警條件進行預警。

構(gòu)建第二步：建立安全運維告警中心

基于規(guī)則配置和自動關(guān)聯(lián)，實現(xiàn)對監(jiān)控采集、同構(gòu)、歸并的信息的智能關(guān)聯(lián)判別，并綜合的展現(xiàn)信息系統(tǒng)中發(fā)生的預警和告警事件，幫助運維管理人員快速定位、排查問題所在。

同時，告警中心提供多種告警響應(yīng)方式，內(nèi)置與事件響應(yīng)中心的工單和預案處理接口，可依據(jù)事件關(guān)聯(lián)和響應(yīng)規(guī)則的定義，觸發(fā)相應(yīng)的預案處理，實現(xiàn)運維管理過程中突發(fā)事件和問題處理的自動化和智能化。其中只要包括：

事件基礎(chǔ)庫維護：是事件知識庫的基礎(chǔ)定義，內(nèi)置大量的標準事件，按事件類型進行合理劃分和維護管理，可基于事件名稱和事件描述信息進行歸一化處理的配置，定義了多源、異構(gòu)信息的同構(gòu)規(guī)則和過濾規(guī)則。

智能關(guān)聯(lián)分析：借助基于規(guī)則的分析算法，對獲取的各類信息進行分析，找到信息之間的邏輯關(guān)系，結(jié)合安全事件產(chǎn)生的網(wǎng)絡(luò)環(huán)境、資產(chǎn)重要程度，對安全事件進行深度分析，消除安全事件的誤報和重復報警。

綜合查詢和展現(xiàn)：實現(xiàn)了多種視角的故障告警信息和業(yè)務(wù)預警信息的查詢和集中展現(xiàn)。

告警響應(yīng)和處理：提供了事件生成、過濾、短信告警、郵件告警、自動派發(fā)工單、啟動預案等多種響應(yīng)方式，內(nèi)置監(jiān)控界面的圖形化告警方式；提供了與事件響應(yīng)中心的智能接口，可基于事件關(guān)聯(lián)響應(yīng)規(guī)則自動生成工單并觸發(fā)相應(yīng)的預案工作流進行處理。

構(gòu)建第三步：建立安全運維事件響應(yīng)中心

借鑒并融合了ITIL（信息系統(tǒng)基礎(chǔ)設(shè)施庫）/ITSM（IT服務(wù)管理）的先進管理規(guī)范和最佳實踐指南，借助工作流模型參考等標準，開發(fā)圖形化、可配置的工作流程管理系統(tǒng)，將運維管理工作以任務(wù)和工作單傳遞的方式，通過科學的、符合用戶運維管理規(guī)范的工作流程進行處置，在處理過程中實現(xiàn)電子化的自動流轉(zhuǎn)，無需人工干預，縮短了流程周期，減少人工錯誤，并實現(xiàn)對事件、問題處理過程中的各個環(huán)節(jié)的追蹤、監(jiān)督和審計。其中包括：

圖形化的工作流建模工具：實現(xiàn)預案建模的圖形化管理，簡單易用的預案流程的創(chuàng)建和維護，簡潔的工作流仿真和驗證。

可配置的預案流程：所有運維管理流程均可由用戶自行配置定義，即可實現(xiàn)ITIL/ITSM的主要運維管理流程，又可根據(jù)用戶的實際管理要求和規(guī)范，配置個性化的任務(wù)、事件處理流程。

智能化的自動派單：智能的規(guī)則匹配和處理，基于用戶管理規(guī)范的自動處理，降低事件、任務(wù)發(fā)起到處理的延時，以及人工派發(fā)的誤差。

全程的事件處理監(jiān)控：實現(xiàn)對事件響應(yīng)處理全過程的跟蹤記錄和監(jiān)控，根據(jù)ITIL管理建議和用戶運維要求，對事件處理的響應(yīng)時限和處理時限的監(jiān)督和催辦。

事件處理經(jīng)驗的積累：實現(xiàn)對事件處理過程的備案和綜合查詢，幫助用戶在處理事件時查找歷史處理記錄和流程，為運維管理工作積累經(jīng)驗。

構(gòu)建第四步：建立安全運維審核評估中心

該中心提供對信息系統(tǒng)運行質(zhì)量、服務(wù)水平、運維管理工作績效的綜合評估、考核、審計管理功能。其中包括：

評估：遵循國際和工業(yè)標準及指南建立平臺的運行質(zhì)量評估框架，通過評估模型使用戶了解運維需求、認知運行風險、采取相應(yīng)的保護和控制，有效的保證信息系統(tǒng)的建設(shè)投入與運行風險的平衡，系統(tǒng)地保證信息化建設(shè)的投資效益，提高關(guān)鍵業(yè)務(wù)應(yīng)用的連續(xù)性。

考核：是為了在評價過程中避免主觀臆斷和片面隨意性，應(yīng)實現(xiàn)工作量、工作效率、處理考核、狀態(tài)考核等功能。

審計：是以跨平臺多數(shù)據(jù)源信息安全審計為框架，以電子數(shù)據(jù)處理審計為基礎(chǔ)的信息審計系統(tǒng)。主要包括：系統(tǒng)流程和輸入輸出數(shù)據(jù)以及數(shù)據(jù)接口的完整性、合規(guī)性、有效性、真實性審計。構(gòu)建第五步：以信息資產(chǎn)管理為核心

