经济合作发展组织（Organization for Economic Co-operation and Development，以下简称 OECD）在1992年就发布《信息系统安全指南》（Guidelines for the Security of Information Systems），用(yòng)以指导信息系统与网络安全的建设，随后又(yòu)于1997年和2001年分(fēn)别进行了修改。随着互联性的增强，信息系统和网络所面临的威胁越来越多(duō)，因此，OECD又(yòu)于2002年7月25日OECD委员会第1037次会议上提出了一个新(xīn)的文(wén)件《OECD关于信息系统与网络安全的指南：文(wén)化安全趋向》（OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security）（以下简称《指南》）指出了解安全问题的重要及建立安全文(wén)化的需要，旨在帮助成员國(guó)和非成员國(guó)的政府和企业组织增强信息系统的风险意识，提供一般性的安全知识框架。

    该《指南》通过促进建立一种安全文(wén)化来回应不断变化的安全环境。这种安全文(wén)化是指在建立信息系统和网络时，在信息系统和网络里采用(yòng)新(xīn)的思维和行為(wèi)方式时，要始终关注安全问题。建立安全文(wén)化需要领导者和参与者的相互合作，它将使安全计划和管理(lǐ)以及参与各方对安全需求的理(lǐ)解变得更為(wèi)重要。具體(tǐ)来说，OECD关于信息风险管理(lǐ)的《指南》主要包括以下几个部分(fēn)：

1、网络安全的目标：

    安全文(wén)化作為(wèi)保护信息系统的一种手段，必须在成员國(guó)当中积极推广；

提高对信息系统的风险的认识，熟知化解这些风险的各种政策、惯例、方法和流程；

增强成员國(guó)对信息系统的信心；

在成员國(guó)制定和应用(yòng)信息安全政策、惯例、方法和流程时，建立一个通用(yòng)的参考框架以帮助成员國(guó)理(lǐ)解安全问题并尊重道德价值；

在成员國(guó)制定和应用(yòng)信息安全政策、惯例、方法和流程时，加强合作和信息共享；

在成员國(guó)参与制定和应用(yòng)各种技术标准时，促使他(tā)们把安全作為(wèi)一个重要目标来考虑；

2、信息风险管理(lǐ)的指导原则

以下有(yǒu)九条原则，必须把它们作為(wèi)一个整體(tǐ)来看待。它们适用(yòng)于各个层次的参与者。强化信息系统的各种努力都必须和民(mín)主价值观，特别是对开放而自由的信息以及保护个人隐私的需要保持一致；

意识－－成员國(guó)必须高度关注信息系统的安全需要以及怎样强化安全；

责任－－成员國(guó)有(yǒu)责任维护信息系统的安全；

回应－－成员國(guó)应该及时并协调一致的预防、发现并回应安全事故；

道德规范－－成员國(guó)必须尊重他(tā)國(guó)的正当利益；

民(mín)主－－信息系统的强化必须符合民(mín)主价值观；

风险评估－－成员國(guó)必须进行风险评估；

设计和执行的安全性－－安全性必须成為(wèi)信息系统的核心要素，任何系统、网络和政策都需要正确的设计、执行以及符合安全标准；

安全管理(lǐ)－－成员國(guó)必须拥有(yǒu)丰富的安全管理(lǐ)手段；

再次评估－－成员國(guó)应该重新(xīn)评估信息系统的安全性，并对各种安全政策、惯例、手段和流程做出适当的调整；

3、对各成员國(guó)的建议

制定新(xīn)的或修改现有(yǒu)的政策、实践、方法和程序以适应《指南》的要求，促进安全文(wén)化的建立；

在國(guó)内和國(guó)与國(guó)之间进行咨询、协调和合作以实施《指南》的建议；

在公共和私人部门（包括政府、事业单位、其他(tā)组织、个體(tǐ)用(yòng)户等）中宣传该《指南》，促进安全文(wén)化的建立，鼓励相关各方為(wèi)其负责并采取必要的适合个人的步骤去实施《指南》；

使OECD的非成员國(guó)可(kě)以及时地以适当的方式获得该《指南》；

每过五年，该《指南》都要被审查一次，与信息系统与网络安全相关的问题的國(guó)际合作；

就信息、计算机和通讯政策等向OECD委员会进行建议以促进《指南》的实施。