信息安全法律政策的主要特征，我国电子政务中信息安全保护对策

8.3.1　安全法律与政策

1. 信息安全法律政策的主要特征

综观各国信息安全法律政策，其主要特征有：

（1）以国家信息安全的组织保障为原则

各国在其信息安全法律政策中，无不明确规定了国家信息安全工作的管理机构以及各个机构的职责范围，在各个层次上都力求做到分工负责、各司其责。如美国的《计算机安全法》明确规定，由商务部所属的国家标准和技术局（NIST）负责有关敏感信息的信息安全工作，具体负责主持制定和推广计算机安全标准和指导方针，为联邦政府解决各种信息安全问题，其中包括安全规划、风险管理、应急计划、安全教育培训、网络安全加密技术、身份认证、智能卡应用、计算机病毒检测与防治等等；由国防部所属的国家安全局（NSA）负责例如“国家安全系统”，即由政府及其合同单位或代理机构管理的信息系统中保密信息的信息安全工作，其中包括国家保密信息、美国宪法2315款第102项（Warner修正案）规定的信息、涉及谍报（Intelligence）的信息、涉及与国家安全有关的秘密活动（Crypt-logic）的信息、涉及军队指挥和控制的信息、涉及属于武器和武器系统设备的信息以及对于完成军事或情报任务至关重要的设备的信息等等。

（2）以国家信息安全的全面保障为基础

信息安全是个巨大的系统工程，需要各方面力量的综合协调，更需要涉及信息活动的人员、信息系统的实体、信息系统的运行和系统中的信息的安全。因此，信息安全保障应当以全面、严密为基础。如，美国政府关于国家信息安全保障的措施主要有：制定信息资源安全管理的全面政策，实施风险评估、安全规划、运行安全和各种验证的方法；出版了《信息系统安全产品和服务目录》；对信息系统的各个环节以及各机构信息安全管理工作的效率加以评估；全力支持对安全措施的投入；协调各个机构的信息安全工作；监督政府信息安全管理原则、标准、指导方针的制定和推广工作；强化计算机信息系统人员的安全法律培训等等。

（3）以国家信息安全的技术防范为核心

社会信息化的发展实质是计算机技术为核心的信息技术在人类社会生活中充分发挥其主导控制作用的过程。任何国家的信息安全保护都不能脱离信息技术本身，就信息安全的法律保护和技术保护的关系来说，技术保护是基础和前提，法律保护只是技术保护的手段。因而各国信息安全立法都以国家信息安全的技术防范为核心。20世纪80年代，美国率先在计算机保密模型的基础上，制定了《可估计算机系统安全评价准则》（TCSEC），随后又制定了关于网络系统、数据库等方面的系列安全解释，形成了安全信息系统体系结构的最早原则。20世纪90年代初，欧洲英、法、德、荷四国共同提出了包括保密性、完整性、可用性等性质的《信息技术安全评价准则》（ITSEC）。近年来，美国国家安全局、美国国家技术标准研究所和加、英、法、德、荷等六国七方共同提出了《信息技术安全评价通用准则》（CC for ITSEC），综合了国际上已有的评价准则和技术标准的精华，给出了信息安全保护的框架和原则要求。

（4）以国家信息安全的技术标准为内容

将技术标准纳入国家信息安全保障的政策法律体系范畴，赋予技术标准以国家意志的属性，使其具有强制实施的法律效力，是世界各国的一致行动。美国从20世纪70年代初就开始制定信息技术的安全标准，现在已经形成了由国家标准化协会制定的国家标准（ANSI）、由国家标准局制定的联邦信息处理安全标准（FIPS）以及由国防部制定的信息安全指令和标准（DOD）三位一体的国家信息安全标准体系，从不同的角度规范国家的信息安全。欧盟除了发布《信息技术安全性评测标准》（ITSEC）之外，还有由欧洲计算机厂商协会规定的，在欧洲国家共同执行的计算机信息安全标准。

2. 我国电子政务中信息安全的保护对策

根据我国电子政务的实际情况，当前在政府信息安全的保护方面的当务之急是：

（1）尽快建立我国信息安全的保护体系

① 迅速健全信息安全保护的组织机制。国家信息化领导小组主要对网络信息的国家发展总体战略进行规划、设计、研究，组织、协调、配合有关部门进行立法调研，使国家在网络信息方面的立法成为一个有机的整体。由于地方政府和重点保护的重要领域相应的组织机构还不健全，以及《中华人民共和国计算机信息系统安全保护条例》中尽管确立了公安部主管全国计算机信息系统安全保护工作，但由于编制等原因许多地方公安机关没有成立专门的机构，能够适应计算机信息技术高速发展的警力配备不足等，因此尽快健全相应的信息安全保障的组织机构是信息安全保护的组织保证。

② 尽快完善国家信息安全基础设施建设。我国目前信息安全基础设施的建设还处于初级阶段，需要逐步完善。当前迫切需要建立的国家信息安全基础设施建设包括：国际出入口监控中心、安全产品评测认证中心、病毒检测和防治中心、关键网络系统灾难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监管中心、密钥基础设施与监管中心、信息战防御研究中心等。其中，国际出入口监控中心和安全产品评测认证中心已初步建成。安全产品评测认证中心由安全标准研究、产品安全测试、系统安全评估、认证注册部门和信息安全专家委员会组成。国家信息安全基础设施建设是信息安全技术保证。

