国家信息安全服务资质(精选7篇)
信息安全服务资质申请指南
(安全工程类一级)
©版权2008—中国信息安全测评中心
2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
目录
一、认定依据................................................................................................................................4
二、级别划分................................................................................................................................4三、一级资质要求........................................................................................................................4
3.1 基本资格要求...................................................................................................................5 3.2 基本能力要求...................................................................................................................5
3.2.1 组织与管理要求.....................................................................................................5 3.2.2 技术能力要求.........................................................................................................5 3.2.3 人员构成与素质要求.............................................................................................6 3.2.4 设备、设施与环境要求.........................................................................................6 3.2.5 规模与资产要求.....................................................................................................6 3.2.6 业绩要求.................................................................................................................6 3.3 安全工程过程能力要求...................................................................................................7 3.4 项目和组织过程能力要求...............................................................................................7
四、资质认定................................................................................................................................8
4.1认定流程图........................................................................................................................8 4.2申请阶段.............................................................................................................................9 4.3资格审查阶段.....................................................................................................................9 4.4能力测评阶段.....................................................................................................................9
4.4.1静态评估..................................................................................................................9 4.4.2现场审核................................................................................................................10 4.4.3综合评定................................................................................................................10 4.4.4资质审定................................................................................................................10 4.5证书发放阶段...................................................................................................................10
五、监督、维持和升级..............................................................................................................11
六、处置......................................................................................................................................11
七、争议、投诉与申诉..............................................................................................................11
八、获证组织档案......................................................................................................................12
九、费用及周期..........................................................................................................................12
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
引言
中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的主要职能是:
1.为信息技术安全性提供测评服务; 2.信息安全漏洞分析; 3.信息安全风险评估;
4.信息技术产品、信息系统和工程安全测试与评估; 5.信息安全服务和信息安全人员资质测评; 6.信息安全技术咨询、工程监理与开发服务。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC提出信息安全工程服务一级资质申请的境内外组织。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
一、认定依据
信息安全工程服务资质认定是对信息安全工程服务提供者的资格状况、技术实力和安全工程实施过程质量保证能力等方面的具体衡量和评价。
信息安全工程服务资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全工程服务资质具体要求,在对申请组织的基本资格、技术实力、信息安全工程服务能力以及安全工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分
信息安全工程服务资质认定是对信息安全工程服务提供者的综合实力的客观评价和确认,信息安全工程服务资质级别反映了信息安全工程服务提供者从事信息安全工程服务保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、安全工程过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级 二级:计划跟踪级 三级:充分定义级 四级:量化控制级 五级:持续改进级三、一级资质要求
申请信息安全工程服务一级资质的组织需要在基本资格和基本能力、安全工程过程能力和项目与组织过程能力等几个方面符合《信息安全工程服务一级资质具体要求》的规定。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
3.1 基本资格要求
申请信息安全工程服务资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
3.2 基本能力要求 3.2.1 组织与管理要求
1.必须拥有健全的组织和管理体系,为持续的信息安全工程服务提供保障;
2.必须具有专业从事信息安全工程服务的队伍和相应的质量保证; 3.与安全工程服务相关的所有成员要签订保密合同,并遵守有关法律法规。
3.2.2 技术能力要求
1.了解信息系统技术的最新动向,有能力掌握信息系统的最新技术; 2.具有不断的技术更新能力;
3.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;
4.能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度;
5.具有对发生的突发性安全事件进行分析和解决的能力;
6.具有对市场上的信息系统产品进行功能分析,提出安全策略和安全解决方案及安全产品的系统集成能力;
7.具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力;
8.具有对集成的信息系统进行检测和验证的能力; 9.有能力对信息系统系统进行有效的维护;
10.有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
3.2.3 人员构成与素质要求
1.具有充足的人力资源和合理的人员结构;
2.所有与信息安全服务有关的管理和销售人员应具有基本的信息安全知识;
3.有相对稳定的从事信息安全服务的技术队伍;
4.技术骨干人员应系统地掌握信息系统安全基础理论和核心技术,并有足够的专业工作经验;
5.必须有2名以上(含2名)专职的注册信息安全专业人员(CISP)。
3.2.4 设备、设施与环境要求
1.具有固定的工作场所和良好的工作环境; 2.具有先进的开发、测试或模拟环境; 3.具有先进的开发、生产和测试设备;
4.具有实施相关服务必需的开发、生产和测试工具。
3.2.5 规模与资产要求
1.有足够的注册资金和充足的流动资金;
2.具有与所申请安全服务业务范围、承担的安全工程规模相适应的服务体系;
3.有足够的人员从事直接与信息安全服务相关的活动。
3.2.6 业绩要求
1.从事信息安全服务1年以上; 2.至少承接过2个以上的安全工程项目;
3.近3年完成的信息安全服务的项目总值应在100万以上;
4.近3年内在信息安全工程服务方面,没有出现验收未通过的项目。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
3.3 安全工程过程能力要求
安全工程过程能力是评价信息安全工程服务专业水平高低的标志。申请组织应能实施以下11个安全工程过程域: 1.评估系统面临的安全威胁; 2.评估系统的脆弱性; 3.评估安全对系统的影响; 4.评估系统的安全风险; 5.确定系统的安全需求; 6.为系统提供必要的安全输入; 7.管理系统的安全控制; 8.监测系统的安全状况; 9.安全协调;
10.检验并证实系统的安全性; 11.建立并提供安全性保证论据。
3.4 项目和组织过程能力要求
项目和组织过程能力是评价信息安全工程服务规范性和质量保证成熟度标志。
申请组织应能实施以下8个项目和组织过程域: 1.质量保证; 2.管理配置; 3.管理项目风险; 4.监控技术活动; 5.规划技术活动; 6.管理系统工程支持环境; 7.提供不断发展的技能和知识; 8.与供应商协调。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
四、资质认定
4.1认定流程图
申请委托人申请不受理形式化审查申请阶段资格审查阶段受理决定受理静态评估现场审核限期整改综合评定不通过综合评定通过资质审定不通过发证决定抽样检查通过证书发放不予发证能力测评阶段证书发放阶段公告证后监督证后监督阶段
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
4.2申请阶段
申请组织应首先到CNITSEC网站(http://ITSEC,同时提交申请费。在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将向申请组织发出受理通知书,正式受理该申请,并通知相关费用的缴纳事宜等。
4.4能力测评阶段
当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。
4.4.1静态评估
静态评估是对申请组织资料进行符合性审查,是对申请组织的信息安全工程服务能力做出基本判断,初步确定申请组织的信息安全工程服务能力水平状况,发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
为现场审核做准备。如果静态评估阶段发现有不符合要求的内容,CNITSEC将要求申请组织进一步补充资料,以便反映申请组织的客观情况。
4.4.2现场审核
现场审核是对申请组织从事信息安全工程服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
4.4.3综合评定
在综合评定阶段,将依据静态评估和现场审核结果,对申请组织的基本资格、基本能力、信息安全工程服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过能力测评。逾期未整改的,视作整改不符合。
4.4.4资质审定
根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的信息安全工程服务资质进行审查,并最终做出是否通过的决定。
4.5证书发放阶段
资质审定通过后,CNITSEC将进行资质证书的制作、审批和发放,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
五、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全工程过程能力。CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交调查表,并到CNITSEC办理年检。CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效期届满前90天内,由获证组织提出维持换证申请。根据申请组织的变化情况,CNITSEC将进行换证维持的资质审查或进一步要求进行现场审核,以确定获证组织符合信息安全工程服务能力一级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站(http://ITSEC申请二级资质。
六、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以以下处置:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉
