經(jīng)濟(jì)合作發(fā)展組織(Organization for Economic Co-operation and Development�����,以下簡稱 OECD)在1992年就發(fā)布《信息系統(tǒng)安全指南》(Guidelines for the Security of Information Systems)��,用以指導(dǎo)信息系統(tǒng)與網(wǎng)絡(luò)安全的建設(shè)��,隨后又于1997年和2001年分別進(jìn)行了修改�����。隨著互聯(lián)性的增強(qiáng)�����,信息系統(tǒng)和網(wǎng)絡(luò)所面臨的威脅越來越多,因此�����,OECD又于2002年7月25日OECD委員會第1037次會議上提出了一個新的文件《OECD關(guān)于信息系統(tǒng)與網(wǎng)絡(luò)安全的指南:文化安全趨向》(OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security)(以下簡稱《指南》)指出了解安全問題的重要及建立安全文化的需要��,旨在幫助成員國和非成員國的政府和企業(yè)組織增強(qiáng)信息系統(tǒng)的風(fēng)險意識�����,提供一般性的安全知識框架�。
該《指南》通過促進(jìn)建立一種安全文化來回應(yīng)不斷變化的安全環(huán)境����。這種安全文化是指在建立信息系統(tǒng)和網(wǎng)絡(luò)時,在信息系統(tǒng)和網(wǎng)絡(luò)里采用新的思維和行為方式時�����,要始終關(guān)注安全問題���。建立安全文化需要領(lǐng)導(dǎo)者和參與者的相互合作,它將使安全計劃和管理以及參與各方對安全需求的理解變得更為重要���。具體來說����,OECD關(guān)于信息風(fēng)險管理的《指南》主要包括以下幾個部分:
1��,網(wǎng)絡(luò)安全的目標(biāo):
l 安全文化作為保護(hù)信息系統(tǒng)的一種手段��,必須在成員國當(dāng)中積極推廣�;
l 提高對信息系統(tǒng)的風(fēng)險的認(rèn)識�����,熟知化解這些風(fēng)險的各種政策��、慣例����、方法和流程���;
l 增強(qiáng)成員國對信息系統(tǒng)的信心;
l 在成員國制定和應(yīng)用信息安全政策����、慣例、方法和流程時��,建立一個通用的參考框架以幫助成員國理解安全問題并尊重道德價值;
l 在成員國制定和應(yīng)用信息安全政策����、慣例��、方法和流程時��,加強(qiáng)合作和信息共享;
l 在成員國參與制定和應(yīng)用各種技術(shù)標(biāo)準(zhǔn)時����,促使他們把安全作為一個重要目標(biāo)來考慮;
2���,信息風(fēng)險管理的指導(dǎo)原則
以下有九條原則��,必須把它們作為一個整體來看待�����。它們適用于各個層次的參與者��。強(qiáng)化信息系統(tǒng)的各種努力都必須和民主價值觀,特別是對開放而自由的信息以及保護(hù)個人隱私的需要保持一致;
l 意識 成員國必須高度關(guān)注信息系統(tǒng)的安全需要以及怎樣強(qiáng)化安全�;
l 責(zé)任 成員國有責(zé)任維護(hù)信息系統(tǒng)的安全���;
l 回應(yīng) 成員國應(yīng)該及時并協(xié)調(diào)一致的預(yù)防���、發(fā)現(xiàn)并回應(yīng)安全事故����;
l 道德規(guī)范 成員國必須尊重他國的正當(dāng)利益�;
l 民主 信息系統(tǒng)的強(qiáng)化必須符合民主價值觀�;
l 風(fēng)險評估 成員國必須進(jìn)行風(fēng)險評估���;
l 設(shè)計和執(zhí)行的安全性 安全性必須成為信息系統(tǒng)的核心要素,任何系統(tǒng)�、網(wǎng)絡(luò)和政策都需要正確的設(shè)計、執(zhí)行以及符合安全標(biāo)準(zhǔn);
l 安全管理 成員國必須擁有豐富的安全管理手段�����;
l 再次評估 成員國應(yīng)該重新評估信息系統(tǒng)的安全性�,并對各種安全政策、慣例���、手段和流程做出適當(dāng)?shù)恼{(diào)整���;
3����,對各成員國的建議
l 制定新的或修改現(xiàn)有的政策�、實踐、方法和程序以適應(yīng)《指南》的要求�����,促進(jìn)安全文化的建立���;
l 在國內(nèi)和國與國之間進(jìn)行咨詢���、協(xié)調(diào)和合作以實施《指南》的建議����;
l 在公共和私人部門(包括政府、事業(yè)單位、其他組織��、個體用戶等)中宣傳該《指南》���,促進(jìn)安全文化的建立��,鼓勵相關(guān)各方為其負(fù)責(zé)并采取必要的適合個人的步驟去實施《指南》���;
l 使OECD的非成員國可以及時地以適當(dāng)?shù)姆绞将@得該《指南》�����;
l 每過五年��,該《指南》都要被審查一次����,與信息系統(tǒng)與網(wǎng)絡(luò)安全相關(guān)的問題的國際合作;
l 就信息�、計算機(jī)和通訊政策等向OECD委員會進(jìn)行建議以促進(jìn)《指南》的實施。
