提高关键基础设施网络安全-国家信息中心.PDF

电子政务发展前沿 E-Government Frontiers 编者的话 基础设施这个术语原意是指支撑城市的实际网络，包括道路、上 下水设施、动力电缆和电信线路等。当代的关键基础设施概念超出了 实际结构的范围，定义为使社会得以生存且繁荣昌盛的互连机构和功 能，其描述范围也包括将信息资源连接到网络空间的虚拟网络。 根据美国工业控制系统网络紧急应变小组(ICS-CERT)的报告显 示，美国关键基础设施公司报告的网络安全事件数量从 2009 年的 9 起、2010 年 41 起，急剧增加2011 年 198 起。包括美国国防部长帕 内塔在内的众多政府高级官员多次表示，呼吁国会通过相关法律，有 效保护关键基础设施网络安全，保障美国经济稳定。为此，美国白宫 于2013 年2 月12 日宣布，由总统奥巴马当天签署行政命令，扩大联 邦政府与私营企业的合作深度与广度，以加强“关键基础设施”部门 的网络安全管理与风险应对能力。 该行政命令通过提供法律依据、行政支持的方式从信息共享与加 强安全措施两个角度提高“关键基础设施”网络安全。如扩大网络安 全强化服务项目范围；制定降低 “关键基础设施网络安全风险”的基 本框架；充分利用网络安全框架规范，评估、修订各管理机构现行的 网络安全规范等。值得注意的是，该行政命令对上述措施实施过程的 执行时间、执行流程以及责任主体要求明确，以此命令行之有效。 本期选译的《提高关键基础设施网络安全的行政命令》，对我国 信息安全立法有极大的借鉴意义，我们将特别关注如下几个问题：有 效提高标准应用能力，平衡信息开放与维护公民隐私权利，完善国际 间合作机制。此外，我们还系统性地搜集整理了北美、亚洲和欧洲部 分国家重要信息安全立法情况，以供读者参考。 责任编译：冷默 编 译：焦迪 吕品 译 审：贾一苇 I 电子政务发展前沿 E-Government Frontiers II 目 录 提高美国关键基础设施网络安全 1 一、政策 1 二、关键基础设施 1 三、政策协调 1 四、网络安全信息共享2 五、个人隐私和公民自由权保护2 六、协商过程设立 3 七、关键基础设施网络安全风险应对的基线框架 3 八、关键基础设施网络安全计划4 九、关键基础设施最高风险识别 5 十、网络安全架构采用 5 十一、定义 6 十二、总则 6 世界部分国家及组织重要信息安全立法情况 8 一、美国 8 二、日本9 三、德国 10 四、英国 10 五、法国 10 六、俄罗斯 10 七、韩国 12 八、印度 12 九、新加坡 12 十、欧盟 13 电子政务发展前沿 E-Government Frontiers 美国网络安全行政令——提高关键基础设施网络安全 摘要 奥巴马发表国情咨文时公布了这项期待已久的行政命令。针对美国企业和政 府机构不断遭到网络攻击的情况，美国国会去年曾试图通过立法予以应对，但未 能得以实现。该行政命令要求联邦机构改善并提供或支持关键基础设施的企业信 息共享，一些可能属于机密性质的信息也包括在内，但这项行政命令不具有与法 律等同的效力。 提高美国关键基础设施网络安全 我以美利坚合众国总统名义，现命令如下： 一、政策 关键基础设施遭受攻击，已成为我们所面临的最严重的国家安全挑战之一。 面对威胁，保证关键基