美国工业信息安全的体系及其借鉴意义.docVIP

美国工业信息安全的体系及其借鉴意义 　　摘 要：随着信息技术不断创新，信息产业持续发展，以信息化促进工业化已经成为许多国家的发展战略。为满足国家建设需求，政企合作方式被广泛采用，企业掌握着大量关乎国家利益的信息，信息安全问题随之而来。为有效保护涉密信息，维护国家的经济和技术利益，美国制定了国家工业安全计划及其配套的国家工业安全计划操作手册，其明确的组织架构、清晰的权责划分以及全面的保护措施，对我国的工业信息安全体系建设具有一定的借鉴意义。 　　关键词：工业部门；信息安全；保密制度；责任制度 　　1 引言 　　从20世纪50年代中期开始，以信息技术为主体，以创造和开发知识为重点的“第三次浪潮”迅速在世界各国兴起，并逐渐从工商服务业向政府等公共领域延伸。其中，美国在公共领域信息化建设上起步较早，早在1992年克林顿总统就提出了“兴建信息高速公路，推动经济增长”的口号，通过信息化来推动国防科技研发、产品生产、基础设施建设等，取得了非常显著的成效。然而，信息化的高速发展，在拉动经济增长、提高政府效率的同时，信息安全保密问题也随之而来。经历了“9?11”等典型事件，美国逐渐更新完善了在国家信息安全保护领域的一系列制度、管理机制，近二十年来，历届美国政府都会组建专门的机构，发布针对性的国家政策和指令。美国已先后颁布了8381、10104、10290、10501、11652、12065、12356、12958、12968、13292号总统行政命令，详细、系统地规定了美国的定密、保密制度。 　　在对国家信息安全普遍加强保护的背景下，伴随着20世纪90年代在西方国家兴起的“新公共管理”运动，大量企业与政府合作，承接了大量的能源、交通、金融、国防、基础设施建设工作，这些企业也由此掌握了如配方原料、技术产品、数据参数等大量关乎国家利益的信息。对于工业领域信息安全的保护逐渐引起关注，为此，1993年布什总统签署的12829号总统行政命令（又称为国家工业安全计划National Industrial Security Program，NISP），首次正式提出建立美国国家工业信息安全制度，该制度后经2015年奥巴马总统的13691号总统行政命令进行了修订。当前，NISP及国家工业安全计划操作手册（National Industrial Security Program Operating Manual，NISPOM）已经成为联邦政府与企业中涉密信息保护的标准化流程，明确了行政机关和私营企业各自的权责关系，并由国防部（Department of Defense，DOD）、国家安全委员会（National Security Council，NSC），信息安全监督办公室（Information Security Oversight Office，ISOO）共同来实现对该制度的实施。 　　2 美国工业信息安全的基本框架 　　2.1 制度体系 　　为了保护涉密信息，维护国家的经济和技术利益，在联邦政府和工业部门的共同努力下，国家工业安全计划NISP通过1993年1月由布什总统签署的12829号行政命令正式颁布，并经13691号行政命令进一步修订。 　　这一计划的建立旨在以成本效益为原则，保护美国政府的承包商、被许可机构和被授权组织所持有的涉密信息。NISP的基本目标是去除冗余、重叠或不必要的妨碍了美国技术和经济利益发展的需求，建立了一个单一的、综合的、全面完善的系统以维护工业所持有的涉密信息，为了实现这一目标，NISP确立了四项工业信息安全的重要原则：实现安全程序的统一、安全程序中实施互惠、消除重复或不必要的需求，尤其是在机构检查方面、降低安全成本。 　　同时，为了给联邦政府和工业部门提供具体可行的执行和操作流程指导，政府以NISP为依据制定了美国国家工业安全计划操作手册NISPOM。制定这一操作手册是对涉密信息进行保障、防止其未授权的披露，手册中还规定了美国政府行政分支部门和机构向其承包商公布获准披露涉密信息的要求，以及保护特殊类型涉密信息的程序、要求、限制和保障。 　　以上提到的NISP以及NISPOM都不是静态不变的制度，这些制度会在实施期间根据政府内部和外部人士的反馈和建议，不断地变化以满足工业实体的安全需要。 　　2.2 组织架构与职责 　　在责任落实上，NSC负责为NISP提供整体政策导向，ISOO主任负责执行和监督NISP，国防部长被总统指定为NISP的行政代理人。 　　ISOO主任负责执行NISP，监督其执行情况，向机构发出具有约束力的执行指令，ISOO主任同时担任国家工业安全计划政策咨询委员会（National Industrial Security Program Policy Advisory Committee