¿Está buscando el informe de propuesta "Investigación sobre la situación actual y contramedidas de la seguridad de la información en China"? Durante mucho tiempo, la gente se ha centrado en confiar en la tecnología para garantizar la seguridad de la información, desde las primeras tecnologías de cifrado, copias de seguridad de datos y antivirus hasta firewalls, detección de intrusiones y autenticación de identidad en el entorno de red reciente. Los fabricantes no escatiman esfuerzos en la investigación y el desarrollo de tecnologías y productos de seguridad, y constantemente surgen nuevas tecnologías y nuevos productos. Los consumidores también confían más en los productos de seguridad e invierten su único presupuesto en la compra de productos de seguridad. Pero, de hecho, depender únicamente de la tecnología y los productos para garantizar la seguridad de la información suele ser insatisfactorio. Los productos no pueden eliminar muchas amenazas de seguridad complejas y en constante cambio y peligros ocultos. "Tres puntos de tecnología y siete puntos de gestión" son experiencias prácticas y principios resumidos en otros campos, y también son aplicables al campo de la seguridad de la información. Según las estadísticas de los departamentos pertinentes, alrededor del 52% de todos los incidentes de seguridad informática son causados ​​por factores humanos, el 25% son causados ​​por desastres naturales como incendios e inundaciones, el 10% son causados ​​por errores técnicos y el 10% son causados ​​por personal interno. de la organización sólo alrededor del 3% son causados ​​por ataques de personal externo ilegal. En clasificación simple, las razones de gestión representan más del 70% y el 95% de estos problemas de seguridad se pueden evitar mediante la gestión científica de la seguridad de la información. Por lo tanto, la gestión se convierte en una base importante para la seguridad de la información. 1. Situación actual de la gestión de la seguridad de la información en mi país (1) Se ha establecido inicialmente un sistema organizativo nacional de garantía de la seguridad de la información. La Oficina de Información del Consejo de Estado ha establecido un grupo líder de seguridad de la información y la red compuesto por departamentos funcionales como el Ministerio de Industria de la Información, el Ministerio de Seguridad Pública, la Administración Nacional del Secreto, la Asociación Nacional de Gestión de Criptozoología y el Ministerio de Seguridad Nacional. Cada provincia, ciudad y prefectura autónoma también ha establecido las agencias de gestión correspondientes. En julio de 2003, la tercera reunión del Grupo Dirigente de Informatización del Consejo de Estado discutió y adoptó las "Opiniones sobre el fortalecimiento de la seguridad de la información". En septiembre del mismo año, la Oficina General del Comité Central y la Oficina General del Consejo de Estado remitieron las "Opiniones del Grupo Dirigente Nacional sobre el Fortalecimiento de la Seguridad de la Información" (Documento 2003 [27]). El Documento No. 27 elevó por primera vez la seguridad de la información al nivel de promover el desarrollo económico, mantener la estabilidad social, salvaguardar la seguridad nacional y fortalecer la civilización espiritual, y propuso una política de gestión de la seguridad de la información de "defensa activa y prevención integral". En julio de 2003, se estableció el Centro de Coordinación Técnica de Respuesta a Emergencias de la Red Informática Nacional (CNCERT/CC), responsable de recopilar, resumir, verificar y publicar información autorizada sobre respuesta a emergencias, brindar servicios de respuesta a emergencias a importantes departamentos nacionales y coordinar la organización y el procesamiento del CERT. En todo el país, para incidentes de seguridad de redes a gran escala, recopilar datos relacionados con la respuesta a emergencias informáticas en todo el país, proponer las contramedidas correspondientes en función de la situación actual y comunicarse con los CERT de otros países y regiones. Actualmente, se han establecido 31 subcentros en todo el país y se ha autorizado a 10 unidades piloto nacionales de respuesta a emergencias de Internet pública, 20 unidades piloto provinciales de respuesta a emergencias de Internet pública y 10 empresas operadoras nacionales de Internet troncal a establecer sus propios centros de respuesta a