為保證信息的安全發(fā)展��,英國先后制定了一系列的法律規(guī)范��,為信息管理提供了法律保障����。1998年的《數(shù)據(jù)保護法案》確定了公民具有獲得個人全部信息、數(shù)據(jù)的合法權(quán)利����;1999年英國出臺了《通信管理條例》;2000年有關(guān)部門提交了《調(diào)查權(quán)法案》�����;2003年12月11日�,英國更新了對《通信管理條例》和《調(diào)查權(quán)法案》具有指導(dǎo)意義的《通信數(shù)據(jù)保護指導(dǎo)原則》,將法規(guī)適用范圍從電話��、傳真擴展到電子郵件和其他信息服務(wù)形式�;此外英國內(nèi)政部公布了《垃圾郵件法案》,加強對個人通信的管理�;2004年初,英國政府出臺了應(yīng)對網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)色情����、電腦病毒傳播、黑客攻擊等“電子犯罪”的戰(zhàn)略�,要求搜集整理英國官方的多家犯罪調(diào)查、研究機構(gòu)的信息��,對現(xiàn)有法律進行評估����,展望和研究未來電子犯罪的本質(zhì),為政府�、執(zhí)法部門和工商企業(yè)應(yīng)對網(wǎng)絡(luò)犯罪提供宏觀指導(dǎo)。為了使這些法律的規(guī)定落到實處�����,貿(mào)工部(The Department of Trade and Industry,簡稱���,DTI)制定了一系列的指導(dǎo)文件。包括:《信息安全:保護單位自查》(Information security: Protecting your business assets)�、《2000年電子通信法案的指導(dǎo)》(Guide to Electronic Communications Act 2000)等。
英國貿(mào)工部負責(zé)管理產(chǎn)業(yè)界的相關(guān)事宜�����,包括對信息化的潛在風(fēng)險的評估建議,以確保信息的完整性和機密性�。1993年3月,英國貿(mào)工部發(fā)布科學(xué)�����、工程與技術(shù)白皮書——《實現(xiàn)我們的潛力》�����。白皮書首次提出把在全國范圍內(nèi)開展“技術(shù)預(yù)測計劃”作為英國政府以科技推動經(jīng)濟發(fā)展的重大舉措��。從1994年4月開始����,各專家小組進行函調(diào)以確定那些影響最為重要的領(lǐng)域,結(jié)果信息管理被確認為最為重要的27個優(yōu)先領(lǐng)域之一����。
貿(mào)工部在2004年4月份做了一份題為《信息安全----單位的網(wǎng)絡(luò)使用指南》(Information Security :A business guide to using the internet)的報告。在該報告中��,他們按照危機管理的原則����,分五個步驟對信息化的風(fēng)險及風(fēng)險管理進行了說明����。該報告提出的保證單位信息安全的五個步驟:1��,需求分析��。首先分析需不需要上網(wǎng)�,然后分析所需上網(wǎng)的功能,再選擇服務(wù)供給者���。2�,評估風(fēng)險��。首先需要了解你的計算機和信息的潛在威脅�;確定你的單位的事務(wù)的公開程度;評估其潛在的風(fēng)險�。3,制定安全政策�。說明:①可以使用的服務(wù);②誰批準(zhǔn)建立網(wǎng)絡(luò)連接����;③誰為安全負責(zé);④應(yīng)當(dāng)遵循什么樣的標(biāo)準(zhǔn)�、指南和實踐;⑤用戶的責(zé)任���。要明確安全負責(zé)����,雖然所有的用戶都有一定的責(zé)任�����,但最終要確保實施和保持適當(dāng)?shù)陌踩胧⑹枪芾砀邔拥呢?zé)任�。4,實施安全措施��。需要一定的程序����、技術(shù)和人員方面的控制措施,其復(fù)雜性取決于組織所選擇的服務(wù)的類型�����。5����,管理�、監(jiān)控并維持有效的安全�。不斷進行循環(huán),需要采取的步驟如下:①修改工作計劃以適應(yīng)變化的事務(wù)需求�;②評估風(fēng)險;③根據(jù)風(fēng)險程度的變化及時修改安全政策④實施滿足政策要求的安全控制措施��;⑤監(jiān)控并保持安全控制措施的有效性����。
在英國的信息化風(fēng)險管理過程中,以下兩個認證體系是典型的經(jīng)驗����。第一,BS7799安全標(biāo)準(zhǔn)����,頒發(fā)于1999年,定義了在信息安全管理方面的最佳實踐��。近年來��,BS7799獲得了越來越多的關(guān)注���,越來越多的單位采用BS7799作為安全管理方面的最佳實踐參考�,使用它來進行安全審計和風(fēng)險評估���,進而建立自己的信息安全管理系統(tǒng)(ISMS)��,最終通過BS7799認證��。第二�����,TickIT (Tick Information Technologies)計劃���,是英國貿(mào)工部(DTI)和英國計算機協(xié)會(BCS)為了適應(yīng)軟件業(yè)的特殊需要,而在ISO 9001和ISO 9000-3基礎(chǔ)上制定的一項軟件認證計劃�。目前,TickIT已得到英國政府部門和世界上主要軟件商的承認���;除英國外����,瑞典�、法國等國家也采納了TickIT認證模式��。
及時頒布各種法規(guī)和相應(yīng)的指導(dǎo)性文件來規(guī)范和指導(dǎo)信息化的風(fēng)險管理是英國的成功經(jīng)驗之一�。除了上面提到的《信息安全:保護單位資產(chǎn)》和《2000年電子通信法案的指導(dǎo)》之外��,DTI還制定了許多指導(dǎo)性的文件��,包括:《物理安全列表》(Physical security checklist)����、《如何制定信息安全政策》(How To write an Information Security policy)、《系統(tǒng)失敗的預(yù)防》(Systems failure prevention)��、《人力資源管理條例》(HR dismissal discipline)����、《ISO/IEC 17799用戶組》(ISO/IEC 17799 Users' Group)以及《ISO/IEC 17799用戶組指南》(Guide to the UK ISO/IEC 17799 users’ group)等等。這些都具有相當(dāng)程度的可操作性��,為英國信息化風(fēng)險的管理提供了保障�����。
縱觀DTI的各類文件可以看出�,DTI的關(guān)注焦點主要集中在信息化的技術(shù)風(fēng)險方面。所描述的多為病毒、黑客�、非法進入等由于技術(shù)的不足而導(dǎo)致的風(fēng)險,它所提供的防范措施和建議也主要集中在技術(shù)標(biāo)準(zhǔn)的建立和技術(shù)水平的提高上�����。對于其他方面的風(fēng)險(宏觀方面如信息化的經(jīng)濟風(fēng)險��,微觀方面如信息化的就緒風(fēng)險)以及相應(yīng)的管理措施則所述不多���。
(摘自“十一五”信息化專項規(guī)劃重大課題研究之“信息化風(fēng)險及風(fēng)險管理研究”)