对CNITSEC所作的评审、复查、处置等决定有异议时,可向CNITSEC提出书面申诉。CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
获证组织应妥善处理因自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC将在必要时查阅获证企业的申诉/投诉记录。
八、获证组织档案
CNITSEC将对每个获证组织建立专项档案,所有资料将保存10年以上,升级,确认或者复核换证时,只需补交所要求的相应材料,CNITSEC实行记录累加制度。
九、费用及周期
信息安全服务资质认定收费划分为如下四个部分:
(一)申请费:2000元
(二)测评费:3000元/人日
(三)审定与注册费(含证书费):3000元
(四)年金(含标志使用费):5000元/年
获得一级资质证书总体费用:
2000(申请费)+3000×3×2(三人二日测评费)+3000(审定与注册费)+5000(一年年金)=28000元。
申请组织还应承担因现场审核活动审核组成员所发生的交通和食宿费用。
从受理到颁发证书的周期为三个月,但由于申请方原因(如,资料补充需要的时间等)造成的时间不计算在内。
海岛信息服务职责的确定
为贯彻落实《海岛保护法》, 加强对海岛开发、保护与管理的研究与技术支撑, 国家海洋信息中心领导班子审时度势、积极部署, 于2010年3月18日在《海岛保护法》实施当月成立了海岛部, 赋予海岛部承担海岛政策、规划、管理办法、技术规范和标准等的研究工作;负责建设与维护国家海岛监视监测系统与业务化运行, 建设与维护国家海岛数据库和信息服务系统;开展海岛统计调查业务化工作, 协助编制海岛统计调查公报;承担海岛使用论证工作, 开展海岛价值评估及相关研究工作;承担海岛资源生态调查评估工作, 开展海岛可持续利用研究与实践等职责。
国家海洋局张宏声副局长、海岛管理司吕彩霞司长对国家海洋信息中心海岛信息服务与技术支撑能力建设十分关注, 明确指出信息中心是海岛信息系统建设的技术负责单位。为了建设国家海岛信息系统, 做好海岛信息服务工作, 国家海洋信息中心徐胜主任高度重视海岛工作, 指出海岛工作应做好统筹, 技术上做好顶层设计, 建立业务化工作流程和技术标准, 为海岛管理和海监执法工作建好基础数据库, 形成强大的管理依据和技术支撑能力。信息中心何广顺副主任指出海岛经济是国民经济和海洋经济的延伸与补充, 监测海岛、了解海岛、发展海岛, 对推动沿海地区社会经济持续健康发展具有重要作用;应以海岛数据库建设为核心, 以海岛监视监测为手段, 推动海岛信息化建设, 实现海岛的永续利用。
海岛部按照国家海洋局和信息中心领导指示, 以《海岛保护法》为依据, 以国家海岛管理工作任务为依托, 确立了“立足信息、尽知海岛、服务海洋”的总体工作目标, 树立了“海岛信息服务与技术支撑”的定位。
海岛信息服务体系框架的构建
在明确职责、找准定位后, 信息中心以国家海岛信息化建设为重点, 建设海岛数据、海岛管理和海岛服务三个平台的信息服务体系框架。
全力开展海岛数据平台建设, 丰富完善海岛“一张图”
海岛数据平台建设是海岛信息化中的基础性工作, 以海岛数据库为基础, 逐步建立全国海岛“一张图”, 尽览海岛信息。海岛数据平台主要包括三个方面:一是以航空摄影为主的海岛三维空间数据的获取和处理;二是以各种管理、调查、巡查、监测和统计为主的海岛属性数据的获取和处理, 包括海岛基本信息和专题信息;三是以现场拍摄为主的海岛多媒体数据的获取和处理。海岛数据平台是从海岛管理、执法和社会公众的需求出发, 按照相关数据标准、技术规程与质量管理体系, 整合历年海岛数据, 对获取的海岛航飞、海岛地名、海岛巡航、海岛地面监视监测等多源异构数据进行处理, 逐步形成海岛信息的维护方案、更新渠道、数据交换和共享机制, 不断提高海岛监视监测数据的获取和处理能力, 形成海岛信息产品的快速制作能力, 提高海岛数据的准确性、时效性、全面性, 增强海岛数据使用的便利性。
通过海岛数据平台, 主要实现国家海岛监视监测数据的采集、获取、处理、存储和更新, 形成对海岛多源数据和多时态数据的统一建设、管理和使用, 丰富完善全国海岛“一张图”。
全面推进海岛管理平台建设, 主动服务各级管理部门
海岛管理平台是基于海岛数据平台, 利用三维可视化技术、3S技术、建模技术、网络技术等高新技术, 建设面向管理和执法的海岛应用系统, 实现对海岛数据的快速查询、直观展示和动态管理, 实现海岛三维、海岛保护、海岛使用、海岛执法、海岛地名、海岛经济社会、海岛项目管理和监视监测业务管理等工作所需的各种功能。
根据海岛工作的需求, 应用系统分为二个层次:一是服务于各级海岛管理和海岛执法部门的海岛管理系统, 实现对海岛管理和海岛执法工作的信息化和网络化管理;二是主要服务于海岛监视监测具体业务流程管理的海岛业务系统, 实现对监测任务的下达以及监测数据的获取、上传、处理和管理。海岛管理系统和海岛业务系统由国家统一规划、分步实施, 系统运行在专网上, 建立海岛信息安全机制, 建立具有统一安全认证和用户单点登录的系统安全保障体系, 通过现有专网实现国家、省、市、县四级网络部署, 建立全方位的国家海岛监视监测业务体系, 全面动态地掌握我国海岛的基本情况和变化状况, 主动为各级海洋主管部门及其海监队伍的依法行政提供基础信息服务和技术支撑。
不断完善海岛服务平台建设, 全面提高信息服务能力
海岛服务平台以宣传海岛、服务海岛为目标, 以海岛数据平台为基础, 以海岛管理平台和“中国海岛网”等媒介为载体, 面向社会公众、海洋主管部门和海监执法队伍提供海岛监视监测产品与服务。
根据服务对象的不同, 海岛服务平台分为三个层次:一是面向社会公众提供的服务, 通过建立“中国海岛网”, 实现对海岛政务、海岛经济、海岛文化和海岛旅游等公共信息的快速查询与直观显示, 实现海岛开发利用项目的网上申请, 发布海岛统计调查公报, 建立社会公众与管理部门互动的信息渠道;二是面向海洋主管部门提供的服务, 紧密结合各级海洋主管部门日常业务工作, 实现对各类海岛监视监测数据的快速查询和直观显示, 实现对海岛规划、海岛保护、海岛使用、海岛执法等情况的跟踪与评价, 实现对海岛项目的信息化管理, 定期对各类海岛相关信息进行统计分析, 以量化的指标及时反映海岛动态变化情况, 并根据管理需要及时提供海岛相关专题报表、图集和影像资料等监视监测产品;三是面向海监执法队伍提供的服务, 紧密结合各级海监队伍执法需求, 动态监控并及时预警各种违法用岛行为, 实现对各类执法信息的信息化管理, 为各级海监队伍制定执法检查计划和查处违法行为提供数据参考和技术支持。
海岛信息服务工作的重点内容
近两年来, 信息中心在海岛信息服务方面主要开展了国家海岛监视监测系统建设、全国海域海岛地名普查、海岛规划政策与制度研究等方面的工作。
全面推进国家海岛监视监测系统建设
国家海岛监视监测系统建设工作是《全国海岛保护规划》的十大重点工程之一, 是实现海岛信息服务体系框架的载体, 是落实海岛数据平台、管理平台和服务平台的具体工作, 是实现海岛信息化的综合性、系统性工程。
2011年4月7日, 国家海洋局下发了《国家海岛监视监测系统总体实施方案》, 明确了国家海洋信息中心为国家海岛监视监测系统运行的责任单位, 负责监视监测数据汇总、国家海岛监视监测系统建设和业务化运行工作;11月, 国家海岛监视监测系统业务化运行项目由国家财政部予以立项。
目前, 国家海岛监视监测系统的框架已经基本形成。建立了海岛监视监测数据的采集、处理、存储、分析、服务流程体系, 目前已获取和处理海岛三维空间数据1.2TB, 海岛基本数据和专题数据3万余条, 海岛多媒体数据4万余条, 实现6868个海岛的二维可视化和3921个海岛的三维可视化工作, 更新完善了全国海岛“一张图”, 丰富了国家海岛数据平台, 夯实了海岛数据服务基础。
国家海岛管理平台建设进展顺利。基于三维海岛的海岛使用、海岛保护、海岛地名、海岛执法、海岛经济、海岛项目等功能已初步建成。基于三维的海岛触摸系统建设完成, 已应用到第一批无居民海岛开发利用名录新闻发布会等工作;基于iPad的国家海岛监视监测系统 (移动版) 已初步建设完成, 并应用到海岛实地调研等工作。
积极开展海岛信息服务平台建设工作, 以“中国海岛网”为主要网络宣传载体, 以《海岛管理公报》《海岛工作情况交流》和《海岛执法工作情况交流》为主要纸质交流载体, 以“海域和海岛分会”为主要学术交流载体, 初步构架完成了面向海岛管理、海岛执法和社会公众的海岛信息服务平台。
目前, 中国海岛网形成了三大板块 (海岛政务、海岛经济、海岛文化) 、两个专区 (海岛摄影、海岛视频) 和一个特区 (海岛旅游) 的整体结构, 并已上线试运行, 该网站已逐步成为我国首个综合性的海岛权威门户网站。
积极做好海域海岛地名普查信息服务工作
信息中心在地名普查工作中发挥的作用正是海岛信息服务体系框架的具体应用, 是海岛三个平台的具体服务体现。全国海域海岛地名普查工作是国家地名普查工作的重要组成部分, 信息中心在海域海岛地名普查工作中主要承担前期准备和后期数据成果汇总集成工作。
