概要经济合作与发展组织信息系统与网络安全准则发展安全.PDFVIP

概 要 经济合作与发展组织信息系统与网络安全准则 发展安全文化 Overview OECD GUIDELINES FOR THE SECURITY OF INFORMATION SYSTEMS AND NETWORKS TOWARDS A CULTURE OF SECURITY 概要系根据经济合作与发展组织出版物摘录翻译而来。 概要可从在线书店免费索取 (/bookshop) 该概要为经济合作与发展组织非正式译稿 ORGANISATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT 经济合作与发展组织 OECD GUIDELINE S FOR THE SECURITY OF INFORMATION SYSTEMS AND NETWORKS OVERVIE W 信息系统与网络安全准则 发展安全文化 前言 1992 年经合与发展组织首次制定信息系统安全准则以来，信息系统与网络的利用 以及信息技术整体环境均发生了引人注目的变化。这些持续的变化带来了巨大进步， 同时也要求开发、拥有、提供和管理信息系统与网络服务和利用的政府、企业、其它 组织以及个人( “参与者”)更加重视安全问题。 功能越来越强大的个人电脑、日益趋同的技术和互联网的广泛应用已经取代了过 去以封闭型为主的网络中规模不大的独立系统。目前，参与者之间的相互联接日益密 切，而且联接是跨越国界的。另外，互联网支撑着诸如能源、运输和金融之类重要基 础设施，同时对公司的经营方式、政府为公民和企业提供服务的方式以及公民个人通 讯和交换信息方式产生重大影响。通讯与信息基础设施构成技术的性质与类型同样已 发生了显著变化。基础设施接入设备的数量和性质也在成倍增加，扩大到包括固定、 无线和移动设备，而且 “不间断”式接入的比例越来越高。从而，经过交换的信息的 性质、数量和敏感性均实质性扩大了。 由于相互联通日益增多，目前信息系统和网络呈现出越来越多种类的薄弱之处， 同时暴露在数量种类越来越多的危险之下。因此，本准则适用于新的信息社会之内的 所有参与者，同时提出了扩大对安全问题的认识和发展“安全文化”的必要性。 I. 发展安全文化 本准则是通过促进安全文化的发展，即在发展信息系统和网络过程中重视安全问 题、在信息系统和网络之间的利用和相互作用过程中采用新的思维和行为方式，对不 断变化的安全环境做出的迅速反应。该准则清楚表明了一个总是要事后才能想起网络 和系统的安全设计与作用的时代已经结束。参与者已经变得越来越多地依赖于信息系 3 © OECD, 2003 OECD GUIDELINE S FOR THE SECURITY OF INFORMATION SYSTEMS AND NETWORKS OVERVIE W 统、网络和相关服务，而所有这一切都必须可靠安全。只有一个能够适当考虑所有参 与者的利益，以及系统、网络和相关服务的性质的方法才能保证有效的安全。 每一个参与者都是保证安全的重要角色。参与者应根据其职责，了解相关安全风 险、预防性措施，并承担相应责任、采取措施提高信息系统与网络的安全性。 促进安全文化既需要领导角色，也需要广泛的参与。安全文化的发展应能够加深 所有参与者对安全需求的理解，而且能够提高安全计划与管理的优先地位。各级政府、 企业和所有参与者应关注安全问题并承担责任。准则生机条款奠定了在全社会发展安 全文化的工作基础。这将使参与者能够在设计和利用所有信息系统与网络时考虑到安 全因素。准则建议所有参与者将安全文化作为构思、分析、控制和操作信息系统与网 络的一种思维方法加以接受并推广。 II. 目标 本准则的目标是： - 将安全文化作为保护信息系统与网络的手段