国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

近日召開的全國兩會上，啟明星辰信息技術集團股份有限公司董事長、全國政協委員嚴望佳向大會提交了三份提案，內容涉及推行信息系統歷案制度、讓弱勢群體共享發展紅利、建立云管端數據專項保障責任制度等方面。

這三個提案分別是：

1、關于在關鍵基礎設施、敏感部門、政府機構等推行關鍵信息系統歷案制度的提案

2、關于讓弱勢群體共享信息科技快速發展紅利的提案

3、針對大數據安全，建立云管端數據專項保障責任制度的提案

提案一：關于在關鍵基礎設施、敏感部門、政府機構等推行關鍵信息系統歷案制度的提案

案 由：關于在關鍵基礎設施、敏感部門、政府機構等推行關鍵信息系統歷案制度的提案

審查意見：建議中央網絡安全和信息化領導小組辦公室、公安部、國家保密局研究辦理

提案人：嚴望佳

主題詞：網絡安全、系統歷案

提案形式：個人提案

內 容：

一、問題及原因分析

今年作為十三五的開局之年，國家信息化應用出現新常態，信息化成為新““四化”之一；“云大物移智”等新IT和DT得到規模應用；信息安全、網絡空間安全已經提升到國家安全的層面?！皼]有網絡安全就沒有國家安全”，網絡安全的重要性和意義不言而喻，對于關鍵基礎設施、敏感部門、政府機構而言更是如此。

但現實問題是信息“孤島”、“煙囪”等問題常見，系統安全建設成效難以衡量；由于缺少完善的責任體系導致一旦出現問題難以追責；在網絡安全緊急情況發生時，應急處置人員難有一手的全面信息。究其因由，至少包括以下三大基本管理缺失：

（1）對比建筑行業中比較完善的建筑安全落實到人的終身責任制體系，當前信息系統設計建設常常沒有明確的總設計師和架構師簽字負責，也沒有清晰的法人或自然人責任，導致出現責任事故和損失之后，難于清晰追責。在模糊的責任體系下，安全事故也很容易被隱瞞，進而導致更嚴重的后果。

（2）對比醫療行業中人的出生證明、病例、死亡證明等全生命周期記錄體系，當前信息系統缺少覆蓋系統全生命周期的記錄，系統隨后的改造、維護等變化情況常常沒有正式的記錄。有些環節可能有記錄，但是系統沒有一個全生命周期的整體匯總和存檔。

（3）對比財務審計體系所建立的對于重要機構的定期和關鍵點審計制度，信息系統在其生命周期過程的審計制度還沒有有效建立起來。現在常見的項目制風險評估活動，難于及時發現信息系統的管理性隱患和過程性缺失。

上面三大基本管理缺失，簡單說就是：第一沒有清晰的責任體系、第二沒有必要的過程情況和證據記錄、第三沒有對于記錄信息的定期審計審核。因此，當前的信息系統無法“治未病”，也難于“治急病”。

二、具體建議

對于關鍵基礎設施、敏感部門、政府機構而言，無論從信息系統的全生命周期管理這一自身需要的角度還是從信息安全對于國家安全重大意義的角度，特提出以下建議：在關鍵基礎設施、敏感部門、政府機構等推行《信息系統歷案制度》，將其作為安全責任體系和安全管理、應急、審計的落實抓手。

《信息系統歷案制度》就如同大型建筑都有簽署備案的建筑設計文件和后續維修改造記錄文件，就如同病人在醫院都有完善的病歷一樣，就如同銀行交易和公司財務過程都有財務賬簿一樣。“歷案”是歷史檔案信息的簡稱。信息系統歷案就是重要信息系統生命周期過程中批準立項、設計、建設、交割、運行維護、應急、消亡等等各個環節產生和被記錄的、完整的、詳細的、“活著”的信息；是信息系統“生存”過程的“元數據”（Meta-data）。

從宏觀上講，構建標準化、結構化的信息系統歷案是系統健康檔案的前提和基礎，可以對產業的生態環境、政府的管理方式、企業IT環境治理、信息安全的整體架構都產生深遠影響，利于我國信息安全產業形成良好、健康的生態環境。