在前期准备工作中, 信息中心完成了全国海域海岛地名普查工作底图的制作, 提供了全国海岛基础数据, 设计开发了全国海域海岛地名普查数据采集系统, 编写印制了300余套《系统安装手册》《用户手册》及附属光盘, 分三批对40家单位300余人进行了技术培训以及工作底图、海岛基础数据和采集系统的分发, 为整个普查项目的顺利开展奠定了坚实的数据基础, 地名普查工作的成果也进一步丰富完善了海岛数据平台。
同时, 信息中心承担了港澳地区海岛地名遥感普查和现场验证工作, 牵头编制完成《中国海域海岛标准名录 (港澳台分册) 》和《全国海域海岛地名普查数据集 (港澳台卷) 》;拍摄了6个地区的海岛地名普查现场录像80余小时和现场照片2000余张。
认真做好第一批无居民海岛开发利用名录新闻发布会信息支撑工作
2011年4月12日, 国家海洋局联合沿海有关省海洋厅 (局) 召开的第一批开发利用无居民海岛名录新闻发布会在人民大会堂隆重举行, 这次发布会表明开发利用无居民海岛名录作为一项制度, 已经纳入了国家海岛管理常规工作。
为了完成国家首次发布开发利用无居民海岛名录的准备工作, 信息中心在时间紧、任务重、要求高的情况下, 全面做好新闻发布会的信息支撑工作, 经过两个多月的紧张工作, 顺利完成了“四个一”工作:编辑出版了一本图集、编辑印刷了一本名录、拍摄制作了一个宣传片、建设了一个触摸系统, 赢得了国家海洋局海岛管理司的认可和感谢信。其中海岛三维触摸系统在发布会当天引起了众多代表和记者的关注, 中央电视台记者对系统进行了专题报道, 并于4月12日CCTV-1“新闻联播”中播出和展示;“走进海岛新时代”宣传片于4月17日CCTV-4“今日关注”栏目再次播放, 受到了普遍好评, 得到了宣传海岛、吸引开发的良好效果。这项工作也是信息中心在海岛信息应急服务方面的一个重要体现。
此外, 信息中心积极推进规划和配套制度研究, 保障《海岛保护法》的顺利实施, 参与生态整治修复和使用金评估, 扩大中心信息服务领域。
海岛信息服务工作计划
为了进一步深化海岛信息服务体系, 提高信息服务能力, 信息中心近期将重点开展几方面的工作。
进一步建设和完善三个平台的海岛信息服务体系框架, 推进国家海岛监视监测系统试点和业务化运行。加强海岛监视监测管理制度建设;继续开展海岛航空数据获取与处理工作, 适时开展无人机航飞数据获取试点, 提高对开发利用海岛、整治修复项目所在海岛、海岛保护专项资金支持海岛和其他重点海岛的监测频率;进一步丰富海岛数据资源, 制作海岛信息资源目录, 健全数据交换、更新和共享机制, 丰富以高分辨率影像、地形数据和基础地理数据为基础的全国海岛“一张图”, 完善海岛数据平台。实现系统在省级海洋部门和国家技术单位的业务化运行, 推动移动版海岛监视监测系统在第二次海岛资源综合调查试点中的实际应用, 完善国家海岛管理系统的功能。进一步丰富和完善“中国海岛网”, 实现正式上线运行;加强对“中国海岛网”的维护与运营, 依托网站举办各类网络专题活动, 提升海岛管理工作的社会影响力。实现海岛综合分析及监视监测产品的流程化、业务化生产, 全面提高海岛各类信息产品的制作和服务能力。
完成海域海岛地名普查成果集成。实现全国海域海岛地名普查的所有数据的入库和展示, 编制《中国海域海岛地名图集》, 为国家相关部门和社会公众提供海域海岛地名的信息服务。
准备与分发第二次全国海岛资源综合调查基础数据。开展第二次全国海岛资源综合调查前期海岛基础数据和工作底图的整理、制作与分发, 开展资源综合调查数据库结构试点设计及掌上采集系统的设计开发。
加强海岛规划和配套制度研究工作。继续做好国家海岛政策与规划研究、《海岛保护法》配套制度制定等相关工作, 开展《无居民海岛使用流转管理办法》《地名冠名权管理制度》和《修订全国海岛名称与代码标准》的编制。
海岛是壮大海洋经济、拓展发展空间的重要依托, 是保护海洋环境、维护生态平衡的重要平台, 是捍卫国家权益、保障国防安全的战略前沿。为了贯彻落实《海岛保护法》, 实现海岛永续利用, 促进沿海地区社会经济、海洋经济持续健康发展, 国家海洋信息中心将继续以饱满的工作热忱, 充分利用信息资源优势, 立足信息, 稳步推进三个平台建设, 建立海岛监视监测业务体系, 增强海岛管理的研究与技术支撑能力, 尽知海岛, 服务海洋。
以《海岛保护法》为依据, 以国家海岛管理工作任务为依托, 确立“立足信息、尽知海岛、服务海洋”的总体工作目标, 树立“海岛信息服务与技术支撑”的定位。
做好统筹和顶层设计, 建立业务化工作流程和技术标准, 为海岛管理和海监执法工作建好基础数据库, 形成强大的管理依据和技术支撑能力。
国家海岛监视监测系统建设工作是《全国海岛保护规划》的十大重点工程之一, 是实现海岛信息服务体系框架的载体, 是落实海岛数据平台、管理平台和服务平台的具体工作, 是实现海岛信息化的综合性、系统性工程。
近期,中共中央、国务院提出中国在2049年时成为世界科技强国;此外,党的十八大报告也充分肯定了“信息化”在社会经济发展中的地位和作用,信息化已成为国家战略发展之一。纵观中国信息化的历程,在大规模的信息化基础建设之后,势必要进入IT服务的时代。据计世资讯数据显示,2011年IT服务总体市场规模为1482亿元人民币,但中国IT服务市场属于极度分散型市场,一方面,市场分布着大量的IT服务商,其规模实力和服务能力差异巨大;另一方面,客户无法明确传递服务需求,亦不能清晰衡量服务的价值和质量。市场统一标准与规范的缺乏,严重制约了我国信息产业及各行业的信息化建设。
中国要做信息强国,“国家标准”必不可少,无规矩不成方圆,对此,作为ITSS标准编制方之一的神州信息总裁周一兵表示:“‘标准无小事’,它是一把尺丈量着行业发展的趋势和未来;只有标准化,才能提升全行业信息技术服务业务质量,使整个行业能有序、健康、快速地发展,另一方面,站在国际社会的角度,任何一个国家标准的推出,都是一个国家掌握一个行业话语权的关键。”
众的信息安全感
公众对个人信息安全的焦虑,正成为当前个人安全感缺失的重要源头。
近来,多家互联网企业平台被指侵犯用户隐私,但是均遭到上述企业否认。一时间,用户隐私安全问题受关注,企业采用用户的信息界限在哪儿?在企业、用户各执一词的情况下,用户的隐私安全又该如何保证?(中新网1月9日)很遗憾,报道并未对上述两个疑问,给出足够清晰和让人放心的回答。这不是报道的错,而在根本上指向一种必须被正视的事实:在当前这样一个移动互联网飞奔的年代,互联网企业合理使用用户信息与个人信息保护之间,并没有形成一道有效的“防火墙”;即便用户在使用互联网应用时做到足够谨慎,也不能免除个人隐私被侵犯的风险与焦虑。
在是否窃取用户隐私这件事上,基本上企业和用户各执一词。这种“拉锯”状况至少能说明两点问题:一,用户隐私是否被侵犯了,目前还缺乏明确的判断依据,所以互联网企业与用户难以达成共识;二,当前互联网企业在用户信息使用上的表现,确实未能带给公众足够的安全感,所以才会引发普遍性的信息安全焦虑。
对于为何企业回应与用户感知之间会产生很大的差异,报道援引专家的说法称,这是因为侵犯用户隐私案件往往取证难。从目前媒体报道来看,很多都是用户自己感觉到的,还缺乏实证证明。法律上的取证难,构成了当前公众维护个人信息权益的主要阻碍。现实中,且不说互联网企业在信息采用授权上的不规范情况比比皆是,个人在网上被“精准营销”早已成为“见怪不怪”的事实。这能够证明互联网企业对个人信息的收集和使用,确实未给公众形成准确的行为预期,对于可能的失范,公众无法不担心。
另外,一些互联网企业的回应,也呈现出一种自相矛盾。如最近某社交软件平台回应可以看用户聊天记录一事时称,其“不留存任何用户的聊天记录”,聊天内容“只存储在用户的手机、电脑等终端设备上”。然而,此前该公司的相关负责人却表示,“虽然我们能力上完全可以,但我们从来没有做过”,换言之,他们确实是可以看到用户的聊天记录,只是没有看。不能看与没有看,显然有着截然不同的区别,我们拿什么保证互联网企业“不会看”? 对于互联网应用产品的权限限制,并不能说完全缺乏规定。如2017年7月1日起实施的《移动智能终端应用软件预置和分发管理暂行规定》就指出,生产企业和互联网信息服务提供者所提供移动智能终端应用软件不得调用与所提供服务无关的终端功能。但哪些服务是相关的,哪些服务又是无关的,却是个疑问,互联网公司对此具有很大的“自主空间”。另外,2003年,我国就开始起草《个人信息安全法》,2005年提交了《个人信息保护法》专家意见稿,如今12年过去了,这部法律立法进程却并未加速推进。综合这些背景,当前的个人信息保护,从行业规范到法律,还是显得“粗线条”了,乃至留下了不小的空白地带,为互联网企业对个人信息的不规范采集与使用,开了方便之门。
