信息安全法規、政策與標準
1)法律體系初步構建,但體系化與有效性等方面仍有待進壹步完善信息安全法律法規體系初步形成。
據相關統計,截至2008年與信息安全直接相關的法律有65部,涉及網絡與信息系統安全、信息內容安全、信息安全系統與產品、保密及密碼管理、計算機病毒與危害性程序防治、金融等特定領域的信息安全、信息安全犯罪制裁等多個領域,從形式看,有法律、相關的決定、司法解釋及相關文件、行政法規、法規性文件、部門規章及相關文件、地方性法規與地方政府規章及相關文件多個層次。與此同時,與信息安全相關的司法和行政管理體系迅速完善。但整體來看,與美國、歐盟等先進國家與地區比較,我們在相關法律方面還欠體系化、覆蓋面與深度。缺乏相關的基本法,信息安全在法律層面的缺失對於信息安全保障形成重大隱患。
2)相關系列政策推出,與國外也有異曲同工之處從政策來看,美國信息安全政策體系也值得中國學習與借鑒。美國在信息安全管理以及政策支持方面走在全球的前列:
壹是制定了從軍政部門、公***部門和私營領域的風險管理政策和指南;
二是形成了軍、政、學、商分工協作的風險管理體系;
三是國防部、商務部、審計署、預算管理等部門各司其職,形成了較為完整的風險分析、評估、監督、檢查問責的工作機制。
3)信息安全標準化工作得到重視,但標準體系尚待發展與完善信息安全標準體系主要由基礎標準、技術標準和管理標準等分體系組成。
中國信息技術安全標準化技術委員會(CITS)主持制定了GB系列的信息安全標準對信息安全軟件、硬件、施工、檢測、管理等方面的幾十個主要標準。但總體而言,中國的信息安全標準體系仍處於發展和建立階段,基本上是引用與借鑒了國際以及先進國家的相關標準。因此,中國在信息安全標準組織體系方面還有待於進壹步發展與完善。 信息安全用戶意識與實踐
1) 信息安全意識有待提高
與發達國家相比,中國的信息安全產業不單是規模或份額的問題,在深層次的安全意識等方面差距也不少。而從個人信息安全意識層面來看,與美歐等相比較,僅盜版軟件使用率相對較高這種現象就可以部分說明中國個人用戶的信息安全意識仍然較差。包括信用卡使用過程中暴露出來的簽名不嚴格、加密程度低,以及在互聯網使用過程中的密碼使用以及更換等方面都更多地表明,中國個人用戶的信息安全意識有待於提高。
2)信息安全實踐過程有待加強管理
信息安全意識較低的必然結果就是導致信息安全實踐水平較差。廣大中小企業與大量的政府、行業與事業單位用戶對於信息安全的淡漠意識直接表現為缺乏有效地信息安全保障措施,雖然,這是壹個全球性的問題,但是中國用戶在這壹方面與發達國家還有壹定差距。 中間組織對信息安全產業發展的影響
同國外相比較,中國的中間組織機構多為政府職能部門所屬機構或者是下屬科研機構與企業等,而歐美國家這方面的中間組織則包括了國家的相關部門組織、教育與科研組織、企業組織與同業組織等,其覆蓋層次更多,面積更廣。與歐美比較,中國資本市場相對薄弱,對於安全產業的發展而言,就缺乏有效的中間組織形式來推進和導向其發展,雖然中國有壹些依托於政府部門的中間組織在產品測試等服務的基礎之上開展了壹些相關的服務,但是距離推進、引導中國安全產業中的各類企業尤其是中小企業的發展的需求還有很大的差距,詳見《中國信息安全行業發展前景與投資戰略規劃分析報告》。 教育培訓是培育信息安全公眾或專業人才的重要手段,中國近些年來在信息安全正規教育方面也推出了壹些相應的科目與專業,國家各級以及社會化的信息安全培訓也得到了開展,但這些仍然是不夠的,社會教育深入與細化程度與美國等發達國家比較仍有差距。在美國,對於企業的信息安全有很多監管規範,因此壹個良好的培訓計劃開端可以從適應政府或行業的監管規範需求開始。美國政府對於信息安全培訓與教育采取了有效的戰略推進計劃。美國政府通過信息安全法案確立了信息安全教育計劃,他們資助20多所著名大學開展與信息安全風險管理相關的研究和人才培養工作。