IT資產(chǎn)管理是全面實現(xiàn)信息系統(tǒng)運行維護管理的基礎(chǔ)，提供的豐富的IT資產(chǎn)信息屬性維護和備案管理，以及對業(yè)務(wù)應(yīng)用系統(tǒng)的備案和配置管理。

基于關(guān)鍵業(yè)務(wù)點配置關(guān)鍵業(yè)務(wù)的基礎(chǔ)設(shè)施關(guān)聯(lián)，通過資產(chǎn)對象信息配置豐富業(yè)務(wù)應(yīng)用系統(tǒng)的運行維護內(nèi)容，實現(xiàn)各類IT基礎(chǔ)設(shè)施與用戶關(guān)鍵業(yè)務(wù)的有機結(jié)合，以及全面的綜合監(jiān)控。這其中包括：

綜合運行態(tài)勢：是全面整合現(xiàn)有各類設(shè)備和系統(tǒng)的各類異構(gòu)信息，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)和終端管理中各種事件，經(jīng)過分析后的綜合展現(xiàn)界面，注重對信息系統(tǒng)的運行狀態(tài)、綜合態(tài)勢的宏觀展示。

系統(tǒng)采集管理：以信息系統(tǒng)內(nèi)各種IT資源及各個核心業(yè)務(wù)系統(tǒng)的監(jiān)控管理為主線，采集相關(guān)異構(gòu)監(jiān)控系統(tǒng)的信息，通過對不同來源的信息數(shù)據(jù)的整合、同構(gòu)、規(guī)格化處理、規(guī)則匹配，生成面向運行維護管理的事件數(shù)據(jù)，實現(xiàn)信息的共享和標準化。

系統(tǒng)配置管理：從系統(tǒng)容錯、數(shù)據(jù)備份與恢復和運行監(jiān)控三個方面著手建立自身的運行維護體系，采用平臺監(jiān)測器實時監(jiān)測、運行檢測工具主動檢查相結(jié)合的方式，構(gòu)建一個安全穩(wěn)定的系統(tǒng)。

第五篇：廣東省工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開和誠信體系建設(shè)工作實施方案

廣東省工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開

和誠信體系建設(shè)工作實施方案

為貫徹落實省工程建設(shè)領(lǐng)域項目信息公開和誠信體系建設(shè)試點工作會議精神，扎實有效地做好項目安全生產(chǎn)信息公開和誠信體系建設(shè)工作，根據(jù)《廣東省工程建設(shè)領(lǐng)域項目信息公開和誠信體系建設(shè)試點工作方案》安排，決定在全省安全監(jiān)管系統(tǒng)開展工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開和誠信體系建設(shè)工作，力爭在2010年6月底前完成全省安全監(jiān)管系統(tǒng)的項目安全生產(chǎn)信息公開和誠信體系建設(shè)的基本框架及運行機制。

一、工作目標

2010年6月底前，全省安全監(jiān)管系統(tǒng)制定和發(fā)布適用于本系統(tǒng)的工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開和信用信息目錄，依托政府網(wǎng)站建立“工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開專欄”，整合建立相對集中的項目安全生產(chǎn)信息公開服務(wù)平臺，加強安全生產(chǎn)信用信息的公開共享，重點做好工程建設(shè)領(lǐng)域生產(chǎn)安全事故從業(yè)單位和從業(yè)人員不良行為信息的公開，探索建立工程建設(shè)領(lǐng)域安全生產(chǎn)誠信體系的守信激勵和失信懲戒制度。

二、試點范圍

全省二十一個地市安全監(jiān)管部門以及廣州、深圳、珠海、佛山、惠州、東莞、中山、江門、肇慶市各縣級安全監(jiān)管部門。

三、工作任務(wù)

（一）編制和發(fā)布工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開和信用信息目錄。以《工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開基本指導目錄（試行）》、《工程建設(shè)領(lǐng)域信用信息基本指導目錄（試-1-

行）》（見附件）為指導，各地市和有關(guān)區(qū)縣安全監(jiān)管部門結(jié)合實際，按照“誰制作、誰公開，誰保存、誰公開”的原則，制定和公布本部門工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開和信用信息目錄，進一步明確和細化信息公開的內(nèi)容、形式和責任主體，規(guī)范有序地推進安全生產(chǎn)信用信息公開共享的實施。

（二）依托政府網(wǎng)站建立“工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開專欄”。以項目安全生產(chǎn)信息公開目錄為要求，各地（及有關(guān)區(qū)縣）安全監(jiān)管部門在本單位政府網(wǎng)站上開設(shè)“工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開專欄”，發(fā)布有關(guān)工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息，實現(xiàn)頁面展現(xiàn)、信息導航、訪問權(quán)限等發(fā)布、管理及服務(wù)功能，并及時更新信息。