公众对个人信息安全的焦虑,正成为当前个人安全感缺失的重要源头。我们的个人信息到底在多大程度上被泄露了?让渡部分个人信息以获得更好的互联网服务,两者间的合理边界到底在哪儿?我们与互联网企业所签订的信息授权协议,到底意味着什么?互联网平台可能拿我们的信息去干什么?在公众心中,这些都处于一种非常模糊和高度不确定性的状态。
或许,个人信息保护的这种“宽松环境”,部分促成了当前中国互联网产业快速发展的“红利”。然而,一个健康而受尊重的互联网产业生态,必然要守住对个人信息实施有效保护这一关。给予公众足够的信息安全感,才能真正实现“技术进步让生活更美好”。当然,这不仅是企业的责任。
2017年能源工作指导意见
2017年是全面实施“十三五”规划的重要一年,是供给侧结构性改革的深化之年。要深入贯彻党的十八大和十八届三中、四中、五中、六中全会精神,牢固树立和落实“创新、协调、绿色、开放、共享”的新发展理念,遵循“四个革命、一个合作”的能源发展战略思想,落实中央经济工作会议战略部署,以推进能源供给侧结构性改革为主线,以提高供给质量和效益为中心,着力化解和防范过剩产能,着力推进能源清洁开发利用,着力补上能源发展短板,为经济社会发展提供坚强的能源保障,以优异成绩迎接党的十九大胜利召开。
一、主要发展目标
(一)能源消费
全国能源消费总量控制在44亿吨标准煤左右。非化石能源消费比重提高到14.3%左右,天然气消费比重提高到6.8%左右,煤炭消费比重下降到60%左右。
(二)能源供应
全国能源生产总量36.7亿吨标准煤左右。煤炭产量36.5亿吨左右,原油产量2.0亿吨左右,天然气产量1700亿立方
米左右(含页岩气产量100亿立方米左右)。
(三)能源效率
单位国内生产总值能耗同比下降5.0%以上。燃煤电厂平均供电煤耗314克标准煤/千瓦时,同比减少1克。完成煤电节能改造规模6000万千瓦。
二、重点任务
(一)化解防范产能过剩
坚定不移落实去产能工作部署,加快淘汰落后产能,稳步发展先进产能,提高产能利用效率,促进生产能力与实际产出相匹配。
继续化解煤炭产能过剩。运用市场化、法治化手段化解产能过剩,科学合理确定去产能目标,严格落实公示公告、停产关闭、证照注销、检查验收等工作程序。进一步提高安全、环保、技术等标准,淘汰一批灾害严重、资源枯竭、技术装备落后、不具备安全生产条件、不符合煤炭产业政策的煤矿,全年力争关闭落后煤矿500处以上,退出产能5000万吨左右。按照减量置换原则,有序发展先进产能。规范煤矿生产建设秩序,加大未批先建、超能力生产等违规行为治理力度。完善煤矿产能登记公告制度,将公告范围从生产煤矿延伸至建设煤矿,实现全口径产能公告。
有效防范和化解煤电产能过剩风险。按照清理违规、严控增量、淘汰落后的原则,制订实施“稳、准、狠”的措施,到2020年煤电装机总规模控制在11亿千瓦以内。坚决清理违规项目,未核先建、违规核准等违规建设项目一律停止建设。继续实施煤电规划建设风险预警机制,严格落实缓核、缓建等调控措施。根据受端地区电力市场需求,有序推进跨区输电通道建设,按需同步配套建设煤电基地外送项目。积极推进放开发用电计划,合理引导投资建设预期。继续加大淘汰落后煤电机组力度,重点淘汰改造后仍不符合能效环保要求的机组,2017年预计淘汰规模400万千瓦以上。
推进油品质量升级。2017年1月1日起,全国全面供应国五标准车用汽油(含E10乙醇汽油)、车用柴油(含B5生物柴油)。2017年7月1日起,全国全面供应硫含量不大于50ppm的普通柴油。做好2018年1月1日起全国全面供应硫含量不大于10ppm的普通柴油准备工作。开展成品油质量升级专项监督检查,保障清洁油品市场供应。依据车用汽油、车用柴油国六标准,加快出台新版车用乙醇汽油和生物柴油标准,开展相关升级改造。适度扩大生物燃料乙醇生产规模和消费区域。
(二)推进非化石能源规模化发展
围绕实现“十三五”规划目标,着力解决弃风、弃光、弃水等突出问题,促进电源建设与消纳送出相协调,提高清洁低碳能源发展质量和效益。
积极发展水电。加快建设金沙江、雅砻江、大渡河等大
型水电基地。加强西南水电外送华南、华中和华东等区域输电通道建设,统筹推进金中、滇西北、川电外送第三通道等工程项目。建立水能利用监测体系,及时分析预警水能利用和弃水情况。建立健全水电开发利益共享机制,制订实施《少数民族地区水电工程建设征地移民安置规划设计规定》。
稳步发展风电。优化风电建设开发布局,新增规模重心主要向中东部和南方地区倾斜。严格控制弃风限电严重地区新增并网项目,发布2017风电行业预警信息,对弃风率超过20%的省份暂停安排新建风电规模。有序推动京津冀周边、金沙江河谷和雅砻江河谷风光水互补等风电基地规划建设工作。加快海上风电开发利用。
安全发展核电。积极推进具备条件的核电项目建设,按程序组织核准开工。有序启动后续沿海核电项目核准和建设准备,推动核电厂址保护和论证工作。继续实施核电科技重大专项,推进高温气冷堆示范工程建设。稳妥推动小型堆示范项目前期工作,积极探索核能综合利用。
大力发展太阳能。继续实施光伏发电“领跑者”行动,充分发挥市场机制作用,推动发电成本下降。调整光伏电站发展布局,严格控制弃光严重地区新增规模,对弃光率超过5%的省份暂停安排新建光伏发电规模。稳步推进太阳能热发电首批示范项目。
积极开发利用生物质能和地热能。推进生物天然气产业
化示范,抓好黑龙江垦区、新疆维吾尔自治区、新疆生产建设兵团等示范项目建设,积极发展能源、农业和环保“三位一体”生物天然气县域循环经济。加快相关标准体系建设,推进生物天然气和有机肥商品化产业化。制订出台关于推进农林生物质发电全面转向热电联产的产业政策,提高生物质资源利用效率。建立生物质发电项目布局规划监测体系,新建项目纳入省级规划管理。推广地热能供暖、制冷,发挥地热能替代散烧煤、促进大气污染防治的作用。
(三)推进化石能源清洁开发利用
推广先进适用技术,加快传统能源产业转型升级,着力创新能源生产消费模式,夯实化石能源发展基础,增强能源安全保障能力。
推进煤炭绿色高效开发利用。推广充填开采、保水开采、煤与瓦斯共采等绿色开采技术,推进采煤沉陷区综合治理。推广先进技术装备,提升煤矿机械化、信息化、智能化“三化”水平。实施粉尘综合治理,降低采煤粉尘排放。大力发展煤炭洗选加工,提升商品煤质量,原煤入选率提高到70%。实施煤电超低排放改造和节能改造,2017年底前东部地区具备条件的机组全部完成超低排放和节能改造。
提高油气保障能力。全面实施油气科技重大专项“十三五”计划,重点支持陆上深层、海洋深水和非常规油气勘探开发重大理论技术创新。加强用海协调,进一步推动海洋油气
勘探开发。推进页岩气国家级示范区新产能建设,力争新建产能达到35亿立方米。加快天然气主干管道互联互通工程建设,提高天然气保供能力。推进煤层气勘探开发利用重大工程,加快沁水盆地、鄂尔多斯盆地东缘、贵州毕水兴等煤层气产业化基地建设。加快煤层气(煤矿瓦斯)输送利用设施建设,因地制宜发展煤层气压缩和液化,推广低浓度瓦斯发电。推进国家石油储备基地建设,有序开展国储原油收储工作,提升国家石油储备能力。
扩大天然气利用。制订实施《关于加快推进天然气利用的意见》,推进城镇燃气、燃气发电、工业燃料、交通燃料等重点领域的规模化利用。推动天然气与可再生能源融合发展,在四川、江苏、广东等地区实施天然气融合发展示范工程。推进京津冀大气污染防治重点地区气化工程。推动长三角地区船用燃料天然气替代,推进车船用天然气和江海联运试点。积极推动天然气大用户直供。大力推进天然气分布式能源发展。
(四)补强能源系统短板
针对调峰能力不足、运行效率不高、基础设施薄弱等瓶颈制约,着力优化能源系统,着力完善相关政策措施,增强系统协调性和灵活性,提高能源系统效率。
加强调峰能力建设。完成煤电机组灵活性改造试点,进一步扩大改造范围。研究实施煤电机组参与调峰激励机制,建立健全辅助服务(市场)补偿机制。扎实推进规划内抽水蓄能电站建设,研究调整抽水蓄能峰谷电价机制。调整部分省区抽水蓄能电站选点规划,优化发展布局。加快用电负荷集中、天然气供应充足地区的天然气调峰电站建设。大力推进天然气调峰储气库建设。制订实施《关于促进储能技术与产业健康发展的指导意见》,建立储能技术系统研发、综合测试和工程化验证平台,推进重点储能技术试验示范。
加强能源输送通道建设。根据受端市场需求,统筹考虑电源建设进度、电网调峰能力以及电力市场改革等有关因素,研究建设跨省跨区外送输电通道。推动中俄东线天然气管道、陕京四线、新疆煤制气外输管道建设,做好川气东送二线、蒙西煤制气外输管道等项目前期工作。加快重点地区和气化率较低地区油气管道建设。推进页岩气等非常规天然气配套外输管道建设。
推进智能电网建设。制订实施《关于推进高效智能电力系统建设的实施意见》,配套制订各省(区、市)具体工作方案。研究制订《智能电网2030战略》,推动建立智能电网发展战略体系。制订实施《微电网管理办法》,积极推进新能源微电网、城市微电网、边远地区及海岛微电网建设。
(五)加强生产建设安全管理
坚持“以人为本”的安全发展理念,坚持预防为主、管防结合的基本原则,健全完善“国家监察、地方监管、企业负责” 的工作机制,牢牢守住安全生产这条红线。
