政策进入落实期

　　2003年9月，中央颁布了《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文件)，提出要在5年内建设中国信息安全保障体系。2007年，是这一目标实现的倒数第二个年份。在国务院信息化办公室的大力推进下，27号文件提出的十项基本任务目前已经正在或基本落实。由于信息安全是这样一个复杂和关系重大的领域，国家采取了谨慎前行的方式，2006年之前，各种政策制度均处于试点阶段，2007年，将进入普及推广阶段。

　　信息安全的等级保护制度是国家大力倡导的信息安全基本政策。经过两年多的探索，2005年，公安部出台了等级保护规范， 2006年对等级保护制度进行了重点试点，并总结出了很好的经验和汲取的教训。2007年，毫无疑问，等级保护工作将在中国的各个重要的基础行业广泛推广。

　　灾难备份标准已经在2005年出台，2006年在中国的基础性行业，比如金融、电信、民航等，积极探索灾备和业务连续性模式已经有了明确的结果，2007年有望在更广泛的领域推广。

　　2006年，信息安全风险评估工作在试点的过程中，也取得了良好的成绩，有望在2007年全面展开。这不仅为用户带来了高等级的安全保护，也为产业带来了新的商业机会。

　　2006年，信息安全管理规范的试点工作也基本完成。从结果来看，基本取得了预期的效果，2007年，这一成果同样将在更广泛的领域采用。

　　经过多年的筹备，2006年6月，中国信息安全认证中心获中编办正式批准。至此，我国信息安全认证认可体系的建设构架基本形成，工作机制基本确定，对信息安全产品实施统一认证的条件基本准备就绪，标志着我国信息安全认证认可体系建设迈出了重要步伐。

　　毫无疑问，在2007年，一方面一些重要的政策、标准还将继续采用试点的方式摸索成功的方法，并不断进行经验总结;另一方面，一些证明成功的经验将在更加广泛的领域推广，中国的信息安全政策将全面进入落地时期。

　　用户进入投入期

　　经过3年来国家对重点行业的重要用户进行信息安全理论和实际运营经验的培训和教育，目前，中国IT系统用户的信息安全意识已经普遍得到提高，尤其是金融、电信、民航、电力、制造业等信息化程度高的重点行业，已经开始广泛部署各种信息安全技术和产品，并按照国家的号召，在等级保护、风险评估、灾难备份和业务连续性等领域，逐步掌握科学规范的方法。2007年，这些重点行业将进入全面的投入期。

　　以金融业为例，过去人们一直认为金融行业对信息安全的建设非常重视，但实际上，金融业并不如想像的那样安全，一般的银行只部署了简单的信息安全技术和产品，并没有从体系上解决信息安全问题。但自2006年以来，金融业普遍开始进行认识上的转型，尤其是外资银行在国内业务的扩张，国内银行竞争压力加大，再加上网上银行业务模式比重的加大，势必使得金融信息安全建设在2007年将备受关注。

　　此外，用户从实践中已经认识到，信息安全的“系统”建设比单独购买信息安全产品更重要，只有整体IT系统的安全才能构成真正意义上的安全。因此，从系统角度考虑安全建设将成为主流理念。

　　在这种情况下，用户安全建设四层结构渐已成型。一是安全规划，确定系统的安全框架与建设步骤，包括为系统定级等;二是进行重点资源的保护以及安全产品购买;三是安全管理平台的建设，以便及时把握系统的安全状况;第四是日常运营管理，以保障安全体系正常发挥作用。

　　与往年一样，2007年全球的安全形势依然不容乐观，病毒、木马、钓鱼攻击、垃圾邮件、僵尸网络、间谍软件、流氓软件、针对漏洞的攻击等依然会以各种不同的面貌出现，也不排除会出现新的攻击形式。用户不得不保持高度的警惕，并在信息安全领域持续进行重大的投入，以保护自己的数字资产。