近年来，随着信息化的发展，信息安全问题日益突出，已成为世界各国日益关注的共同问题。特别是中国，作为拥有13亿人口的社会主义大国，在工业化水平还很低，信息安全核心技术和关键产品主要依赖进口、受制于人的情况下，推进信息化过程中，信息安全显得尤为重要，成为了关系国家安全的重大战略问题。

信息化是新生事物，信息安全更是发展过程中的新课题，我们对信息化的发展规律和趋势，对信息化可能给社会带来的影响和冲击还认识不足，我们无论在思想观念上、行为方式上，还是在法律上、组织上、管理上，都还有许多与信息化发展不相适应的地方。因此，进一步加深对信息化本质和规律的认识，主动地适应信息化发展的要求，积极地解决发展中可能出现的矛盾，处理好维护国家信息安全和促进信息化发展的关系，是我们面临的一个重大历史课题。

国家高度重视信息安全工作，国家信息化领导小组第三次工作会议专门讨论了信息安全问题，审议通过了关于加强信息安全保障工作的意见，即大家所熟悉的中办发［2003］27号文。2004年1月，国家又召开了全国信息安全保障工作会议，中央领导同志出席会议，并作了重要讲话。可以说，27号文和中央领导同志的讲话是我们加强信息安全保障工作的大政方针。加强信息安全保障工作，首先是要提高思想认识、解放思想、主动应对，要从保护公众利益、促进经济发展、维护社会政治稳定的高度，认识信息安全的极端重要性，要坚持积极防御、综合防范的方针，全面提高信息安全防范能力，重点保障基础信息网络和重要信息系统的安全，创建安全健康的网络环境。保障和促进信息化发展，要坚持一手抓信息化发展，一手抓信息安全，处理好安全和发展的关系，以安全保发展，在发展中求安全，要从实际出发，保障重点，综合平衡安全风险和成本，根据安全需求搞建设，根据安全需求加强管理，要用依法治国的基本方略来统领安全工作，规范信息安全管理，做到既充分保障国家的信息安全，又充分尊重公民的信息权益，尊重个人隐私。要坚持管理与技术并重，既高度重视信息安全管理问题，又要坚定不移地以业务为主，自主创新，大力发展信息安全技术和产业。

加强信息安全保障工作，还必须加强信息安全保障体系建设。信息安全保障体系是信息安全工作的管理和物质基础，是加强信息安全保障工作的战略措施。我们必须推进信息安全法制建设，努力加强信息安全基础性工作和基础设施建设，加快培养信息安全人才，大力发展信息安全高技术和信息安全产业。

今天会议的主题，“信息安全保障与评估”，是信息安全保障工作的一项重要任务。信息安全风险评估是风险管理理论和方法在信息化中的运用，是正确确定信息资产，合理分析信息安全风险，科学决策风险、补偿风险和控制风险的过程。信息安全风险评估是信息安全保障工作的一个重要方法。

信息安全风险评估应该成为各个系统信息化建设的一种内在要求，各系统的主管单位和应用单位应该负责好自己系统的信息安全风险评估工作，国家主要是对重要信息系统的信息安全风险评估工作提出政策和要求，给予指导和支持，广大的社会力量，特别是公司，是信息安全风险评估的主要承担者。信息安全风险评估敏感性也很强，如果管理不当，引导不当，有可能因为信息安全风险评估，反而带来新的信息安全隐患，所以必须对信息安全风险评估做必要的规范和引导，特别是对涉及国计民生的重要信息系统的信息安全风险评估，更应该有一定之规。

根据工作安排，国务院信息化领导小组办公室正在组织专家研究如何推动信息安全风险评估工作，我们特别希望在这个问题上，与各位老师、各位专家保持密切的合作，共同推动这一工作的开展。

最后预祝这次会议取得圆满成功。

（本文根据“2004中国信息安全论坛·信息系统安全保障与评估研讨会”会议录音整理,未经本人修改）。