加强电力安全监管。印发实施《关于推进电力安全领域改革发展的意见》,修订完善《电力安全生产监督管理办法》。开展重点区域、重点环节、关键部位隐患排查治理和重大危险源检测、评估和监控,守住人身、设备、大坝等基本安全底线,坚决遏制重特大事故发生。加强电网安全风险分析预警,强化重要输电通道、重要设备设施安全监管。加强并网安全监管,增强电网应对严重故障能力。加强网络信息安全工作,确保关键信息基础设施和重要信息系统安全可靠运行。加强电力建设工程施工安全和工程质量监管,修订完善《电力建设工程施工安全监督管理办法》。建立健全大面积停电事件应急预案体系,完善生产经营活动突发事件应急预案体系,开展大型城市电力综合应急演练。做好党的十九大期间等重要时期保电工作。完善电力安全监管工作机制,加强执法能力建设。
加强油气储运设施安全管理。加强国家石油储备基地安全管理。建立健全安全管理制度,完善安全风险防控体系。建立国储基地突发事件信息报告机制。强化国储基地建设项目安全管理,研究制订相关制度标准。推进油气输送管道保护。研究起草管道保护工作指导意见,研究制订油气管道完整性管理评价考核办法,推动建立长输油气管道保护工作机制。推动管道安全应急体系建设,扎实做好地质灾害周期性
评价。
提升煤矿安全生产水平。安排中央预算内资金30亿元,专项支持煤矿安全改造、重大灾害治理示范工程建设。组织开展瓦斯灾害严重和事故多发地区专家“会诊”,研究提出治理工作方案。推进新疆煤田火区治理工作,加强乌鲁木齐大泉湖、托克逊乌尊布拉克和米泉三道坝等重点火区治理,保护火区内煤炭资源、巩固灭火工作成果。
确保核电建设运行安全。组织开展“核电安全管理提升年”活动,实施为期一年的核电安全专项整治行动,排查安全漏洞,消除安全隐患。加强核电站应急、消防和操纵人员考核管理,强化核电厂建设运行经验交流反馈,全面提升核事故应急管理和响应能力,确保在运在建机组安全可控。加强核电科普宣传。
(六)推进能源技术装备升级
加大科技创新政策支持力度,加强能源科技攻关和先进技术装备推广应用,推动取得重点突破,切实增强产业发展核心竞争力。
加强关键技术攻关。在核电、新能源、页岩气、煤层气、燃气轮机及高温材料、海洋油气勘探等领域,推动自主核心技术取得突破。在太阳能光热利用、分布式能源系统大容量储能等领域,推动应用技术产业化推广。围绕推进可再生能源、先进核电、关键材料及高端装备可持续发展,研究设立
国家能源研发机构,建立健全相关管理机制。
深化能源装备创新发展。全面落实《中国制造2025—能源装备实施方案》,着力提升能源供应安全保障、非化石能源发展和化石能源清洁高效利用等重点领域装备制造水平。制订实施关于推动能源装备攻关和示范应用的支持政策。制订实施《关于依托能源工程推进燃气轮机创新发展的若干意见》。继续推动海洋平台用燃气轮机、特高压输电套管、超超临界火电机组关键设备、天然气长输管线压缩机组、核电关键泵阀和仪控、煤炭深加工大型空分等装备试验示范。编制能源装备自主创新推荐目录。
加强标准体系建设。组织修订普通柴油、车用乙醇汽油调合组分油和生物柴油标准。推动发布落实《“华龙一号”国家重大工程标准化示范项目实施方案》。制订实施《少数民族地区水电工程建设征地移民安置规划设计规定》有关标准。推动“互联网+”智慧能源、电动汽车充电设施、太阳能发电、天然气发电、储能以及能源安全生产等领域有关标准制(修)订工作。推动天然气计量方法与国际接轨。推进强制性节能、先进领跑等标准体系建设。推进能源领域深化标准化改革有关专项工作。
(七)加强能源行业管理
切实转变政府职能,加强能源法治建设,深化电力、油气等重点领域改革,进一步消除体制机制障碍、增加有效制
度供给,努力营造良好发展环境。
推进能源法治建设。积极推动《能源法》《电力法(修订)》《核电管理条例》等送审稿修改完善工作。加快推进《国家石油储备条例》《能源监管条例》立法工作。做好《石油天然气法》《可再生能源法(修订)》和《煤炭法(修订)》立法研究工作。发挥行业协会和大型企业优势,推进能源行业普法和依法治企。
深化重点领域改革。组织实施《电力中长期交易基本规则(暂行)》,积极推进电力市场化交易,有序扩大直购电交易规模。推进区域电力市场建设和电力交易机构规范运行,做好京津冀电力市场试点等有关工作。有序开展增量配电业务试点,鼓励社会资本参与投资。完善电力辅助服务市场运营规则,继续推进东北、华东区域以及山西、福建等地电力辅助服务市场试点工作。制订出台《节能低碳电力调度办法》,加强跨省跨区优化调度。研究实施可再生能源电力配额制和绿色电力证书交易机制,探索建立绿色电力证书发放和交易体系。加快石油天然气体制改革,推动出台《关于深化石油天然气体制改革的若干意见》。研究制订管道网运分离等配套文件和专项实施方案。推进上海、重庆等石油天然气交易中心建设。加快新疆能源综合改革试点,总结经验适时推广。
推进“放管服”改革。按照国务院统一部署,继续做好能
源领域行政审批事项取消、下放工作,推动实施能源投资项目负面清单管理机制。研究推动能源投资项目行政审批机制创新,探索建立以竞争性方式确立项目业主的新机制。按照有关要求,发布试行《国家能源局权力和责任清单》。开展行政许可标准化建设,编制发布《国家能源局行政许可标准化工作指南》。持续推进“双随机、一公开”监管改革,实现检查事项全覆盖,大力推进阳光审批。稳定政策预期和市场预期,积极推动油气勘察开采、油气管网、配电网等领域向民间资本开放。
强化市场秩序监管。制订实施《电力市场监管实施办法(暂行)》。加强电力调度交易与市场秩序监管,促进节能低碳调度、电网公平开放、交易规范和信息公开。加强电力价格成本和典型电网工程投资成效监管,推动跨省输电价格定价成本监审和价格审核。做好供电监管,推动提升供电服务水平。加强油气管网设施公平开放监管,推动油气管网和液化天然气设施向第三方公平开放。完善市场监管行政执法工作机制。加强12398能源监管热线管理。研究修订《承装(修、试)电力设施许可证管理办法》,严把承装(修、试)电力设施市场准入关口。建立健全能源行业信用信息平台,落实联合激励与惩戒机制,推进能源行业信用体系建设。
(八)拓展能源国际合作
坚持“走出去”与“引进来”相结合,着力打造具有国际竞
争力的能源装备品牌,着力增强开放条件下能源安全保障能力,着力加强基础设施互联互通,全方位拓展能源国际合作。
深入拓展国际油气合作。推进中亚—俄罗斯、中东、非洲、美洲和亚太五大油气合作区开发建设,加大与重点国家油气合作开发力度。完善西北、东北、西南和海上四大油气运输通道,加强安全风险防控,提升通道安全可靠运输能力。稳妥推进亚太、欧洲、北美油气运营中心建设,积极发展集贸易、加工、仓储和运输为一体的海外油气运营模式。
促进与周边国家电力互联互通。积极谋划西南联网,稳步探索东北联网。加强周边国家互联互通研究,深化与有关国家战略对接,制订大湄公河次区域国家及其他周边国家电力联网规划,合作开展区域电网升级改造,适时推进跨境联网工程建设。推进合作区域电力交易市场建设。
推动核电“走出去”。推进巴基斯坦卡拉奇项目建设,做好后续合作有关工作。推动英国核电项目实施,推进“华龙一号”英国通用设计评审。统筹协调做好我参与法国阿海珐重组工作。加强与俄罗斯、美国等国的核电技术合作。稳步推进阿根廷、土耳其、罗马尼亚等国核电项目合作。
拓宽国际能源合作领域。制订实施《关于推进能源装备国际产能合作指导意见》,完善政府间合作等工作机制。以“一带一路”国家和地区为重点,积极开拓非洲、南美洲和欧美发达国家市场,鼓励企业参与煤炭、煤电、水电、新能源、煤化工、输变电等国外项目建设,推动能源技术、装备、服务和标准“走出去”。推动建立海外装备研发、生产和维修服务体系。
积极参与全球能源治理。深化与重点国家的双边能源合作,积极参与多边框架下的能源合作。加强与国际能源署、国际能源论坛、国际可再生能源署、能源宪章等国际能源组织的合作,促进能源政策信息、人力资源等国际交流。推动实施中国—东盟清洁能源能力建设计划,推动成立中国—阿盟清洁能源培训中心和中国—中东欧(16+1)能源项目对话与合作中心。做好世贸组织《政府采购协议》谈判有关工作。
(九)着力提高能源民生福祉
围绕人民群众普遍关心的冬季供暖、大气污染、光伏扶贫等问题,加大政策支持和供应保障工作力度,加强重点用能领域基础设施建设,积极推广清洁便利的能源消费新模式,促进能源发展更好惠及社会民生。
大力推进北方地区冬季清洁取暖。按照企业为主、政府推动、居民可承受的方针,宜气则气、宜电则电,尽可能利用清洁能源,加快提高清洁供暖比重。编制实施《北方地区冬季清洁取暖规划(2017-2020年)》。加大气源供应保障力度,加强重点输气管线工程和储气工程建设,确保供暖期天然气供应保障安全。积极发展电能供热,推广电热膜、地暖和热泵供暖等新模式。继续发展背压热电等热电联产供
热。加强供气管网、配电线路建设,加快构建范围更广、能力更强的终端管线网络,推动解决“最后一公里”等制约清洁供暖的突出问题。
