经济合作发展组织的信息化风险管理(lǐ)经验
来源:
作者:
发布时间: 2005-12-14
经济合作发展组织(Organization for Economic Co-operation and Development,以下简称 OECD)在1992年就发布《信息系统安全指南》(Guidelines for the Security of Information Systems),用(yòng)以指导信息系统与网络安全的建设,随后又(yòu)于1997年和2001年分(fēn)别进行了修改。随着互联性的增强,信息系统和网络所面临的威胁越来越多(duō),因此,OECD又(yòu)于2002年7月25日OECD委员会第1037次会议上提出了一个新(xīn)的文(wén)件《OECD关于信息系统与网络安全的指南:文(wén)化安全趋向》(OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security)(以下简称《指南》)指出了解安全问题的重要及建立安全文(wén)化的需要,旨在帮助成员國(guó)和非成员國(guó)的政府和企业组织增强信息系统的风险意识,提供一般性的安全知识框架。
该《指南》通过促进建立一种安全文(wén)化来回应不断变化的安全环境。这种安全文(wén)化是指在建立信息系统和网络时,在信息系统和网络里采用(yòng)新(xīn)的思维和行為(wèi)方式时,要始终关注安全问题。建立安全文(wén)化需要领导者和参与者的相互合作,它将使安全计划和管理(lǐ)以及参与各方对安全需求的理(lǐ)解变得更為(wèi)重要。具體(tǐ)来说,OECD关于信息风险管理(lǐ)的《指南》主要包括以下几个部分(fēn):
1,网络安全的目标:
安全文(wén)化作為(wèi)保护信息系统的一种手段,必须在成员國(guó)当中积极推广;
提高对信息系统的风险的认识,熟知化解这些风险的各种政策、惯例、方法和流程;
增强成员國(guó)对信息系统的信心;
在成员國(guó)制定和应用(yòng)信息安全政策、惯例、方法和流程时,建立一个通用(yòng)的参考框架以帮助成员國(guó)理(lǐ)解安全问题并尊重道德价值;
在成员國(guó)制定和应用(yòng)信息安全政策、惯例、方法和流程时,加强合作和信息共享;
在成员國(guó)参与制定和应用(yòng)各种技术标准时,促使他(tā)们把安全作為(wèi)一个重要目标来考虑;
2,信息风险管理(lǐ)的指导原则
以下有(yǒu)九条原则,必须把它们作為(wèi)一个整體(tǐ)来看待。它们适用(yòng)于各个层次的参与者。强化信息系统的各种努力都必须和民(mín)主价值观,特别是对开放而自由的信息以及保护个人隐私的需要保持一致;
意识 成员國(guó)必须高度关注信息系统的安全需要以及怎样强化安全;
责任 成员國(guó)有(yǒu)责任维护信息系统的安全;
回应 成员國(guó)应该及时并协调一致的预防、发现并回应安全事故;
道德规范 成员國(guó)必须尊重他(tā)國(guó)的正当利益;
民(mín)主 信息系统的强化必须符合民(mín)主价值观;
风险评估 成员國(guó)必须进行风险评估;
设计和执行的安全性 安全性必须成為(wèi)信息系统的核心要素,任何系统、网络和政策都需要正确的设计、执行以及符合安全标准;
安全管理(lǐ) 成员國(guó)必须拥有(yǒu)丰富的安全管理(lǐ)手段;
再次评估 成员國(guó)应该重新(xīn)评估信息系统的安全性,并对各种安全政策、惯例、手段和流程做出适当的调整;
3,对各成员國(guó)的建议
制定新(xīn)的或修改现有(yǒu)的政策、实践、方法和程序以适应《指南》的要求,促进安全文(wén)化的建立;
在國(guó)内和國(guó)与國(guó)之间进行咨询、协调和合作以实施《指南》的建议;
在公共和私人部门(包括政府、事业单位、其他(tā)组织、个體(tǐ)用(yòng)户等)中宣传该《指南》,促进安全文(wén)化的建立,鼓励相关各方為(wèi)其负责并采取必要的适合个人的步骤去实施《指南》;
使OECD的非成员國(guó)可(kě)以及时地以适当的方式获得该《指南》;
每过五年,该《指南》都要被审查一次,与信息系统与网络安全相关的问题的國(guó)际合作;
就信息、计算机和通讯政策等向OECD委员会进行建议以促进《指南》的实施。
(摘自“十一五”信息化专项规划重大课题研究之“信息化风险及风险管理(lǐ)研究”)
作者:张成福 唐 钧 陈淑伟 朱海燕 易小(xiǎo)國(guó) 謝(xiè)一帆 王建亮 孔祥振 等
该《指南》通过促进建立一种安全文(wén)化来回应不断变化的安全环境。这种安全文(wén)化是指在建立信息系统和网络时,在信息系统和网络里采用(yòng)新(xīn)的思维和行為(wèi)方式时,要始终关注安全问题。建立安全文(wén)化需要领导者和参与者的相互合作,它将使安全计划和管理(lǐ)以及参与各方对安全需求的理(lǐ)解变得更為(wèi)重要。具體(tǐ)来说,OECD关于信息风险管理(lǐ)的《指南》主要包括以下几个部分(fēn):
