為(wèi)保证信息的安全发展，英國(guó)先后制定了一系列的法律规范，為(wèi)信息管理(lǐ)提供了法律保障。1998年的《数据保护法案》确定了公民(mín)具有(yǒu)获得个人全部信息、数据的合法权利；1999年英國(guó)出台了《通信管理(lǐ)条例》；2000年有(yǒu)关部门提交了《调查权法案》；2003年12月11日，英國(guó)更新(xīn)了对《通信管理(lǐ)条例》和《调查权法案》具有(yǒu)指导意义的《通信数据保护指导原则》，将法规适用(yòng)范围从電(diàn)话、传真扩展到電(diàn)子邮件和其他(tā)信息服務(wù)形式；此外英國(guó)内政部公布了《垃圾邮件法案》，加强对个人通信的管理(lǐ)；2004年初，英國(guó)政府出台了应对网络诈骗、网络色情、電(diàn)脑病毒传播、黑客攻击等“電(diàn)子犯罪”的战略，要求搜集整理(lǐ)英國(guó)官方的多(duō)家犯罪调查、研究机构的信息，对现有(yǒu)法律进行评估，展望和研究未来電(diàn)子犯罪的本质，為(wèi)政府、执法部门和工商(shāng)企业应对网络犯罪提供宏观指导。為(wèi)了使这些法律的规定落到实处，贸工部（The Department of Trade and Industry,简称，DTI）制定了一系列的指导文(wén)件。包括：《信息安全：保护单位自查》（Information security: Protecting your business assets）、《2000年電(diàn)子通信法案的指导》（Guide to Electronic Communications Act 2000）等。

英國(guó)贸工部负责管理(lǐ)产业界的相关事宜，包括对信息化的潜在风险的评估建议，以确保信息的完整性和机密性。1993年3月，英國(guó)贸工部发布科(kē)學(xué)、工程与技术白皮书――《实现我们的潜力》。白皮书首次提出把在全國(guó)范围内开展“技术预测计划”作為(wèi)英國(guó)政府以科(kē)技推动经济发展的重大举措。从1994年4月开始，各专家小(xiǎo)组进行函调以确定那些影响最為(wèi)重要的领域，结果信息管理(lǐ)被确认為(wèi)最為(wèi)重要的27个优先领域之一。

贸工部在2004年4月份做了一份题為(wèi)《信息安全----单位的网络使用(yòng)指南》（Information Security :A business guide to using the internet）的报告。在该报告中，他(tā)们按照危机管理(lǐ)的原则，分(fēn)五个步骤对信息化的风险及风险管理(lǐ)进行了说明。该报告提出的保证单位信息安全的五个步骤：1，需求分(fēn)析。首先分(fēn)析需不需要上网，然后分(fēn)析所需上网的功能(néng)，再选择服務(wù)供给者。2，评估风险。首先需要了解你的计算机和信息的潜在威胁；确定你的单位的事務(wù)的公开程度；评估其潜在的风险。3，制定安全政策。说明：①可(kě)以使用(yòng)的服務(wù)；②谁批准建立网络连接；③谁為(wèi)安全负责；④应当遵循什么样的标准、指南和实践；⑤用(yòng)户的责任。要明确安全负责，虽然所有(yǒu)的用(yòng)户都有(yǒu)一定的责任，但最终要确保实施和保持适当的安全措施将是管理(lǐ)高层的责任。4，实施安全措施。需要一定的程序、技术和人员方面的控制措施，其复杂性取决于组织所选择的服務(wù)的类型。5，管理(lǐ)、监控并维持有(yǒu)效的安全。不断进行循环，需要采取的步骤如下：①修改工作计划以适应变化的事務(wù)需求；②评估风险；③根据风险程度的变化及时修改安全政策④实施满足政策要求的安全控制措施；⑤监控并保持安全控制措施的有(yǒu)效性。

 

在英國(guó)的信息化风险管理(lǐ)过程中，以下两个认证體(tǐ)系是典型的经验。第一，BS7799安全标准，颁发于1999年，定义了在信息安全管理(lǐ)方面的最佳实践。近年来，BS7799获得了越来越多(duō)的关注，越来越多(duō)的单位采用(yòng)BS7799作為(wèi)安全管理(lǐ)方面的最佳实践参考，使用(yòng)它来进行安全审计和风险评估，进而建立自己的信息安全管理(lǐ)系统（ISMS），最终通过BS7799认证。第二，TickIT (Tick Information Technologies)计划，是英國(guó)贸工部（DTI）和英國(guó)计算机协会（BCS）為(wèi)了适应软件业的特殊需要，而在ISO 9001和ISO 9000-3基础上制定的一项软件认证计划。目前，TickIT已得到英國(guó)政府部门和世界上主要软件商(shāng)的承认；除英國(guó)外，瑞典、法國(guó)等國(guó)家也采纳了TickIT认证模式。
及时颁布各种法规和相应的指导性文(wén)件来规范和指导信息化的风险管理(lǐ)是英國(guó)的成功经验之一。除了上面提到的《信息安全：保护单位资产》和《2000年電(diàn)子通信法案的指导》之外，DTI还制定了许多(duō)指导性的文(wén)件，包括：《物(wù)理(lǐ)安全列表》（Physical security checklist）、《如何制定信息安全政策》（How To write an Information Security policy）、《系统失败的预防》（Systems failure prevention）、《人力资源管理(lǐ)条例》（HR dismissal discipline）、《ISO/IEC 17799用(yòng)户组》（ISO/IEC 17799 Users" Group）以及《ISO/IEC 17799用(yòng)户组指南》（Guide to the UK ISO/IEC 17799 users’ group）等等。这些都具有(yǒu)相当程度的可(kě)操作性，為(wèi)英國(guó)信息化风险的管理(lǐ)提供了保障。

纵观DTI的各类文(wén)件可(kě)以看出，DTI的关注焦点主要集中在信息化的技术风险方面。所描述的多(duō)為(wèi)病毒、黑客、非法进入等由于技术的不足而导致的风险，它所提供的防范措施和建议也主要集中在技术标准的建立和技术水平的提高上。对于其他(tā)方面的风险（宏观方面如信息化的经济风险，微观方面如信息化的就绪风险）以及相应的管理(lǐ)措施则所述不多(duō)。

（摘自“十一五”信息化专项规划重大课题研究之“信息化风险及风险管理(lǐ)研究”）

作者：张成福   唐  钧  陈淑伟  朱海燕  易小(xiǎo)國(guó)  謝(xiè)一帆  王建亮  孔祥振 等