印度发布国家网络安全政策-gisti.PDF

印度发布国家网络安全政策 2013 年7 月2 日，印度通信与信息技术部发布了《印度国家网络安全 政策》文件，提出了拟实现的 14 项目标和拟采取的若干战略，以建立一 个网络安全框架，引导政府机构、非政府组织、企业、个人等的网络安全 行动。尽管印度政府已经制定了多个不同的网络安全项目，这项国家政策 将统一这些项目，并有助于跟踪网络空间的动态发展。 1. 拟实现的14项目标 1）创建一个安全的网络生态系统，使IT 系统和在网络空间中发生的 交易得到足够的信任，并强化IT 在印度所有经济部门中的利用； 2 ）创建一个可信框架，以实现安全策略的设计，并通过产品、过程、 技术和人员的一致性评估来促进其与全球安全标准和最佳实践的兼容； 3 ）加强监管框架以确保安全的网络空间生态系统； 4 ）创建和加强全国性的、部门性的全天候无间断机制，以获取对ICT 基础设施威胁的战略信息，通过有效的预测、预防、保护、响应和恢复行 动来创建响应、解决和危机管理场景； 5 ）通过运行一个全天候的国家关键信息基础设施保护中心（NCIIPC ）， 加强对国家关键信息基础设施的保护； 6 ）通过前沿技术研究、面向解决方案的研究、概念验证、试点开发、 转化、传播和商业化，开发适宜的本土安全技术，并促进通用的和针对国 家安全需求的安全ICT 产品/过程的广泛部署； 7 ）通过建立用于测试和验证产品安全的基础设施，提高ICT 产品和 服务的集成性； 8）通过能力构建、技能开发和培训，在未来五年内建立一支包括 50 万专业人员的网络安全队伍； 9 ）为企业开展标准的安全实践和过程提供财政支持； 10）在处理、存储、传输信息过程中，保护信息，以捍卫公民隐私， 减少由于网络犯罪或数据窃取所造成的经济损失； 11）加强对网络犯罪的有效预防、调查和诉讼，并通过法律干预强化 执法能力； 12）通过有效的交流和促进战略，使用户开展负责任的行为，创建网 络安全与隐私文化； 13）建立有效的公私伙伴关系，通过技术和运行合作实现协同参与； 14）通过促进共同理念的建立和利用引发网络空间安全问题的各种关 系，加强全球合作。 2. 拟采取的战略 为实现上述目标，文件提出以下战略： 1）创建一个稳固的网络生态系统 文件提出了8 项具体举措，其中5 项为： （1）指定一个国家级机构来协调与印度网络安全相关的所有事宜； （2 ）鼓励所有公私机构指定一名官员作为“首席信息安全官” ，负责网 络安全工作与计划； （3 ）鼓励所有机构制定与其业务计划充分融合的信息安全政策，并 根据国际最佳实践正确实施这些政策。这些政策应包括：建立确保信息流 安全的标准和机制、危机管理计划，开展积极主动的安全态势评估； （4 ）确保所有机构拨出专项经费来实施网络安全计划和开展有关网 络安全事故的应急响应； （5 ）提供财政机制来鼓励各机构建立、加强和升级与网络安全相关 的信息基础设施。 2 ）创建一个保险框架 文件提出7 项举措，其中包括：创建一致性评价框架，以定期认证对 网络安全最佳实践、标准和指南的遵循情况；针对在IT 系统和网络中采取 的技术与运行的安全控制措施，鼓励所有机构对其的充分性与效率进行定 期测试与评价。 3 ）鼓励开放标准 （1）鼓励利用开放标准来推动不同产品或服务间的互操作性和数据 交换； （2 ）针对基于开放标准的IT 产品，创立一个由政府与私营部门组成 的联盟，以提高得到测试与认证的此类产品的可用性。 4 ）加强监管框架 （1）制定一个动态的法律框架和定期评价机制，以解决由网络空间 技术发展（如云计算、移动计算、加密服务与社交媒体）所引发的网络安 全挑战，并保持与国际框架的协调； （2 ）在适当的时候，对信息基础设施的安全进行定期审计和评价。 5 ）创建安全威胁早期预警、漏洞管理和应对安全威胁的机制 报告提出5 项举措，其中2 项为： （1）建立国家级的系统、流程、结构和机制，对现有和潜在网络安 全威胁提供必要的情境推测，并针对个别机构所采取的主动出击、预防和 保护行动进行及时的信息共享； （2 ）运行一支全天候的国家级计