③ 坚定地确立信息安全产业的策略。目前就我国的信息产业无论是技术、管理还是生产规模、服务观念，都不具备力量在短时间内使国产信息产品占领国内的主要市场。但是我国必须建立起独立自主的信息安全产业。自主的信息产业或信息产品国产化是信息安全的根本。国产化不等于绝对安全，而绝对安全却需要国产化。国家可集中人力、物力和给以政策，大力发展自主的专用芯片、自主嵌入式操作系统和自主的密码技术产品等，以确保关键部门的信息系统的安全。信息安全产业的策略是信息安全的基本保证。

（2）进一步完善我国信息安全保障的法律体系

虽然我国已颁布相当数量的信息安全方面的法律规范，如《关于维护互联网安全的决定》《中华人民共和国计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《商用密码管理条例》《金融机构计算机信息系统安全保护工作暂行规定》《计算机信息系统国际联网保密管理规定》《计算机信息系统安全专用产品检测和销售许可证管理办法》《计算机信息系统安全专用产品分类原则》等，但立法层次不高，现行的有关信息安全的法律规范大多只是国务院制定的行政法规或国务院部委制定的行政规章，法律与规定之间不统一，立法理念和立法技术相对滞后等，因此要进一步完善我国信息安全的法律保障体系应当做到：

① 确立科学的信息安全法律保护理念。为了使国家的政策法律能够适应信息社会的现实需求，需要确立起相应的法制体系来保障和促进国家的信息化发展。法制建设为社会信息化发展提供全面服务的指导思想，修正传统的立法理念，从彻底改革国家传统的经济体制和保障机制入手，改变落后的调整方法，把信息安全法制保障的重点从单纯的“规范”、“控制”转移到首先为信息化的建设与发展“扫清障碍”上来，以规范发展达到保障发展，由保障发展实现促进发展，构筑促进国家信息化发展的社会环境，形成适于信息网络安全实际需要的法制文化。

② 构建完备的信息安全法律体系。信息化的社会秩序主要由三个基础层面的内容所构成，即信息社会活动的公共需求，信息社会生活的基本支柱和信息社会所特有的社会关系。信息社会活动的公共需求往往是以政府意志的形式代为表现的社会公众的共同意愿，其主要包括国家信息化建设的基本目标、发展纲领、建设规划、行动策略、工作计划等等，是指导国家信息化发展的基本内容，也是国家信息化建设的公共需求；信息社会生活的基本支柱是由信息化的技术属性所决定的、国家信息化建设赖以萌芽、生成和发展的信息技术及其应用，包括计算机技术、网络技术、通信技术、安全技术、电子商务技术等等，它是信息社会生活必不可少的基本支柱；信息社会所特有的社会关系是指在国家信息化建设的过程中，参与其中的各个主体之间由于其信息化活动而产生的各种社会关系，具体将表现为相应的法律关系，其中主要包括信息民事法律关系、信息刑事法律关系、信息经济法律关系、信息行政法律关系、信息科技法律关系以及信息社会所特有的各种法律关系。与之相适应，国家信息化建设所应有的政策法律环境也就必然是由对应的指导政策、技术标准和法律规范等三项内容所共同构建的三位一体的且能够发挥促进、激励和规范作用的有机的体系。

③ 强化超前的信息安全法律效率。信息技术的发展突飞猛进，信息安全政策、法律的促进作用不应仅仅是被动适应和滞后，在国家信息化建设中，更多地还应表现为对技术的主动规范性和前瞻性。信息安全政策法律必须促进信息技术的进步，因此要强化超前的信息安全政策法律的效率。在制定政策和创设法律时应当借鉴国际社会关于“技术中立”的主流思想，注意政策和法律符合技术的特殊要求，同时为技术的发展和完善预留空间，排除可能窒息技术发展的可能性，提高法律自身对信息社会的适应性。在具体做法上，则可以吸取外国的“明示式”和“开放式”立法模式中有益的成分，参照“准则式”的立法模式解决技术和法律之间的矛盾，鼓励技术创新，开发自主的知识产权，加强技术标准体系的建立和完善，提高国家信息法律规范的效率。

④ 主动融入国际信息安全的法律体系。世界经济一体化，使得法律全球化不仅有条件，有可能，而且有必要，更是一种发展趋势。由于信息化是建筑在例如因特网的国际互联基础之上，人类信息社会是全球范围内的各国一体的信息化。因此，信息的政策和法律就必然具有国际化的属性，具体表现为有关的“国际游戏规则”。在制定政策和法律的时候，特别注意和现有的国际规则的兼容，包括在立法思想、方式方法上和具体法律规定等各方面的相互兼容；积极主动地参与国际规则的创立、建设，以维护我国的实际利益。在主动参与和合作、促进、创立、建设的过程中，真正地主动融入国际大环境。