时间:2022-10-20 20:30:02 | 来源:信息时代
时间:2022-10-20 20:30:02 来源:信息时代
经济合作与发展组织《信息系统和网络安全指南》 : 2002年7月25日在世界经济合作与发展组织(Organization for Economic Cooperation and Development,OECD)理事会第1037次会议上作为建议获得通过的关于网络信息安全的指导性政策文件。这一文件全称为《信息系统和网络安全指南:逐步培育安全文化》,是继1992年经济合作与发展组织发布的《信息系统安全指南》之后又一个重要的信息安全政策。
《信息系统和网络安全指南》提出了通过促进建立一种安全文化来应对不断变化的安全环境,这种安全文化是指在建立信息系统和网络时,在信息系统和网络中采用新的思维和行为方式时,要始终关注安全问题。建立安全文化需要领导者和参与者的相互合作,它将使安全计划和管理以及参与各方对安全需求的理解变得更为重要。
《信息系统和网络安全指南》提出了信息风险管理的九条指导原则:①成员国必须高度关注信息系统的安全需要以及怎样强化安全。②成员国有责任维护信息系统的安全。③成员国应该及时并协调一致地预防、发现并回应安全事故。④成员国必须尊重他国的正当利益。⑤信息系统的强化必须符合民主价值观。⑥成员国必须进行风险评估。⑦安全性必须成为信息系统的核心要素,任何系统、网络和政策都需要正确的设计、执行以及符合安全标准。⑧成员国必须拥有丰富的安全管理手段。⑨成员国应该重新评估信息系统的安全性,并对各种安全政策、惯例、手段和流程做出适当的调整。
《信息系统和网络安全指南》对经济合作发展组织各成员国提出六点具体建议:①制定新的政策,或修改现有的政策、实践、方法和程序以适应指南要求,促进安全文化的建立。②在国内和国与国之间进行咨询、协调和合作以实施指南的建议。③在公共和私人部门(包括政府、事业单位、其他组织、个体用户等)中宣传《信息系统和网络安全指南2002》,促进安全文化的建立,鼓励相关各方为其负责并采取必要的适合个人的步骤去实施指南。④使世界经济合作与发展组织的非成员国可以及时地以适当的方式获得该指南。⑤《信息系统和网络安全指南2002》每过五年要被审查关于信息系统与网络安全相关问题及其国际合作。⑥就信息、计算机和通信政策等向经济合作发展组织委员会提出建议,以促进指南的实施。