信息安全法规、政策与标准1)法律体系初步构建,但体系化与有效性等方面仍有待进一步完善信息安全法律法规体系初步形成。据相关统计,截至2008年与信息安全直接相关的法律有65部,涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,从形式看,有法律、相关的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。与此同时,与信息安全相关的司法和行政管理体系迅速完善。但整体来看,与美国、欧盟等先进国家与地区比较,我们在相关法律方面还欠体系化、覆盖面与深度。缺乏相关的基本法,信息安全在法律层面的缺失对于信息安全保障形成重大隐患。2)相关系列政策推出,与国外也有异曲同工之处从政策来看,美国信息安全政策体系也值得中国学习与借鉴。美国在信息安全管理以及政策支持方面走在全球的前列:一是制定了从军政部门、公共部门和私营领域的风险管理政策和指南;二是形成了军、政、学、商分工协作的风险管理体系;三是国防部、商务部、审计署、预算管理等部门各司其职,形成了较为完整的风险分析、评估、监督、检查问责的工作机制。3)信息安全标准化工作得到重视,但标准体系尚待发展与完善信息安全标准体系主要由基础标准、技术标准和管理标准等分体系组成。中国信息技术安全标准化技术委员会(CITS)主持制定了GB系列的信息安全标准对信息安全软件、硬件、施工、检测、管理等方面的几十个主要标准。但总体而言,中国的信息安全标准体系仍处于发展和建立阶段,基本上是引用与借鉴了国际以及先进国家的相关标准。因此,中国在信息安全标准组织体系方面还有待于进一步发展与完善。 信息安全用户意识与实践1) 信息安全意识有待提高与发达国家相比,中国的信息安全产业不单是规模或份额的问题,在深层次的安全意识等方面差距也不少。而从个人信息安全意识层面来看,与美欧等相比较,仅盗版软件使用率相对较高这种现象就可以部分说明中国个人用户的信息安全意识仍然较差。包括信用卡使用过程中暴露出来的签名不严格、加密程度低,以及在互联网使用过程中的密码使用以及更换等方面都更多地表明,中国个人用户的信息安全意识有待于提高。2)信息安全实践过程有待加强管理信息安全意识较低的必然结果就是导致信息安全实践水平较差。广大中小企业与大量的政府、行业与事业单位用户对于信息安全的淡漠意识直接表现为缺乏有效地信息安全保障措施,虽然,这是一个全球性的问题,但是中国用户在这一方面与发达国家还有一定差距。 中间组织对信息安全产业发展的影响同国外相比较,中国的中间组织机构多为政府职能部门所属机构或者是下属科研机构与企业等,而欧美国家这方面的中间组织则包括了国家的相关部门组织、教育与科研组织、企业组织与同业组织等,其覆盖层次更多,面积更广。与欧美比较,中国资本市场相对薄弱,对于安全产业的发展而言,就缺乏有效的中间组织形式来推进和导向其发展,虽然中国有一些依托于政府部门的中间组织在产品测试等服务的基础之上开展了一些相关的服务,但是距离推进、引导中国安全产业中的各类企业尤其是中小企业的发展的需求还有很大的差距,详见《中国信息安全行业发展前景与投资战略规划分析报告》。 教育培训是培育信息安全公众或专业人才的重要手段,中国近些年来在信息安全正规教育方面也推出了一些相应的科目与专业,国家各级以及社会化的信息安全培训也得到了开展,但这些仍然是不够的,社会教育深入与细化程度与美国等发达国家比较仍有差距。在美国,对于企业的信息安全有很多监管规范,因此一个良好的培训计划开端可以从适应政府或行业的监管规范需求开始。美国政府对于信息安全培训与教育采取了有效的战略推进计划。美国政府通过信息安全法案确立了信息安全教育计划,他们资助20多所著名大学开展与信息安全风险管理相关的研究和人才培养工作。
温馨提示:
