十七大上，总书记的报告提出：要推进信息化与工业化的融合。将信息化摆在了很高的位置。

现在，信息化已经逐步渗透到国家政治、经济、文化乃至国民生活的各个领域，信息化的融合已经开始深化，与工业的融合越发紧密，对工业化的发展起到了巨大的催化作用。可以说工业化时代的各个领域，信息化带来的是各领域的倍增效应。

新形势需要对信息安全进行顶层设计和总体规划

在信息化加强的今天，任何信息化危机的发生，都会对社会造成很大风险。因此在信息化对工业化的渗透、融合、催化、倍增的社会背景下，加强信息化的全局规划已经刻不容缓。

2008年是很重要的一年，在奥运的推动下，中国迎来了重要的发展机遇。在此背景下，健康发展的信息化保障就显得尤其重要。网络安全的保障直接决定国家机关的稳定运行，国家的电子政务一旦出现任何风险，都会对国家的发展带来很大的损害。民航受到攻击，则飞机无法起飞；核电站受到攻击，则可能产生重大的泄漏风险；政府机关的政务受到攻击，则可能造成大量国家机密文件的泄密事件发生，甚至造成政府的业务中断，政府的公信力就会受到重大影响……

如何在重大灾难发生的情况下，保障信息不中断的传输，使国家部门企业运行正常运转，是一个很重要的课题。

信息化已经在我国发展多年，我们已经走过了初创阶段，我们现在要站在全局规划的高度上，对信息安全的整体进行完整的构想和实施。

BCM（信息作业持续性管理）是非常重要的。从1993年开始，我国的“三金”工程启动，到现在已经15年，我们现在需要从信息安全的顶层对其进行系统化规划和设计。

信息安全总体规划四要点

其一，做好信息安全的等级保护制度的落实。

通俗地说，信息安全等级保护制度就是要在你的信息系统可能面临的风险和你的信息系统的投入之间寻找到一个平衡点。包括资金、人力、资源的各种投入都要形成一种平衡状态。因为在中国目前的状态下，资金的投入一定是受到一些限制的，因此我们需要在业务信息系统的构建和资金投入之间找到合适的点。

国家《信息安全等级保护管理办法》（公通字[2007]43号）根据信息安全的重要程度，将信息安全的级别分为个人级别、社区级别、城市级别、社会安全级别、国家重大安全级别等五个级别，根据每个级别国家将颁布相关的保护标准，不同等级有不同的投入。以此形成合理的投入和底线的保障。根据国信办、公安部、保密局、密码局等部门规定，首先要由主体部门自主定级，随后由主管部门审批确认，并向公安部门备案，然后按照要求和规定进行调整和优化，随后要进行第三方的检测和评估，最后是试运行。

其二，建立健全的信息安全保障体系。

信息安全保障体系的建立分为技术保障体系的建立和管理保障体系的建立。

先说技术保障体系的建立。

信息安全技术保障体系的建立包括4个要点。

第一， 要做好纵深防御工作。这包括4点：做好信息安全域的科学划分；要做好安全边界的防护和控制，这包括物理隔离和逻辑隔离两种手段；要做好信息安全设施在纵深多级上的部署；要做好公众信道的安全保障工作。要使信息安全机制形成综合集成的安全管理和联动。

第二， 要建立动态防护策略。任何攻击都是一个过程，要在各环节部署有效的对策，要对外界的攻击有检测、预警、监控、抑制、诊断、恢复和容灾的动态机制，在整个的动态防御流程中，保证信息传输的正常运营。在综合攻击情况下，任何单点的静态的防御效果都不大。

第三， 要加强基于密码技术的网络信任体系建设。国家相关文件明确规定，网络信任体系的建设，要让每个人都能够证明自己的身份。其中包括身份认证、授权管理、责任认定等几个环节。网络信任体系是要通过规范操作，确认责任，防止违规。

第四， 强化系统内部审计（内控机制）。近些年来，企业或机构内部安全事件的数量已经超过外部病毒、黑客攻击等安全事件，这些内部安全事件包括误操作、违规操作和违法操作（内部人员和外部人员互相勾结，违法泄漏公司机密）等。所以强化内部审计，控制内部员工对于内部文件的接触掌控是非常重要的。