emergencias. (CERT). Estos 10 operadores de Internet, junto con miles de ISP nacionales, usuarios individuales y usuarios empresariales, se han convertido en los principales miembros de contacto de CNCERT/CC, formando así un sistema de emergencia tridimensional y entrelazado y un sistema de notificación para la transmisión fluida de las principales noticias. abajo información. En mayo de 2001, se estableció el Centro de Certificación y Evaluación de Productos de Seguridad de la Información de China (CNITSEC) para representar la agencia funcional nacional de evaluación y certificación de la seguridad de la información y gestionar y operar el sistema nacional de certificación y evaluación de la seguridad de la información de acuerdo con las leyes y regulaciones nacionales sobre productos. certificación de calidad y gestión de seguridad de la información. Responsable de la evaluación y certificación de productos y tecnologías de la información de seguridad de la información nacionales y extranjeros, la evaluación y certificación de seguridad de sistemas y proyectos de información nacionales, la evaluación y certificación de organizaciones y unidades que brindan servicios de seguridad de la información, y la evaluación y certificación de calificación de profesionales de seguridad de la información. Actualmente, cuenta con cinco centros autorizados de evaluación y certificación en Shanghai, noreste, suroeste, centro de China y norte de China y dos laboratorios de tecnología de evaluación y seguridad de sistemas. (2) Se han formulado y promulgado una serie de normas importantes de gestión de la seguridad de la información.

Para promover mejor la gestión de la seguridad de la información de mi país, el Ministerio de Seguridad Pública presidió la formulación del Estándar Nacional de la República Popular China GB17895-1999 "Estándar de clasificación de protección de seguridad del sistema de información informática" e introdujo el internacionalmente reconocido ISO 17799. : 2000: Directrices de implementación de gestión de seguridad de la información, BS 7799-2: 2002: Especificación de implementación del sistema de gestión de seguridad de la información, ISO/IEC 15408:198 El Comité de Normalización de Seguridad de la Información tiene 10 grupos de trabajo, entre los cuales el Grupo de Trabajo de Gestión de Seguridad de la Información es responsable de poner presentar requisitos normativos para la gestión administrativa, técnica y de personal de la seguridad de la información y orientación, incluidas directrices de gestión de la seguridad de la información, especificaciones de implementación de la gestión de la seguridad de la información, requisitos de capacitación, educación y empleo del personal, especificaciones de gestión de servicios socializados de seguridad de la información, especificaciones comerciales de seguros de seguridad de la información. requisitos y orientaciones sobre el marco y la política de seguridad. (3) Se han formulado una serie de leyes y reglamentos necesarios para la gestión de la seguridad de la información. Desde principios de la década de 1990, para satisfacer las necesidades de la gestión de la seguridad de la información, el estado, los departamentos pertinentes, las industrias y los gobiernos locales han formulado sucesivamente el "Reglamento provisional de la República Popular China sobre la gestión de redes internacionales de redes de información informática". , "Reglamento sobre la gestión de la criptozoología comercial", "Medidas de gestión de los servicios de información de Internet", "Medidas de gestión de la protección de la seguridad de la red internacional de la red de información informática", "Medidas de gestión de la prevención y el control de virus informáticos", etc. Reglamento de gestión de servicios del tablón de anuncios de Internet, medidas de gestión de productos de software y reglamento provisional sobre la administración de la interconexión de redes de telecomunicaciones. (4) La evaluación de riesgos de seguridad de la información se toma en serio y la evaluación de riesgos es una de las tareas centrales de la gestión de la seguridad de la información. En julio de 2003, el Grupo de Evaluación de Riesgos de Seguridad de la Información de la Oficina Estatal de Información comenzó a preparar normas pertinentes para la evaluación de riesgos de seguridad de la información. Como pioneros, China Railway