1,网络安全的目标:
安全文(wén)化作為(wèi)保护信息系统的一种手段,必须在成员國(guó)当中积极推广;
提高对信息系统的风险的认识,熟知化解这些风险的各种政策、惯例、方法和流程;
增强成员國(guó)对信息系统的信心;
在成员國(guó)制定和应用(yòng)信息安全政策、惯例、方法和流程时,建立一个通用(yòng)的参考框架以帮助成员國(guó)理(lǐ)解安全问题并尊重道德价值;
在成员國(guó)制定和应用(yòng)信息安全政策、惯例、方法和流程时,加强合作和信息共享;
在成员國(guó)参与制定和应用(yòng)各种技术标准时,促使他(tā)们把安全作為(wèi)一个重要目标来考虑;
2,信息风险管理(lǐ)的指导原则
以下有(yǒu)九条原则,必须把它们作為(wèi)一个整體(tǐ)来看待。它们适用(yòng)于各个层次的参与者。强化信息系统的各种努力都必须和民(mín)主价值观,特别是对开放而自由的信息以及保护个人隐私的需要保持一致;
意识 成员國(guó)必须高度关注信息系统的安全需要以及怎样强化安全;
责任 成员國(guó)有(yǒu)责任维护信息系统的安全;
回应 成员國(guó)应该及时并协调一致的预防、发现并回应安全事故;
道德规范 成员國(guó)必须尊重他(tā)國(guó)的正当利益;
民(mín)主 信息系统的强化必须符合民(mín)主价值观;
风险评估 成员國(guó)必须进行风险评估;
设计和执行的安全性 安全性必须成為(wèi)信息系统的核心要素,任何系统、网络和政策都需要正确的设计、执行以及符合安全标准;
安全管理(lǐ) 成员國(guó)必须拥有(yǒu)丰富的安全管理(lǐ)手段;
再次评估 成员國(guó)应该重新(xīn)评估信息系统的安全性,并对各种安全政策、惯例、手段和流程做出适当的调整;
3,对各成员國(guó)的建议
制定新(xīn)的或修改现有(yǒu)的政策、实践、方法和程序以适应《指南》的要求,促进安全文(wén)化的建立;
在國(guó)内和國(guó)与國(guó)之间进行咨询、协调和合作以实施《指南》的建议;
在公共和私人部门(包括政府、事业单位、其他(tā)组织、个體(tǐ)用(yòng)户等)中宣传该《指南》,促进安全文(wén)化的建立,鼓励相关各方為(wèi)其负责并采取必要的适合个人的步骤去实施《指南》;
使OECD的非成员國(guó)可(kě)以及时地以适当的方式获得该《指南》;
每过五年,该《指南》都要被审查一次,与信息系统与网络安全相关的问题的國(guó)际合作;
就信息、计算机和通讯政策等向OECD委员会进行建议以促进《指南》的实施。
(摘自“十一五”信息化专项规划重大课题研究之“信息化风险及风险管理(lǐ)研究”)
作者:张成福 唐 钧 陈淑伟 朱海燕 易小(xiǎo)國(guó) 謝(xiè)一帆 王建亮 孔祥振 等
- 上一篇: 美國(guó)的信息化风险管理(lǐ)经验
- 下一篇: 英國(guó)的信息化风险管理(lǐ)经验
中國(guó)信息协会会長(cháng)王金平参加第七届数字中國(guó)建设峰会
全國(guó)大學(xué)生创新(xīn)发明大赛暨“英创工程”启动
赋能(néng)未来,共创数智化新(xīn)纪元:中國(guó)信息协会集团企业数字化工作委员会正式成立
中國(guó)信息协会第四届信息技术服務(wù)业应用(yòng)技能(néng)大赛新(xīn)闻发布会在京召开
- 协会要闻
- 通知公告
-
- • 中國(guó)信息协会会長(cháng)王金平参加第七届数字中國(guó)建设峰会
- • 提供伴随式服務(wù),践行智库型组织——中國(guó)信息协会产业互联网分(fēn)会正式成立
- • 关于举办政務(wù)热線(xiàn)管理(lǐ)干部专题研修班的通知
- • 关于召开“2024第七届中國(guó)信息技术应用(yòng)创新(xīn)大会”的通知
- • 中國(guó)信息协会算力网专业委员会(筹)发展研讨会在深圳召开
- • 关于举办中國(guó)信息协会第四届信息技术服務(wù)业应用(yòng)技能(néng)大赛物(wù)联网、區(qū)块链、机器人、云计算、移动通信、大数据分(fēn)析技术与应用(yòng)赛项的通知
- • 中國(guó)信息协会会長(cháng)王金平一行赴深圳市信息行业协会调研
- • 全國(guó)大學(xué)生创新(xīn)发明大赛暨“英创工程”启动
- • 中國(guó)信息协会会長(cháng)王金平一行赴通用(yòng)航空分(fēn)会调研
- • 中國(guó)信息协会会長(cháng)王金平一行赴《中國(guó)信息界》杂志(zhì)社调研