經濟合作發展組織（Organization for Economic Co-operation and Development，以下簡稱 OECD）在1992年就發布《信息系統安全指南》（Guidelines for the Security of Information Systems），用以指導信息系統與網絡安全的建設，隨后又于1997年和2001年分別進行了修改。隨著互聯性的增強，信息系統和網絡所面臨的威脅越來越多，因此，OECD又于2002年7月25日OECD委員會第1037次會議上提出了一個新的文件《OECD關于信息系統與網絡安全的指南：文化安全趨向》（OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security）（以下簡稱《指南》）指出了解安全問題的重要及建立安全文化的需要，旨在幫助成員國和非成員國的政府和企業組織增強信息系統的風險意識，提供一般性的安全知識框架。

該《指南》通過促進建立一種安全文化來回應不斷變化的安全環境。這種安全文化是指在建立信息系統和網絡時，在信息系統和網絡里采用新的思維和行為方式時，要始終關注安全問題。建立安全文化需要領導者和參與者的相互合作，它將使安全計劃和管理以及參與各方對安全需求的理解變得更為重要。具體來說，OECD關于信息風險管理的《指南》主要包括以下幾個部分：

1，網絡安全的目標：

        安全文化作為保護信息系統的一種手段，必須在成員國當中積極推廣；

        提高對信息系統的風險的認識，熟知化解這些風險的各種政策、慣例、方法和流程；

        增強成員國對信息系統的信心；

        在成員國制定和應用信息安全政策、慣例、方法和流程時，建立一個通用的參考框架以幫助成員國理解安全問題并尊重道德價值；

        在成員國制定和應用信息安全政策、慣例、方法和流程時，加強合作和信息共享；

        在成員國參與制定和應用各種技術標準時，促使他們把安全作為一個重要目標來考慮；

2，信息風險管理的指導原則

以下有九條原則，必須把它們作為一個整體來看待。它們適用于各個層次的參與者。強化信息系統的各種努力都必須和民主價值觀，特別是對開放而自由的信息以及保護個人隱私的需要保持一致；

        意識    成員國必須高度關注信息系統的安全需要以及怎樣強化安全；

        責任    成員國有責任維護信息系統的安全；

        回應    成員國應該及時并協調一致的預防、發現并回應安全事故；

        道德規范    成員國必須尊重他國的正當利益；

        民主    信息系統的強化必須符合民主價值觀；

        風險評估    成員國必須進行風險評估；

        設計和執行的安全性    安全性必須成為信息系統的核心要素，任何系統、網絡和政策都需要正確的設計、執行以及符合安全標準；

        安全管理    成員國必須擁有豐富的安全管理手段；

        再次評估    成員國應該重新評估信息系統的安全性，并對各種安全政策、慣例、手段和流程做出適當的調整；

3，對各成員國的建議

        制定新的或修改現有的政策、實踐、方法和程序以適應《指南》的要求，促進安全文化的建立；

        在國內和國與國之間進行咨詢、協調和合作以實施《指南》的建議；

        在公共和私人部門（包括政府、事業單位、其他組織、個體用戶等）中宣傳該《指南》，促進安全文化的建立，鼓勵相關各方為其負責并采取必要的適合個人的步驟去實施《指南》；

        使OECD的非成員國可以及時地以適當的方式獲得該《指南》；

        每過五年，該《指南》都要被審查一次，與信息系統與網絡安全相關的問題的國際合作；

        就信息、計算機和通訊政策等向OECD委員會進行建議以促進《指南》的實施。

 

（摘自“十一五”信息化專項規劃重大課題研究之“信息化風險及風險管理研究”）

作者：張成福   唐  鈞  陳淑偉  朱海燕  易小國  謝一帆  王建亮  孔祥振 等