System y Beijing Mobile Communications Company han completado el trabajo piloto de evaluación de riesgos de seguridad de la información, y otras industrias o sistemas clave en todo el país (como electricidad, telecomunicaciones, banca, etc.) también llevarán a cabo este trabajo. En segundo lugar, existen algunos problemas en la gestión de la seguridad de la información en mi país. 1. La situación actual de la gestión de la seguridad de la información sigue siendo caótica y carece de una estrategia general a nivel nacional. La gestión real es insuficiente y la implementación y supervisión de políticas son insuficientes. Algunas regulaciones enfatizan demasiado las características del propio departamento y no reflejan las características de China en el entorno político y económico internacional. Algunas regulaciones no distinguen con precisión la relación entre tecnología, gestión y sistema legal. Es relativamente común reemplazar la ley por la gestión y utilizar tecnología de gestión administrativa, lo que resulta en una pobre operatividad del sistema. 2. Aún no se ha establecido un sistema de gestión de seguridad de la información con características chinas. Este sistema es dinámico y cubre organización, documentos, medidas de control, procesos y procedimientos operativos y recursos relacionados. 3. Es necesario mejorar el sistema estándar de evaluación de riesgos de seguridad de la información con características chinas. Es difícil determinar las necesidades de seguridad de la información, los objetos de protección y los límites. Carece de un sistema de evaluación y evaluación de riesgos de seguridad de la información sistemático e integral y de una información integral y completa. sistema de garantía de seguridad. 4. Falta de conciencia sobre la seguridad de la información y una mentalidad común de enfatizar los productos, descuidar los servicios, enfatizar la tecnología y descuidar la gestión. 5. Inversión insuficiente en fondos especiales, escasez extrema de talentos gerenciales, investigación teórica básica y tecnologías clave débiles y gran dependencia de países extranjeros. La tecnología y los equipos de información introducidos carecían de la gestión eficaz y la transformación técnica necesarias para garantizar la seguridad de la información. 6. La innovación tecnológica es insuficiente y el nivel y la calidad de los productos de gestión de seguridad de la información no son altos, en particular, la investigación y el desarrollo de productos de plataformas de gestión de seguridad con configuración centralizada, gestión centralizada, informes de estado e interacción estratégica como tareas principales. todavía está rezagado. 7. La falta de agencias de gestión legislativa autorizadas, unificadas y especializadas para la organización, planificación, gestión y coordinación de la implementación ha dado como resultado que algunas de las leyes y regulaciones de gestión de seguridad de la información existentes en mi país tengan niveles legales bajos, pocas leyes reales y muchas regulaciones administrativas. y estructuras irrazonables, fragmentación y otros problemas; entidades policiales poco claras, múltiples administraciones, múltiples políticas, cada una haciendo lo suyo, reglas contradictorias, falta de operatividad, dificultad en la implementación y dificultad para tener leyes a seguir; contenido imperfecto y un ciclo de formulación demasiado largo que a menudo no se puede seguir; la supervisión es débil, las leyes no se cumplen y la aplicación de la ley es laxa; faltan leyes básicas especiales sobre seguridad de la información, como la Ley de Seguridad de la Información; , Ley de Comercio Electrónico, etc.; falta legislación en materia de derecho civil, como la Ley de Privacidad en Internet y la Ley de Reputación en Internet, la Ley de Protección de los Derechos de Autor en Internet, etc., los ciudadanos tienen poca conciencia jurídica y aplicación débil de la ley; equipos y falta de talentos. 8. China tiene muy pocos estándares de gestión de seguridad de la información y la mayoría de ellos siguen estándares internacionales. En el proceso de implementación de estándares, la falta de mecanismos nacionales de supervisión y gestión y garantías legales necesarios impide que algunas empresas o usuarios implementen los estándares, y los problemas que surgen durante la implementación no pueden resolverse de manera oportuna y adecuada. tres.