從微觀上講，信息系統歷案制度可以全面記錄信息系統要素，實現全要素、全數據、全記錄、全流程管理，這些由長期的、大量的建設數據和生產數據構成的原始材料和原始數據可以發揮最基礎的作用，比如可以作為衡量信息系統建設質量、效果和健康度的評價指標；可以作為監督檢查和責任認定工作的可靠抓手；可以作為制定戰略規劃和建設計劃的重要依據。歷案機制可用于構建信息系統全生命周期閉環管理與監控體系的方法手段，然后根據角色和業務環節的不同有效使用系統的這些歷案信息，有助于快速應急響應和恢復；有助于不同系統、不同部門、不同單位間的協同和處置；有助于領導層決策。

具體建議如下：

（1）制定詳細的關鍵基礎設施、敏感部門、政府機構清單，為信息系統建檔立案，執行歷案制度。

建議在以下關系到國防安全、國計民生的關鍵基礎設施、敏感部門、政府機構等領域建立詳細清單：政府、電信、金融、能源、教育、大型企業、軍隊軍工、交通、媒體、醫療衛生等。

就像為個人建立電子健康檔案和病歷一樣，需要為單位的信息系統或行業的信息系統建立健康檔案和病歷。

歷案中的關鍵記錄都應當有責任人的責任記錄。必要時可以留存簽字或電子簽章。

（2）在關鍵基礎設施、敏感部門、政府機構設立系統歷案機制的管理崗位。

在關鍵基礎設施、敏感部門、政府機構設立歷案管理部門和責任人員（比如首席信息安全官），充分賦予其相應的權限和職位，不限于以下內容：該部門及其負責人直接匯報給最高決策者；全權負責系統歷案機制的設計、推廣和應用；以歷案數據為基礎可以咨詢、審批或驗證現有的IT投資計劃。

（3）建立歷案的第三方審核審計制度

在關鍵信息系統的全生命周期過程得到有效的歷案數據記錄之后，應當建立第三方審核審計制度。在機構內部由獨立于建設、運行、使用、監測的第三方部門執行長期的審計審核。在機構外部，由國家主管機構和第三方審計機構可以在授權下對于歷案進行審核審計。

（4）歷案數據必須得到恰當的應用、管理和保護。

信息系統歷案不僅是綜合信息的電子文件集合，更重要的是其在質量控制、決策支持、運營管理、信息共享、行為監管和責任認定方面有著十分重要的作用，可以作為日常安全管理工作中的一個重要依據和抓手，也是跨部門團隊合作和協同的一條紐帶，是專家“會診”和“聯合作戰”的沙盤。

在歷案制度下，大量的歷案數據被留存下來。對于這些數據要做好采集留存、公示、保密和留證、查閱等管理工作。特別是一些敏感的歷案數據，要得到必要的安全保護。

（5）做頂層設計，制定信息系統歷案制度和實施指南

系統歷案屬于比較新型的做法，為信息系統建病歷是信息化建設的一種創新，在業務、技術、管理、法規遵從等方面要求非常高，并且這種要求不僅僅針對于責任部門和任職人員也針對于系統的各個相關方。國家相應部門需要針對信息系統歷案制定培訓、資格認定、考核等一系列的人才保證措施。

建議國家相關部門針對信息系統歷案進行頂層設計，建章立制作為合規要求。也可考慮將歷案制度結合到等級保護制度和分級保護制度中來實施。

提案二：關于讓弱勢群體共享信息科技快速發展紅利的提案

案 由：關于讓弱勢群體共享信息科技快速發展紅利的提案

審查意見：建議中共中央網絡安全和信息化領導小組辦公室，中華人民共和國工業和信息化部，民政部，全國老齡工作委員會，中國殘疾人聯合會研究辦理

提案人：嚴望佳

主題詞：弱勢群體、共享、信息科技紅利

提案形式：個人提案

內 容：

一、問題及原因分析

隨著國家“互聯網+”行動計劃的提出和推進，互聯網對于整體社會的影響進入到新階段，網絡空間與物理空間呈現加速融合的趨勢，成為人們生活的第二空間。在2015年世界互聯網大會上，習近平主席提出要“讓互聯網發展成果惠及13億多中國人民”。然而，部分人群（殘障人士、老年人、教育水平低者、經濟落后區域的人）卻因為主、客觀原因不能享受高科技發展的成果，他們原本熟悉的生活方式，如買票、掛號、購物等被顛覆性地改變，原有的生活空間被壓縮，生活方式被邊緣化，易產生“被社會拋棄”的自卑感。完善保護上述弱勢群體使用信息科技的權利，進行信息無障礙建設，對保障該群體平等參與社會生活，發展經濟、維護社會穩定等均具有現實性和戰略意義。