（三）整合建立信息公開服務(wù)平臺。各地和有關(guān)區(qū)縣安全監(jiān)管單位要做好項目安全生產(chǎn)信息公開專欄與政府門戶網(wǎng)站設(shè)立的工程建設(shè)領(lǐng)域項目信息公開專欄鏈接，配合做好信息共享服務(wù)。

（四）促進從業(yè)單位和人員不良行為信息公開、共享應(yīng)用。各地及有關(guān)區(qū)縣安全監(jiān)管部門基于“工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開專欄”，制定并發(fā)布信用信息采集、審核、發(fā)布、更正和使用的相關(guān)管理規(guī)定，及時發(fā)布從業(yè)單位和從業(yè)人員的安全生產(chǎn)信用信息，促進信用信息在工程建設(shè)領(lǐng)域誠信體系建設(shè)中的共享應(yīng)用。

（五）建立和完善守信激勵制度和失信懲戒制度。各地及有關(guān)區(qū)縣安全監(jiān)管部門根據(jù)安全生產(chǎn)誠信體系建設(shè)的需要，結(jié)合安全生產(chǎn)工作實際，圍繞從業(yè)單位和從業(yè)人員的信用管理，制定并發(fā)布安全生產(chǎn)信用信息管理、良好行為和不良行為認定、信譽評價管理等相關(guān)規(guī)定，推進守信激勵制度和失信懲戒制度建設(shè)，完善市場準入和退出機制，加強守信激勵和失信懲戒。

（六）加強工程建設(shè)項目安全生產(chǎn)信息公開的監(jiān)督和檢查。省局治工辦按月檢查各地信息公開工作，有關(guān)情況報省專項治理領(lǐng)導小組辦公室。

四、時間安排

（一）2010年4月25日前，全省各級安全監(jiān)管系統(tǒng)成立本單位工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開和誠信體系建設(shè)協(xié)調(diào)小組，建立工作機制。

（二）2010年5月15日前，各級安全監(jiān)管系統(tǒng)按照當?shù)刂喂まk要求編制本部門工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開和誠信體系建設(shè)實施方案，進一步細化實施任務(wù)、明確責任人，實施方案報省局治工辦。

（三）2010年5月30日前，各地安全監(jiān)管部門編制并發(fā)布本部門工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開和信用信息目錄，制定并發(fā)布信用信息采集、審核、發(fā)布、更正和使用的相關(guān)管理規(guī)定。

（四）2010年5月30前，各地安全監(jiān)管部門梳理完成2009年以來本級項目安全生產(chǎn)信息公開資料以及可公開的從業(yè)單位和從業(yè)人員信用信息，在政府網(wǎng)站上建立“工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開專欄”，發(fā)布項目安全生產(chǎn)信用公開信息。

（五）2010年5月30日前，各地安全監(jiān)管部門制定并發(fā)布安全生產(chǎn)信用信息管理、良好行為和不良行為認定、信譽評價管理等相關(guān)規(guī)定。

（六）2010年6月10日前，各地安全監(jiān)管部門做好本部門

開展信息公開和誠信體系建設(shè)的工作情況，形成書面材料報省局治工辦。

五、保障措施

（一）加強組織領(lǐng)導。省局成立工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開和誠信體系建設(shè)協(xié)調(diào)小組，負責全省安全監(jiān)管系統(tǒng)實施的組織、指導、督促、檢查等工作。各市、縣安全監(jiān)管部門要按照省的要求成立協(xié)調(diào)小組，負責實施本級項目安全生產(chǎn)信息公開和信用信息公開共享各項工作。

（二）加強監(jiān)督檢查。制定《工程建設(shè)領(lǐng)域項目安全生產(chǎn)信息公開檢查指標》，建立定期檢查和匯報機制，編發(fā)工作通報，及時發(fā)現(xiàn)實施過程中的問題，按計劃推進實施工作的開展。

（三）加強溝通聯(lián)系。各級安全監(jiān)管部門在開展工作中遇到的問題，要及時向當?shù)刂喂まk報告。有關(guān)工作開展情況及時上報上一級安全監(jiān)管部門。

基本指導目錄（試行）

一、項目安全監(jiān)管信息

1、項目督查檢查情況通報

2、項目安全隱患整改情況

二、項目生產(chǎn)安全事故信息

1、發(fā)生事故情況

2、事故查處情況

三、其他相關(guān)信息

基本指導目錄（試行）

一、從業(yè)單位安全生產(chǎn)信用信息

1、安全生產(chǎn)良好行為記錄信息（包括被各級政府部門評為安全生產(chǎn)先進單位的情況）

2、安全生產(chǎn)不良行為記錄信息（包括在各級政府部門檢查中發(fā)現(xiàn)問題以及發(fā)生事故情況）

二、從業(yè)人員信用信息

1、從業(yè)人員良好行為記錄信息（包括被各級政府部門評為安全生產(chǎn)先進個人的情況）

2、從業(yè)人員不良行為記錄信息（包括從業(yè)人員違章指揮、違章作業(yè)等情況）

三、其他相關(guān)信息