《BS7799-2:2002:信息安全管理体系实施规范》《ISO/IEC、、15408:1999(GB/T18336:2001)-信息技术安全性评估准则》《SSE-CMM:系统安、全工程能力成熟度模型》等信息安全管理标准。信息安全标准化委会设置了10个工作组,其中信息安全管理工作组负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南,它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规
2
范框架和安全策略要求与指南。3、制定了一系列必须的信息安全管理的法律法规从上世纪九十年代初起,为配合信息安全管理的需要,国家、相关部门、行业和地方政府相继制定了《中华人民共和国计算机信息网络国际联网管理暂行规定》《商用密码管理条例》《互联网信息服务管理办法》《计算机信息网络国际、、、联网安全保护管理办法》《计算机病毒防治管理办法》《互联网电子公告服务管、、理规定》《
软件产品管理办法》《电信网间互联管理暂行规定》《电子签名法》、、、等有关信息安全管理的法律法规文件。4、信息安全风险评估工作已经得到重视和开展风险评估是信息安全管理的核心工作之一。2003年7月,国信办信息安全风险评估课题组就启动了信息安全风险评估相关标准的编制工作,国家铁路系统和北京移动
通信公司作为先行者已完成了的信息安全风险评估试点工作,国家其它关键行业或系统(如电力、电信、银行等)也将陆续开展这方面的工作。但是仍然存在许多
问题:1、信息安全管理现状仍还比较混乱,缺乏一个国家层面上的整体策略。实际管理力度不够,政策的执行和监督力度不够。部分规定过分强调部门的自身特点,而忽略了在国际政治经济的大环境下体现中国的特色。部分规定没有准确地区分技术、管理和法制之间的关系,以管代法,用行政管技术的做法仍较普遍,造成制度的可操作性较差。2、具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和
程序以及相关资源等要素的信息安全管理体系还未建立起来。3、具有我国特点的信息安全风险评估标准体系还有待完善,信息安全的需求难以确定,要保护的对象和边界难以确定,缺乏系统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系。4、专项经费投入不足,管理人才极度缺乏,基础理论研究和关键技术薄弱,严重依赖国外,对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。5、技术创新不够,信息安全管理产品水平和质量不高,尤其是以集中配置、集中管理、状态
报告和策略互动为主要任务的安全管理平台产品的研究与开发还
3
很落后。6、缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理机构,致使我国现有的一些信息安全管理方面的法律法规,法阶层次不高,真正的法律少,行政规章多,结构不合理,不成体系;执法主体不明确,多头管理,政出多门、各行其是,规则冲突,缺乏可操作性,执行难度较大,有法难依;数量上不够,内容上不完善,制定周期太长,时间上滞后,往往无法可依;监督力度不够,有法不依、执法不严;缺乏专门的信息安全基本大法,如信息安全法和电子商务法等;缺乏民事法方面的立法,如互联网隐私法、互联网名誉权、网络
版权保护法等;公民的法律意识较差,执法队伍薄弱,人才匮乏。7、我国自己制定的信息安全管理标准太少,大多沿用国际标准。在标准的实施过程中,缺乏必要的国家监督管理机制和法律保护,致使有标准企业或用户可以不执行,而执行过程中出现的问题得不到及时、妥善解决。8、信息安全意识缺乏,普遍存在重产品、轻服务,重技术、轻