深入推进电网改造升级。继续实施新一轮农网改造升级,完成小城镇中心村电网改造,实现平原地区机井通电全覆盖,贫困村基本通动力电。实施200个小康电示范县建设。启动实施藏区百个县城电网改造升级及电气化工程,实施藏区百所农村学校清洁供暖示范工程建设。加快实施百个边防部队电网建设,推进军营电气化。优化直辖市、省会城市和计划单列市城市配电网布局,推进高可靠性示范区与新城镇化示范区建设。
精准实施光伏扶贫工程。总结第一批光伏扶贫工程经验,组织实施第二批光伏扶贫工程。进一步优化光伏扶贫工程布局,优先支持村级扶贫电站建设,对于具备资金和电网接入条件的村级电站,装机规模不受限制。加强并网消纳、费用结算等统筹协调工作,确保项目建设运营落实到位。
做好大气污染防治能源保障工作。全部建成12条大气污染防治重点输电通道,增加重点地区外输电力供应。推进京津冀及周边地区、长三角等区域电能替代,进一步提高电能消费比重。增加重点地区天然气供应,积极推广“煤改气”“油改气”等替代工程。做好散煤治理有关工作。
扎实推进电能替代。推动完善峰谷电价机制,鼓励用户
在低谷期使用电力储能蓄热。探索建立电力富余地区电能替代用户与风电等发电企业直接交易机制,扩大直接交易规模。支持港口岸电设施建设,研究建立岸电供售电机制。建立充电收益分配机制,增加居民小区供电容量,加快推进居民区充电桩建设。加快公用建筑和公共场所充电设施建设。完善京津冀、长三角、珠三角等重点区域城际高速公路快充网络。推进充电设施互联互通示范项目建设。升级公共充电设施新国标,2017年所有新建公共充电设施执行新国标。开展充电设施发展经验交流。
三、能源重大工程
(一)能源结构调整工程
水电。积极推进已开工水电项目建设,年内计划建成澜沧江苗尾、大渡河长河坝、猴子岩等水电站,新增装机规模1000万千瓦。扎实推进具备条件项目的核准建设,年内计划开工建设金沙江白鹤滩、巴塘、拉哇,澜沧江托巴等水电站,新开工规模力争达到3000万千瓦。
核电。积极推进已开工核电项目建设,年内计划建成三门1号机组、福清4号机组、阳江4号机组、海阳1号机组、台山1号机组等项目,新增装机规模641万千瓦。积极推进具备条件项目的核准建设,年内计划开工8台机组。扎实推进三门3、4号机组,宁德5、6号机组,漳州1、2号机组,惠州1、2号机组等项目前期工作,项目规模986万千瓦。
风电。稳步推进风电项目建设,年内计划安排新开工建设规模2500万千瓦,新增装机规模2000万千瓦。扎实推进部分地区风电项目前期工作,项目规模2500万千瓦。
太阳能发电。积极推进光伏、光热发电项目建设,年内计划安排新开工建设规模2000万千瓦,新增装机规模1800万千瓦。有序推进部分地区项目前期工作,项目规模2000万千瓦。
(二)煤炭清洁高效利用工程
煤电超低排放和节能改造。继续深入推进改造工作,年内计划完成超低排放改造规模8000万千瓦,完成节能改造规模6000万千瓦。
煤炭深加工。扎实推进已开工示范项目建设,年内计划全面建成神华宁煤煤炭间接液化(400万吨/年)、潞安矿业高硫煤一体化清洁利用一期工程(100万吨/年)等示范项目。有序推进具备条件项目的核准建设,年内计划开工建设苏新能源和丰煤制天然气、内蒙古伊泰煤炭间接液化等示范项目。做好伊泰伊犁煤炭间接液化、贵州渝富毕节(纳雍)煤炭间接液化等项目前期工作。
(三)能源系统补短板工程
煤电参与调峰改造。扩大煤电参与调峰改造试点范围,全年计划实施改造规模2000万千瓦以上,计划增加调峰能力400万千瓦。
调峰用天然气电站。在负荷集中和天然气气源有保障的地区,建设天然气调峰电站,年内计划新增装机规模100万千瓦。
抽水蓄能电站。积极推进已开工项目建设,年内计划建成投产江苏溧阳、广东深圳、海南琼中等抽水蓄能电站,新增装机规模200万千瓦。扎实推进具备条件项目的核准建设,年内计划开工建设浙江宁海、湖南平江、内蒙古芝瑞等抽水蓄能电站项目,新开工规模力争达到1000万千瓦。
储能。积极推进已开工项目建设,年内计划建成苏州辉腾、西藏尼玛、大连融科(部分)、比亚迪长沙园区、山西阳光、贵州毕节等储能项目。扎实推进南都电源镇江能源互联网、苏州高景科技、苏州锦祥、苏州工业园区、南都电源、阳光电源、阳光三星与天合光能、中天科技、大连融科(部分)等具备条件的项目。做好二连浩特、猛狮科技、协鑫集成等储能电站项目前期工作。
天然气调峰设施。积极推进金坛盐穴、双
6、相国寺等已投运储气库扩容达容,推进中原文23等地下储气库建设,年内计划开工建设中原文
23、华北及大港储气库扩容改造,全年新增工作气量3亿立方米以上。
跨省跨区输电通道。积极推进已开工项目建设,年内计划新增500千伏及以上变电容量(含换流容量)1.36亿千伏安,新增输电线路1.47万公里。扎实推进具备条件项目的核
准建设。
油气管网。积极推进已开工项目建设,年内计划建成中俄原油管道二线、陕京四线。扎实推进具备条件项目的核准建设,年内计划开工建设中俄东线天然气管道(控制性工程已开工)、新疆煤制气外输管道潜江—韶关段。
(四)能源消费模式创新工程
电能替代。在燃煤锅炉、窑炉、港口岸电等重点替代领域,实施一批电能替代工程,全年计划完成替代电量900亿千瓦时。
天然气替代。在京津冀“禁煤区”和煤炭质量控制区,在落实气源的前提下,实施民用、工业“煤改气”工程。推广车船等交通工具领域“油改气”工程。
电动汽车充电设施。积极推进充电桩建设,年内计划建成充电桩90万个。其中,公共充电桩10万个,私人充电桩80万个。
(五)能源惠民利民工程
农村电网改造升级。年内计划开工建设项目1400个,投资规模410亿元,其中中央预算内投资90亿元。计划建成项目1900个,投资规模630亿元,其中中央预算内投资85亿元、专项建设基金49亿元。
光伏扶贫。年内计划安排光伏扶贫规模800万千瓦,惠及64万建档立卡贫困户。其中,村级电站200万千瓦,惠
及40万建档立卡贫困户;集中式电站600万千瓦,惠及24万建档立卡贫困户。
国家邮政局审议并通过《快件跟踪查询信息服务规范》
日前,交通运输部党组成员、国家邮政局局长马军胜主持召开局长办公会议,审议并原则通过了《快件跟踪查询信息服务规范》(简称《规范》)。马军胜强调,快件的信息查询与实物传递同样重要,要为用户提供及时、准确、完整和方便的跟踪查询服务,改善用户查询体验,推动快递市场健康持续发展。
2014年5月22日, 中国政府宣布将实施网络安全审查制度。政府部门云计算服务安全审查制度作为网络安全审查制度的组成部分, 目前正在加快推进。而《云计算服务安全指南》和《云计算服务安全能力要求》国家标准作为支撑这项工作的技术标准, 其编制任务由国家标准委2012年下达。前者面向政府部门, 指导政府部门如何更好地使用云计算服务;后者面向云服务商, 对云服务商提出了安全能力要求。两项标准已经报批, 即将正式发布。本文对《云计算服务安全能力要求》 (以下简称《能力要求》) 作了全面解读。
2 标准用途和适用范围
《能力要求》描述了以社会化方式为特定客户提供云计算服务时, 云服务商应具备的信息安全技术能力。标准适用于对政府部门使用的云计算服务进行安全管理, 也可供重点行业和其他企事业单位使用云计算服务时参考, 还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。
目前, 云计算服务安全审查面向的是政府部门使用的云服务。从技术角度而言, 《能力要求》也同样适用于重点行业, 但这需要有专门文件对重点行业建立云计算服务安全审查制度作出规定。
云计算服务安全审查关注的是政府部门的业务和数据迁移到非受控的云环境后所面临的网络安全风险, 政府部门如自建或自己运行云平台, 则不在审查之列。因此, 《能力要求》在“适用范围”中强调了“社会化方式”。
3 标准编制原则
(1) 充分参考国际和国外已有标准。考虑到国内云计算安全标准相关资料欠缺, 同时也是为了有效应对信息安全贸易争端, 《能力要求》充分吸收了已有国际和国外云安全相关标准, 保持与国际和国外标准的合理衔接, 尽可能吸收国外云计算安全管理的经验。特别是考虑到“棱镜门”事件暴露出的国外产品和服务中潜在的安全风险, 《能力要求》特别借鉴了国际上关于供应链信息安全管理的要求。除了Fed RAMP云计算安全基线外, 《能力要求》还参考、吸收了国际标准草案ISO/IEC 27017《基于ISO/IEC 27002的云计算服务应用的信息安全控制措施》, 以及国际云安全联盟发布的《云安全指南》v3.0。
(2) 符合我国云计算产业发展的实际, 技术上适当超前, 引导云计算安全措施的应用。国际和国外云安全标准主要提出了通用要求, 对云计算的特性反映不多。《能力要求》特别增加了系统虚拟化、网络虚拟化、存储虚拟化等方面的安全要求。但考虑到技术发展趋势, 标准总体上保持技术中立, 对疑难问题提出原则性总体要求, 以指引技术进步。