信息無障礙指的是任何人都能夠方便、快捷地獲取自己想要并且有權利獲取的信息，主要用于互聯網環境，大意是：互聯網產品可以被老年人、視障者、聽障者、讀寫障礙人士等用戶順暢使用。盡管我國的政府部門、企業界、學術單位、公益組織等實體在該方面做了大量工作，但尚存在以下問題：

（1）法律法規、技術標準等尚待完善與更新。我國自本世紀初開始，陸續頒布了《殘疾人保障法》、《無障礙環境建設條例》等法律標準，為信息無障礙建設指明了大方向，但這些法律、法規側重于實體(建筑)空間的無障礙建設，對于虛擬(網絡)空間無障礙建設一筆帶過；國際組織W3C、中國工信部、騰訊等實體發布了一系列針對性強的技術性文檔和導則，搭建了網頁、輔助技術、移動終端的信息無障礙設計及評估框架，但單一的技術框架尚不足以形成完整的貫穿信息無障礙建設全生命周期的法律標準體系。

（2）缺少落實各類標準、法規的引導、鼓勵政策。盡管我國已制定了諸多法律、法規及標準，在信息無障礙建設方面取得了一定成就，但因為建設成本高、意識淡薄等原因，信息無障礙的落實主要依靠專項行動等行政性措施以及小部分受眾的推動來實現。

（3）缺少信息無障礙建設專項促進基金。

二、具體建議

目前我國的殘障人士約有8502萬人，老年人約有2.4億人，而且我國的老齡化進程在不斷加速。通過無障礙信息建設，我國已有100多萬視障人士在網絡平臺上開店，獲得經濟收入；同時，一批視障測試工程師及聾啞編程員在自己的工作崗位上發揮著才能。為了讓更多的弱勢群體共享信息技術快速發展的紅利，特在此建議：

（1）修訂、完善我國信息無障礙建設的法律、法規及標準等。

修訂我國已有的信息無障礙建設相關法律、法規及標準等，并予以完善。信息無障礙建設標準體系應包括但不限于：

信息無障礙建設規劃標準。涵蓋內容包括但不限于：明確對象（哪些網站、互聯網產品如app等）。通過大數據挖掘、用戶行為分析等，明確弱勢群體在互聯網空間的“公共場所”，優先對這些“網絡空間公共場所”進行信息無障礙建設；建設程度（照顧哪些對象，視力、聽力、肢體殘障人士或老年人等）；法律要求（強制執行、選擇性執行或鼓勵性執行）及驗收考核條件。

建設評估及效果評價體系，評估對象應覆蓋實體信息無障礙建設的全生命周期，包括規劃、實施、運維及反饋/改進過程。促進無障礙建設規范化，將無障礙需求融入到互聯網產品的全過程中。

法律、法規及標準制定過程須加強與國際標準制定組織的交流，并鼓勵相關方如互聯網企業、殘障團體、公益組織等共同參與，提升法規標準的實用性及可落實性，推動無障礙建設標準統一并與國際標準相銜接。

（2）出臺引導、鼓勵性政策，調動各實體的積極性，積極落實信息無障礙建設。

各項規定、標準的落實需要國家機構、互聯網企業等實體的積極響應，也需要科研機構、產業界的技術支撐。國家應從稅收、融資、人才等方面給予支持，促進信息無障礙建設。

財稅方面，按照深化中央財政科技計劃（專項、基金等）管理改革的要求，充分發揮國家基金及專項的作用，采取減稅、無償等多種方式加大政府資金支持力度，引導社會資金投資；

投融資方面，加大對實施信息無障礙建設企業的融資擔保支持力度；對于研發信息無障礙技術的“雙創”企業，在享受“雙創”平臺的優惠政策之上，疊加投融資優惠；加快認證一批由聾啞編程工程師、視障工程師組成或為其服務的企業為社會企業，給予投融資方面的優惠，激發創造力及產業活力。

