早在1992年,经合组织就起草制定了《信息系统与网络安全准则》,但始终没有审核通过。2002年7月25日,在“9·11”恐怖袭击事件过去将近一年时,经合组织在第1037次理事会会议上发布了《OECD信息系统与网络安全准则:发展安全文化》,它将信息安全提升到了文化高度。
该准则是通过促进安全文化的发展,即在发展信息系统和网络过程中重视安全问题、在信息系统和网络之间的利用和相互作用过程中采用新的维和行为方式,对不断变化的环境安全迅速做出反应。该准则清楚表明了一个总是要事后才能想起网络和系统的安全设计与作用的时代已经结束。参与者已经变得越来越多地依赖于信息系统、网络和相关服务,而所有这一切都必须可靠安全。只有一个能够适当考虑所有参与者的利益,以及系统、网络和相关服务的性质的方法才能保证有效和安全。
该准则的目标是:将安全文化作为保护信息系统与网络的手段向所有参与者推广;提高对信息系统和网络风险的认识;提高对可用于应对风险的做法、措施和程序的认识;提高对采纳和实施这些政策、做法、措施和程序的必要性的认识;提高所有参与者对信息系统与网络以及对其提供与利用方的信心;建立一个通用的参考框架,协助参与者理解安全问题,并在发展与落实连贯的信息系统与网络安全政策、做法、措施和程序过程中尊重伦理价值观;在发展与落实安全政策、做法、措施与程序过程中,促进所有参与者之间的适当合作与信息共享;促进介入制定和执行标准的所有参与者将安全作为一个重要目标来考虑。
该准则涵盖了从安全认知到安全职责等九个方面的内容:①认识。所有参与者均应认识到对信息系统与网络安全的需要,认识到它们可以为提高安全性做些什么。②责任。所有参与者均对信息系统与网络的安全负有责任。③反应。参与者应以及时和合作的方式采取行动,预防、查明安全事件并做出反应。④道德规范。参与者应尊重其他参与者的合法利益。⑤民主。信息系统与网络的安全必须与民主社会的核心价值观相容。⑥风险评估。参与者应开展风险评估。⑦安全设计与实施。参与者应将安全作为至关重要的成分纳入信息系统与网络。⑧安全管理。参与者应采取全面性安全管理方法。⑨再评估。参与者应审查和再评估信息系统与网络安全,并对安全政策、做法、措施和程序做出适当调整。这些提议都是OECD成员方政府代表会同信息技术专家、企业用户和消费者代表经过长时间讨论后的成果,是在1992年版《OECD信息系统和网络安全准则》基础上的补充和更新。(www.xing528.com)
《OECD信息系统和网络安全准则:发展安全文化》的一大特点就是强调网络安全人人有责,每一个参与者都是保障安全的重要角色。参与者应根据其职责,了解相关安全风险、预防性措施,并承担相应的责任,采取措施提高信息系统与网络的安全性。促进安全文化既需要加强领导,也需要大众的广泛参与。安全文化的发展应能够加深所有参与者对安全需求的理解,而且能够提高安全计划与管理的优先地位。各级政府、企业和所有参与者都应关注安全问题并承担责任。
为呼应2002年版准则,OECD随后创建了全球“安全文化”网站,及时提供有关信息,帮助政府、企业和公众了解网络风险和与信息系统、网络相关的责任,与病毒和黑客以及信息系统和网络的其他安全风险做斗争。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。