為保證信息的安全發展，英國先后制定了一系列的法律規范，為信息管理提供了法律保障。1998年的《數據保護法案》確定了公民具有獲得個人全部信息、數據的合法權利；1999年英國出臺了《通信管理條例》；2000年有關部門提交了《調查權法案》；2003年12月11日，英國更新了對《通信管理條例》和《調查權法案》具有指導意義的《通信數據保護指導原則》，將法規適用范圍從電話、傳真擴展到電子郵件和其他信息服務形式；此外英國內政部公布了《垃圾郵件法案》，加強對個人通信的管理；2004年初，英國政府出臺了應對網絡詐騙、網絡色情、電腦病毒傳播、黑客攻擊等“電子犯罪”的戰略，要求搜集整理英國官方的多家犯罪調查、研究機構的信息，對現有法律進行評估，展望和研究未來電子犯罪的本質，為政府、執法部門和工商企業應對網絡犯罪提供宏觀指導。為了使這些法律的規定落到實處，貿工部（The Department of Trade and Industry,簡稱，DTI）制定了一系列的指導文件。包括：《信息安全：保護單位自查》（Information security: Protecting your business assets）、《2000年電子通信法案的指導》（Guide to Electronic Communications Act 2000）等。

英國貿工部負責管理產業界的相關事宜，包括對信息化的潛在風險的評估建議，以確保信息的完整性和機密性。1993年3月，英國貿工部發布科學、工程與技術白皮書――《實現我們的潛力》。白皮書首次提出把在全國范圍內開展“技術預測計劃”作為英國政府以科技推動經濟發展的重大舉措。從1994年4月開始，各專家小組進行函調以確定那些影響最為重要的領域，結果信息管理被確認為最為重要的27個優先領域之一。

貿工部在2004年4月份做了一份題為《信息安全----單位的網絡使用指南》（Information Security :A business guide to using the internet）的報告。在該報告中，他們按照危機管理的原則，分五個步驟對信息化的風險及風險管理進行了說明。該報告提出的保證單位信息安全的五個步驟：1，需求分析。首先分析需不需要上網，然后分析所需上網的功能，再選擇服務供給者。2，評估風險。首先需要了解你的計算機和信息的潛在威脅；確定你的單位的事務的公開程度；評估其潛在的風險。3，制定安全政策。說明：①可以使用的服務；②誰批準建立網絡連接；③誰為安全負責；④應當遵循什么樣的標準、指南和實踐；⑤用戶的責任。要明確安全負責，雖然所有的用戶都有一定的責任，但最終要確保實施和保持適當的安全措施將是管理高層的責任。4，實施安全措施。需要一定的程序、技術和人員方面的控制措施，其復雜性取決于組織所選擇的服務的類型。5，管理、監控并維持有效的安全。不斷進行循環，需要采取的步驟如下：①修改工作計劃以適應變化的事務需求；②評估風險；③根據風險程度的變化及時修改安全政策④實施滿足政策要求的安全控制措施；⑤監控并保持安全控制措施的有效性。

 

在英國的信息化風險管理過程中，以下兩個認證體系是典型的經驗。第一，BS7799安全標準，頒發于1999年，定義了在信息安全管理方面的最佳實踐。近年來，BS7799獲得了越來越多的關注，越來越多的單位采用BS7799作為安全管理方面的最佳實踐參考，使用它來進行安全審計和風險評估，進而建立自己的信息安全管理系統（ISMS），最終通過BS7799認證。第二，TickIT (Tick Information Technologies)計劃，是英國貿工部（DTI）和英國計算機協會（BCS）為了適應軟件業的特殊需要，而在ISO 9001和ISO 9000-3基礎上制定的一項軟件認證計劃。目前，TickIT已得到英國政府部門和世界上主要軟件商的承認；除英國外，瑞典、法國等國家也采納了TickIT認證模式。
及時頒布各種法規和相應的指導性文件來規范和指導信息化的風險管理是英國的成功經驗之一。除了上面提到的《信息安全：保護單位資產》和《2000年電子通信法案的指導》之外，DTI還制定了許多指導性的文件，包括：《物理安全列表》（Physical security checklist）、《如何制定信息安全政策》（How To write an Information Security policy）、《系統失敗的預防》（Systems failure prevention）、《人力資源管理條例》（HR dismissal discipline）、《ISO/IEC 17799用戶組》（ISO/IEC 17799 Users" Group）以及《ISO/IEC 17799用戶組指南》（Guide to the UK ISO/IEC 17799 users’ group）等等。這些都具有相當程度的可操作性，為英國信息化風險的管理提供了保障。

縱觀DTI的各類文件可以看出，DTI的關注焦點主要集中在信息化的技術風險方面。所描述的多為病毒、黑客、非法進入等由于技術的不足而導致的風險，它所提供的防范措施和建議也主要集中在技術標準的建立和技術水平的提高上。對于其他方面的風險（宏觀方面如信息化的經濟風險，微觀方面如信息化的就緒風險）以及相應的管理措施則所述不多。

（摘自“十一五”信息化專項規劃重大課題研究之“信息化風險及風險管理研究”）

作者：張成福   唐  鈞  陳淑偉  朱海燕  易小國  謝一帆  王建亮  孔祥振 等