人才方面，加強專業院所相關專業的人才培養，加強與產業界的聯系，培養一批信息無障礙建設的領袖人物及技術專家；加強特殊人才發掘工作，發掘弱勢群體中信息技術方面表現突出的人才，加速人才成長，縮短培養周期；并加強人員培訓，制定計劃，按計劃對弱勢群體進行分批的免費信息技術培訓，調動弱勢群體使用信息技術的積極性。

（3）成立信息無障礙建設專項促進基金。

該基金將由政府財政出資及社會籌資所得，并可引入創投、風投等社會資本。基金的資金狀況需及時、公開、透明地發布。基金運行情況接受社會大眾及政府上級機構的監督。

基金的用途包括但不限于：技術攻關，完善信息無障礙輔助技術及工具，促進產、學、研結合，將已有技術研究成果進行轉化；對于信息無障礙建設表現優異的實體進行獎勵；人才教育、培養及培訓；資助貧困弱勢群體學習信息技術、采購網絡設備；對偏遠地區進行網絡基礎設施的建設及改造等；孵化、培育信息無障礙研究的初創企業。

提案三：針對大數據安全，建立云管端數據專項保障責任制度的提案

案 由：針對大數據安全，建立云管端數據專項保障責任制度的提案

審查意見：建議中央網絡安全和信息化領導小組辦公室、國家發展與改革委員會、公安部、國家保密局等研究辦理

提案人：嚴望佳

主題詞：大數據安全、責任制度

提案形式：個人提案

內 容：

一、問題及原因分析

當前，在全球范圍內，運用大數據推動經濟發展、完善社會治理、提升政府服務和監管能力正成為趨勢。在國外，政府數據開放較早，已經形成了一系列通過大數據分析優化資源配置、方便人民生活、開拓新興產業的成功案例；在國內，也涌現出一批互聯網創新企業和創新應用，一些地方政府已啟動大數據相關工作。

基于人口紅利和移動互聯網的蓬勃發展，在我國發展大數據應用具有天然的優勢。國務院在2015年8月31日印發了《促進大數據發展行動綱要》，該綱要必將促進國內大數據應用水平再上新臺階。

數據既然像石油一樣成為了越來越寶貴的資源，那么我們也應該像保護石油資源一樣做好合理規劃和防護措施。否則數據資源一旦被竊取或濫用，輕則會造成個人隱私泄露干擾人民生活，重則甚至會危害社會公共秩序和國家安全。

目前在大數據應用中存在的安全保障問題主要體現在以下幾個方面：

(1)持有大量數據的持有者（產生者、傳輸者、儲存者、應用者等）沒有得到甄別；因此國家整體的數據持有情況和分布態勢不夠清晰，同時也難于開展關系到網絡空間主權和網絡社會安定之數據權屬的保護。大量數據可能在云計算云存儲環境中分析和儲存、可能在網絡中傳輸、可能在終端采集和應用，在所謂“云-管-端”都可能是大數據的所在。

(2)難以界定“云-管-端”的大量數據(資產)持有者的數據保護責任。

(3)缺乏第三方對于大量數據(資產)持有者的監督和審計。特別是一些由政府部門作為甲方主導而由乙方企業負責建設和運維的電子政務云數據中心，對數據的使用缺乏獨立的監管審計，存在數據濫用、敏感數據被竊取等風險；同樣，擁有大量用戶的終端APP是否非法非授權地采集數據、大量數據流過的運營商管道側數據是否被非法劫持，都沒有獨立第三方對于技術和流程的監督和審計。

