第二点需要把握的就是要确保重点。这水还没流出来，还没到的时候，大家就要考虑把这个马桶把它加高。重点要找重点。国家的重点说的是基础信息网络和重要信息系统，从体系的角度来讲就是得找短板。

　　第三个问题，在工作中是经常要碰到的，就是要处理好几个关系，一个是安全与发展的关系。我不知道大家是站在什么角度上，因为我是干安全的，经常碰到干建设和干应用的跟我说，说我的应用很重要，你得保证我，他说发展是硬道理，我说这个话没错，但是不全，不完整，我从我的角度来讲，给你加一句话，你光为了发展安全出了事也不成，所以还是要两手抓，两手都要硬，这里面真正的工作，不是简单的进行平衡处理这个关系，它是要根据你的实际情况来进行判断，进行取舍，有的时候你要取安全，有的时候你要舍安全，有的时候要取发展，有的时候要舍发展。

　　在03年非典的时候，当时外界抨击咱们信息公布得不及时，不准确，不透明，很多原因，咱们医院有国家部委的，有部队的，有地方，本身信息就很难。再加上我们的手段不行，没有网络，当时非典的信息按照规定是涉密信息。当时我们北京市一个电子政务外网把这些信息汇总到技术中心，这样的话及时有效的公布，当时你不可能两个都保，你只能舍一个，保一个。这种梯子特别特别多。

　　安全和发展的关系如果处理不好的话，肯定我们的工作就更难了。

　　第二就是技术和管理的关系要处理好。信息安全发展到最后，实际上是一个高技术的对抗，在你发展过程中，工作中，到底是重技术，轻管理，还是重管理轻技术，这个之间也有一个平衡点，也是根据你实际的工作情况你要进行取舍。文件里说得很简单就是并重，但是怎么并重是很难把握的。

　　要想解决风险需要花钱，安全没有绝对的，任何系统和网络都存在风险。假如说你花了99个亿你达到了99%的安全，还有1%的风险，要想解决这1%的风险，它不是简单的说我前面花了99亿，我再花10个亿，8个亿就能达到百分之百，不是这么简单的问题。

　　奥运会的时候我们就有一个体会，领导要求万无一失，这最后的1%花的钱，可能是你前面99%的多少倍。这个我也没有研究过到底是一个什么倍数的关系，但是得有这么一个认识，最后越往后，剩那百分之零点几要解决掉，那个成本是非常高的。所以在我们工作中要平衡好这个问题。这个风险多大，多大的风险我能承受，多大的风险我能接受，花的钱多少，我要综合平衡成本和风险，最后选择我能接受的一个风险来投入。

　　关于国家的精神领会的问题，有很多文件都有，但是光看文字可能很难领会。至少我觉得加强信息安全保障工作的意见，我觉得是要把它学好学透，对于我们领会国家的文件是非常有帮助的。

　　这个文件它从总体要求，主要原则，包括9个具体的方面都强调到了，讲的就是主动，体系，重点，全都强调到了，但是怎么去领会这些文件的精神，还是得通过实际工作来认真领会这些精神。

　　第二个方面，在具体实施方面。我把实施分成三个阶段，这里面有10点我认为是比较重要的，第一阶段在信息化化建设之前，一个是要健全组织领导，这里面主要是你单位也好，行业也好，或者部门也好，应该有一个主要的领导，至少是你们常务主管以上的，一个单位就是一把手，因为你安全的责任是一把手负责，你领导责任在这儿，你不管你的责任就没承担。

　　再一个需要注意的，把机构要明确分工，特别常见的应该请一个专家顾问，你还要注意专家的结构，这个结构能够支撑你的业务。

　　还有一个落实责任，国家的规定里明确的说法，谁主管谁负责，谁用谁负责，实际上就是权责统一。一般来讲我们都比较容易把责任层层落实，从领导到部门，最终落实到这个人，从纵向来讲大家都很容易理解。但是还有一个问题这个责任制的分类，在工作中经常有些人误解。还有将来出了事以后好像找不着谁负什么责，谁负管理责任，谁负监管责任。在建设之前，在分工的时候，在说权利的时候，一定要把责任落实了，横向，纵向的权利责任都要落实。这样的话他有意识，就可以避免很多的问题。

　　第二阶段有四点，一个是方案设计，要考虑同步考虑，总理在5月9好开的会里，第五点专门强调同步的问题，研究部署推进信息化发展，保障信息安全工作，在信息安全保障方面强调，重要信息系统和基础信息网络要与安全防护设施同步规划，退步建设，退步运行。

　　还有要准确定级，国家把信息系统分成五个等级，定级定在哪一级，你保护的强度是不一样的，它有国家的标准，你定级定低了不成，高也不成，低了欠保护，将来会出问题，过保护，要平衡成本的问题，过保护是要投入的，再一个你过保护的话，你的管理应用起来都会很麻烦。所以定级要准确。具体怎么定级我就不再细说了。同步和定级这是一个要点。

　　再一个就是选择乙方，我们不可能做信息化工程的建设，肯定要外包，在选择外包的时候，选择第三方的时候也要需要要注意的问题。左面我列了一下外包的种类，一个是集成，监理，服务等等，这块在工作中确实很难把握，因为国家在这方面的政策很少。我在03年的时候当时给国家提这个意见，到现在为止也没什么进展，我认为这个事要从体系角度来讲，这就是国家的短板，用户在选择建设方的时候不知道怎么选，有很多空白的地方。像集成和监理目前还容易一些，因为国家对它有行政的许可，市场准入都好办，但是那几个方面都很难。我给大家提供这么一个表，就是供大家参考大家在选择的时候。

　　再一个是产品，选产品也很难。这两个文件非常重要，一个是当时04年八个部门发的产品的认证体系的一个文件，接着发了一个广告，这两个文件奠定了我们国家信息安全产品的认证体系，规定了一个认证中心，所以大家在选择产品的时候要看是谁给你测的，谁给你做的认证。

　　最后建设阶段在验收的时候一定要进行测评，一个是软件测评，一个是安全测评。我们北京市很多的系统在没测之前就上线了，结果就出事了。

　　最后一个阶段就是运维阶段。你运维的时候你的系统每年还要不断的要维护，国家有规定，三级的要一年测一次，四级的半年测一次，五级的就更严了，不同的等级测评的周期是不一样的。

　　最后一点就是监控、备份，应急东西都要考虑。

　　时间的关系我就讲这么多，很多的东西我都没展开，如果大家感兴趣，我们会后再交流。谢谢各位。

(责任编辑：)