经济合作发展组织（Organization for Economic Co-operation and Development，以下简称 OECD）在1992年就发布《信息系统安全指南》（Guidelines for the Security of Information Systems），用以指导信息系统与网络安全的建设，随后又于1997年和2001年分别进行了修改。随着互联性的增强，信息系统和网络所面临的威胁越来越多，因此，OECD又于2002年7月25日OECD委员会第1037次会议上提出了一个新的文件《OECD关于信息系统与网络安全的指南：文化安全趋向》（OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security）（以下简称《指南》）指出了解安全问题的重要及建立安全文化的需要，旨在帮助成员国和非成员国的政府和企业组织增强信息系统的风险意识，提供一般性的安全知识框架。

该《指南》通过促进建立一种安全文化来回应不断变化的安全环境。这种安全文化是指在建立信息系统和网络时，在信息系统和网络里采用新的思维和行为方式时，要始终关注安全问题。建立安全文化需要领导者和参与者的相互合作，它将使安全计划和管理以及参与各方对安全需求的理解变得更为重要。具体来说，OECD关于信息风险管理的《指南》主要包括以下几个部分：

1，网络安全的目标：

        安全文化作为保护信息系统的一种手段，必须在成员国当中积极推广；

        提高对信息系统的风险的认识，熟知化解这些风险的各种政策、惯例、方法和流程；

        增强成员国对信息系统的信心；

        在成员国制定和应用信息安全政策、惯例、方法和流程时，建立一个通用的参考框架以帮助成员国理解安全问题并尊重道德价值；

        在成员国制定和应用信息安全政策、惯例、方法和流程时，加强合作和信息共享；

        在成员国参与制定和应用各种技术标准时，促使他们把安全作为一个重要目标来考虑；

2，信息风险管理的指导原则

以下有九条原则，必须把它们作为一个整体来看待。它们适用于各个层次的参与者。强化信息系统的各种努力都必须和民主价值观，特别是对开放而自由的信息以及保护个人隐私的需要保持一致；

        意识    成员国必须高度关注信息系统的安全需要以及怎样强化安全；

        责任    成员国有责任维护信息系统的安全；

        回应    成员国应该及时并协调一致的预防、发现并回应安全事故；

        道德规范    成员国必须尊重他国的正当利益；

        民主    信息系统的强化必须符合民主价值观；

        风险评估    成员国必须进行风险评估；

        设计和执行的安全性    安全性必须成为信息系统的核心要素，任何系统、网络和政策都需要正确的设计、执行以及符合安全标准；

        安全管理    成员国必须拥有丰富的安全管理手段；

        再次评估    成员国应该重新评估信息系统的安全性，并对各种安全政策、惯例、手段和流程做出适当的调整；

3，对各成员国的建议

        制定新的或修改现有的政策、实践、方法和程序以适应《指南》的要求，促进安全文化的建立；

        在国内和国与国之间进行咨询、协调和合作以实施《指南》的建议；

        在公共和私人部门（包括政府、事业单位、其他组织、个体用户等）中宣传该《指南》，促进安全文化的建立，鼓励相关各方为其负责并采取必要的适合个人的步骤去实施《指南》；

        使OECD的非成员国可以及时地以适当的方式获得该《指南》；

        每过五年，该《指南》都要被审查一次，与信息系统与网络安全相关的问题的国际合作；

        就信息、计算机和通讯政策等向OECD委员会进行建议以促进《指南》的实施。

 

（摘自“十一五”信息化专项规划重大课题研究之“信息化风险及风险管理研究”）

作者：张成福   唐  钧  陈淑伟  朱海燕  易小国  谢一帆  王建亮  孔祥振 等