(4)在責任主體不清、責任不明、缺乏審計監督的情況下，出現嚴重的數據泄露事故和數據濫用事件的時候，就難以合理有效地進行追責。

(5)在缺乏有效追責的體制下，大量數據的持有者就缺乏監督壓力、難以履行其必要的保護責任。當前，一些擁有大量數據的持有者，在數據存儲環節中缺乏基本的安全保障措施、或者存在安全漏洞，導致系統被入侵而導致敏感數據泄露。近年來應用系統被入侵并“拖庫”的安全事件層出不窮，大量用戶信息在黑色產業鏈中被反復交易，造成了嚴重的隱私泄露事件。

總之，在大數據時代，數據本身已經成為了一種資產。當前對于數據的采集、使用、存儲、轉移等過程，缺乏必要的監管制度和安全保護措施，需要政府在政策和制度層面制定相應的措施，以便更好推動大數據應用產業的發展。

二、具體建議

綜上所述，運用大數據推動經濟發展、完善社會治理、提升政府服務和監管能力正成為趨勢。但是，如果在應用大數據的過程中缺乏必要的規劃和安全保障機制，又有可能導致數據被濫用或者數據丟失，造成公民隱私泄露，甚至會危害社會公共秩序和國家安全。建議在大數據應用中做好大數據自身安全的保障工作，明確基本原則和相關責任制度舉措。

首先要有一個基本原則，就是把握發展與安全的關系和平衡。不能因為對于大數據安全的擔憂而因噎廢食、過度保護。在當前大數據蓬勃發展的初期，不建議推行強制性的事前審查審批措施，以免阻礙大數據的生產和增值活動。

因此，建議推行以責任界定、責任驅動、審計監督、事后追責的“旁路”保障制度，督促“云-管-端”的大量數據持有者自主采取必要的保障措施。具體建議如下：

(1)責任界定、強制申報

建立大數據持有者的申報制度。在云上（數據中心側）持有大量數據、管道中（運營商等網絡）流過大量數據、海量用戶的終端和應用程序，都必須對自身的數據責任進行申報。

申報界限就是看所持有的數據是否涉及國家安全、涉及較大范圍的社會公共秩序（比如用戶數達到百萬）。這類就有申報的義務和強制責任。因此類似“在移動終端側過度采集用戶數據”這類數據濫用情況，會有此機制予以制約。

申報受理單位建議由中央網信辦協調。

(2)責任驅動的數據安全保障

根據“誰持有誰負責”的原則，對這些機構一方面要從制度上進行規范，防范由于人的原因造成的敏感信息泄露；另一方面要通過技術手段增強這些部門的抗風險能力，要通過建立完善的信息安全防護體系，及時發現潛在的安全威脅；通過定期的測試評估，及時排查信息系統中的安全隱患。

建立“云-管-端”不同情況下大量數據持有者所應履行的基本數據保障規范和標準。相關要求可以考慮對接網絡審查制度、等級保護制度和分級保護制度。

(3)第三方獨立的審計監督

建立獨立第三方的數據保護監督審計制度。

對于在云上存有大量數據、管道中流過大量數據的機構的相關保護技術和管理措施進行審計。這方面要求可考慮對接網絡審查制度、等級保護制度和分級保護制度。

在終端側，對各類移動互聯網應用的數據采集進行適度的規范和監管，避免當前過度無序采集的局面，避免移動應用在用戶不知情的情況下竊取數據。對于鼓勵移動互聯網應用由第三方機構進行權威測試和發布。另外，對工業控制、物聯網前端數據采集也要予以重視。

特別對政府部門作為甲方主導的涉及大量數據的信息系統，要安排獨立于乙方（項目承建方和運維方）的第三方進行安全審計。獨立第三方審計的安排并不意味著乙方可降低其安全保障的要求。要從制度上確立獨立第三方對于甲方和乙方的監督職責。

(4)事后追責

建立數據安全事故追溯機制，保障數據安全。對于違反規范，沒有履行應有保障責任的，因個人原因或管理措施落實不到位而造成的數據安全事故的，要追究相關個人和機構的責任，使得數據安全真正受到重視。

(5)依法治網、依法保護數據權責

在本制度執行一段時間并認為行之有效的情況下，可以考慮將本制度核心部分作為《數據保護法》等相關法律的內容。甚至可能在數據財產權問題還未定論的情況下（淡化擁有權，而談持有者的責任），先將數據保護責任和關鍵要求法律化，讓數據保護做到有法可依。