(3) 不仅关注安全功能要求, 更关注安全保障要求。“安全保障”指安全功能实现的正确性和有效性, 主要通过设计、生产、交付等过程中的安全控制予以实现。就如同CC刚刚引入中国时一样, 我国企业对安全保障 (security assurance) 能力往往关注不够, 但这恰恰对安全至关重要, 也是我国企业与国外企业的差距所在。《能力要求》借鉴国外经验, 提出了很多安全保障方面能力要求。这并非是对国内企业设立的高门槛, 而是国内企业必须努力的方向。
(4) 为管理提供灵活度。《能力要求》在表述形式上作了创新。考虑到即使对同等安全能力水平的云服务商, 其实现安全要求的方式也可能会有差异, 为此引入了“赋值”和“选择”这两种操作, 并以[赋值:……]和[选择:……;……]的形式给出。“赋值”表示云服务商在实现安全要求时, 要由云服务商定义具体的数值或内容。“选择”表示云服务商在实现安全要求时, 应选择一个给定的数值或内容。这种方式既避免了对云服务商直接提出强制性的安全要求, 同时也框定了安全要求的边界。
4 标准关注的重点安全问题
《能力要求》反映了云服务商在保障云计算环境中客户信息和业务安全时应具备的基本能力。这些安全要求分为十类, 每一类安全要求包含若干项具体要求。
系统开发与供应链安全:云服务商应在开发云计算平台时对其提供充分保护, 对信息系统、组件和服务的开发商提出相应要求, 为云计算平台配置足够的资源, 并充分考虑安全需求。云服务商应确保其下级供应商采取了必要的安全措施。云服务商还应为客户提供有关安全措施的文档和信息, 配合客户完成对信息系统和业务的管理。
系统与通信保护:云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信, 并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。
访问控制:云服务商应严格保护云计算平台的客户数据, 在允许人员、进程、设备访问云计算平台之前, 应对其进行身份标识及鉴别, 并限制其可执行的操作和使用的功能。
配置管理:云服务商应对云计算平台进行配置管理, 在系统生命周期内建立和维护云计算平台 (包括硬件、软件、文档等) 的基线配置和详细清单, 设置和实现云计算平台中各类产品的安全配置参数。
维护:云服务商应维护云计算平台设施和软件系统, 并维护所使用的工具、技术。
应急响应与灾备:云服务商应为云计算平台制定应急响应计划, 并定期演练, 确保在紧急情况下重要信息资源的可用性。云服务商应建立事件处理计划, 包括对事件的预防、检测、分析和控制及系统恢复等, 对事件进行跟踪、记录并向相关人员报告。云服务商应具备容灾恢复能力, 建立必要的备份与恢复设施和机制, 确保客户业务可持续。
审计:云服务商应根据安全需求和客户要求, 制定可审计事件清单, 明确审计记录内容, 实施审计并妥善保存审计记录, 对审计记录进行定期分析和审查, 还应防范对审计记录的非授权访问、修改和删除行为。
风险评估与持续监控:云服务商应定期或在威胁环境发生变化时, 对云计算平台进行风险评估, 确保云计算平台的安全风险处于可接受水平。云服务商应制定监控目标清单, 对目标进行持续安全监控, 并在发生异常和非授权情况时发出警报。
安全组织与人员:云服务商应确保能够接触客户信息或业务的各类人员 (包括供应商人员) 上岗时具备履行其安全责任的素质和能力, 还应在授予相关人员访问权限之前对其进行审查并定期复查, 在人员调动或离职时履行安全程序, 对违反安全规定的人员进行处罚。
物理与环境保护:云服务商应确保机房位于中国境内, 机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求。云服务商应对机房进行监控, 严格限制各类人员与运行中的云计算平台设备进行物理接触, 确需接触的, 需通过云服务商的明确授权。
5 标准主要创新点
(1) 安全措施的实施责任
《能力要求》与其他标准的一个重大区别是, 传统的信息安全指标的实施主体明确, 如由用户负责或由服务商负责。但云环境下, 安全措施的实施主体情况十分复杂。为此, 《能力要求》划分了不同模式下安全措施的责任边界。云计算环境的安全性由云服务商和客户共同保障。在某些情况下, 云服务商还要依靠其他组织提供计算资源和服务, 其他组织也应承担安全责任。因此, 云计算安全措施的实施主体有多个, 各类主体的安全责任因不同的云计算服务模式而异。
图1中, 云计算的设施层 (物理环境) 、硬件层 (物理设备) 、资源抽象控制层都处于云服务商的完全控制下, 所有安全责任由云服务商承担。应用软件层、软件平台层、虚拟化计算资源层的安全责任则由双方共同承担, 越靠近底层的云计算服务 (即Iaa S) , 客户的管理和安全责任越大;反之, 云服务商的管理和安全责任越大。
考虑到云服务商可能还需要其他组织提供的服务, 如Saa S或Paa S服务提供商可能依赖于Iaa S服务提供商的基础资源服务。在这种情况下, 一些安全措施由其他组织提供。
《能力要求》不对客户承担的安全责任提出要求。客户应参照《云计算服务安全指南》及其他有关信息安全的标准规范落实其安全责任。
如云服务商依赖于其他组织提供的服务或产品, 则其所承担的安全责任直接或间接地转移至其他组织, 云服务商应以合同或其他方式对相应安全责任进行规定并予以落实。但是, 云服务商仍是客户或主管部门开展云计算服务安全管理的直接对象。
(2) 安全措施的作用范围
在同一个云计算平台上, 可能有多个应用系统或服务, 某些安全措施应作用于整个云计算平台。例如, 云服务商实施的人员安全措施即适用于云计算平台上每一个应用系统。这类安全措施称为通用安全措施。
某些安全措施则仅是针对特定的应用或服务, 例如云计算平台上电子邮件系统的访问控制措施与字处理系统的访问控制措施可能不同。这类安全措施称为专用安全措施。
在特殊情况下, 某些安全措施的一部分属于通用安全措施, 另一部分则属于专用安全措施, 例如云计算平台上电子邮件系统的应急响应计划既要利用云服务商的整体应急响应资源 (如应急支援队伍) , 也要针对电子邮件系统的备份与恢复作出专门考虑, 这类安全措施称为混合安全措施。
云服务商申请为客户提供云计算服务时, 所申请的每一类云计算应用或服务均应实现本标准规定的安全要求。云服务商可以不再重复实现通用安全措施, 平台上每个具体的应用系统或服务直接继承该安全措施即可。
(3) 安全要求的表述形式
根据云服务商的安全能力水平, 《能力要求》将安全要求分为一般要求和增强要求。标准中每一项安全要求均以一般要求和增强要求的形式给出。增强要求是对一般要求的补充和强化。在实现增强要求时, 一般要求应首先得到满足。
政府部门应对拟迁移至云计算平台的数据和业务系统进行分析, 按照数据和业务的敏感及重要程度选择相应安全能力水平的云服务商。
《能力要求》与现有国家信息安全等级保护标准GB/T 22239-2008《信息系统安全等级保护基本要求》不矛盾、不冲突、不重复。云服务商应当首先满足GB/T 22239-2008的要求, 《能力要求》可与GB/T 22239-2008一起使用, 未修改或降低等级保护标准所规定的要求。编制组建议, 安全能力为一般级的云服务商应当首先满足等级保护二级的安全要求, 安全能力为增强级的云服务商应当首先满足等级保护三级的安全要求。
(4) 安全要求的调整
《能力要求》提出的安全要求是通常情况下云服务商应具备的基本安全能力。
在具体的应用场景下, 云服务商有可能需要对这些安全要求进行调整, 例如:
●已知某些目标政府用户有特殊的需求。
●云服务商的安全责任因Saa S、Paa S和Iaa S这三种不同的云计算服务模式而不同, 云服务商为了实现标准中规定的安全要求, 所选择的安全措施的实施范围、实施强度可能不同。
●出于成本等因素考虑, 云服务商可能希望实现替代性的安全要求。
●云服务商希望表现更强的安全能力, 以便于吸引客户。
调整可视为对本标准提出的基本安全能力要求的具体化。调整的方式有:
●删减:未实现某项安全要求, 或只实现了某项安全要求的一部分。
●补充:某项基本安全要求不足以满足云服务商的特定安全目标, 故增加新的安全要求, 或对标准中规定的某项安全要求进行强化。
●替代:使用其他安全要求替代标准中规定的某项安全要求, 以满足相同的安全目标。
(5) 安全计划模版
为便于评估, 编制组还研究制定了安全计划模板, 可作为云计算安全评估的重要依据。云服务商应在安全计划中详细说明对《能力要求》提出的安全要求的实现情况, 并对“赋值”和“选择”给出具体的数值或内容, 必要时还需对标准提出的安全要求进行调整。
当云计算平台提供多个应用或服务时, 云服务商应分别制定每个应用或服务的安全计划。
6 结语
【国家信息安全服务资质】推荐阅读:
信息安全国家职业标准09-29
国家电网信息安全咨询11-22
国家公祭日信息09-28
企业信息管理师国家职业标准10-07
潍坊市国家税务局政府信息公开指南09-28
国家保安员资质考试培训教材06-20
信息安全服务保障措施09-14
信息安全服务评估报告09-24
涉密信息系统集成资质管理办法11-04
国家基本公共服务体系十二五规划07-16