相关文章  
  • 我国引入英国皇家物流资格认证体系

  • 我国参与制定OLED国际标准

  • 清华同方将继续投资2亿元赶超发达国家水平

  • 刘昭东:科技前沿的耕耘者

  • 知识产权推动创新

  • 《自然》:挽救生命比知识产权保护更重要

  • 现代信息技术在图书馆中的运用

  • 科技部加大力度保护科技创新知识产权

  • 知识产权是现代商业的基础

  • 努力实现信息资源高度共享

    		•
      推荐  
      科普之友首页   专利     科普      动物      植物        天文   考古   前沿科技
     您现在的位置在:  首页>>科普 >>科学博览

    经合组织信息系统和网络安全指南<%=id%>
    发展安全文化
      这个指南以推动安全文化发展来应对变化甚大的安全环境,也就是说,在发展信息系统和网络中要强调安全,在使用信息系统和网络以及与它们交互作用时要采用新的思维和行为方式。在一段时期内,网络和系统的安全设计及使用常常是亡羊补牢,指南发出了与此决裂的信号。参与人员越来越依靠信息系统、网络和相关服务,而所有这些都必须是可靠的和安全的。一个策略只有适当地考虑所有参与者的利益以及系统、网络和相关服务的特性,它才可以提供有效的安全。
      每一个参与者都是保证安全的重要执行者。参与者应该与他们所起的作用相适应,为增强信息系统和网络的安全,要知道相关的安全风险和防范措施,并承担责任和采取措施。
      推动安全文化的发展不仅需要领导和广泛参与,还要使安全规划和管理成为高度优先,让所有参与者都知道安全要求。安全问题应该是各级政府、商业和所有参与者关注的主题和应该承担的责任。指南建议所有参与者采用和推动安全文化,以此作为思考、评价、行动及运行信息系统和网络的一种方式。
      目的
      (1)向所有参与者推广安全文化,以此作为保护系统和网络的手段。
      (2)增强系统和网络的风险意识;要有政策、惯例、措施和步骤化解这些风险;提出采用和执行这些政策、惯例、措施和步骤的要求。
      (3)增强所有参与者对系统和网络及其提供和使用方式的信心。
      (4)建立一个一般的参照系,靠此帮助参与者了解安全问题,在发展和执行与系统和网络相关的政策、惯例、措施和步骤中尊重道德价值观。
      (5)在发展和贯彻安全政策、惯例、措施及步骤中推动所有参与者合作和信息共享。
      (6)推动所有参与者在发展和贯彻标准时将安全作为一个重要目标。
      原则
      以下9条原则是相辅相成的,应该作为一个整体来考虑。它们考虑了各级参与者,包括制定政策者和执行者。
      1)意识:参与者应该知道系统和网络的安全要求及他们能够做些什么来增强安全。
      风险和防范意识是系统和网络安全的第一道防线。系统和网络可以受到内外风险的影响。参与者应该知道安全故障可以严重地损害他们控制下的系统和网络。他们也应该知道由于相互联系和相互依赖会给其他系统和网络造成损害。
      2)责任:所有参与者都对系统和网络安全负责。
      参与者依靠相互连接的当地及全球的信息系统和网络,因此应该知道他们应负的责任。参与者应定期回顾他们的政策、惯例、措施和步骤以及评价它们是否适合他们的环境。开发、设计和供应产品和设备者应致力于系统和网络安全,并及时提供适当的包括升级的信息,这样用户就更能了解产品和服务的安全功能及他们的安全责任。
      3)应对:参与者应及时和合作地防阻、发现和应对安全事件。
      参与者要认识到系统和网络的互联性及快速和广泛破坏的可能性,及时和合作地对待安全事件。他们应该适当地共享威胁和脆弱性信息,并以快速和有效合作的步骤防止、发现和应对安全事件。
      4)道德规范:参与者应该尊重他人的合法利益。
      由于系统和网络普遍存在于我们社会,参与者要知道他们的作为或不作为会损害他人。因此道德行为十分重要,参与者应该努力发展和采用最佳实践,并推广承认安全需要和尊重他人合法利益的行为。
      5)民主:信息系统和网络安全应与民主社会的基本价值观相容。
      应以一种与民主社会承认的价值观相容的方式实现安全,这包括交换思想和想法的自由、信息自由交流、信息和通信机密性、个人信息的适当保护、公开和透明。
      6)风险评估:参与者应该进行风险评估。
      风险评估确定威胁和脆弱性,并且应充分广泛地包含重要的内外因素,如技术、自然和人为因素、政策以及影响安全的第三方服务。进行风险评估时,应从被保护信息的性质和地位着眼,允许决定可接受的风险水平,并帮助选择合适的控制方法来处理可能损害系统和网络的风险。由于系统互联性的增强,进行风险评估时还应该包括考虑肇自其它系统或对其它系统的潜在损害。
      7)安全设计和执行:参与者应将安全作为系统和网络的一个基本要素。
      系统、网络和政策需要正确设计、执行、调整以达到最大安全。一个重点是设计和采用合适的防范措施和解决方案,避免和限制已知的威胁和脆弱性造成的损害。技术和非技术防范措施和解决方案都是需要的,并且应该与组织的系统和网络上的信息的价值相称。
      8)安全管理:参与者应该为安全管理采用全面的策略。
    安全管理应以风险评估为基础,而且应是动态的,包含各级参与者的活动和他们业务的各个方面。应包括对新威胁的前瞻性应对并针对事故预防、探测和应对,系统恢复,经常性维护、评论和检查。应该协调和整合系统和网络安全政策、惯例、措施及方法,以建立统一的安全制度。
      9)反复评估:参与者应该反复评论和评估系统和网络安全,并对安全政策、惯例、措施和步骤进行适当修改。
      要不断发现新的、变化的威胁和脆弱性。参与者应该反复评论、评估和修改安全的各个方面以应对风险的发展。
         

          设为首页       |       加入收藏       |       广告服务       |       友情链接       |       版权申明      

    Copyriht 2007 - 2008 ©  科普之友 All right reserved