信息法規體系結構

『壹』 什麼是網路信息系統安全體系結構

你看一下這個吧

談網路安全的保護手段

--------------------------------------------------------------------------------

管 慶 華 黃 建 平
（福建師范大學歷史系 福州 350007）

摘 要 具體闡述了網路安全問題和對網路安全的保護手段，並從倫理道德的新角度，探討其對網路安全的軟保護作用。
關鍵詞 網路安全 安全保護

1 關於網路安全
網路安全是指保護數字信息資源，防止偶然的或未授權者的惡意泄露、篡改、竊取、冒充、破壞，從而導致信息的不可靠和無法處理，甚至是信息系統的癱瘓，包括物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護，免於破壞、丟失等；邏輯安全包括信息保密性、完整性和可用性。保密性指高級別信息僅在授權情況下流向低級別的客體；完整性指信息不會被非授權修改；可用性指合法用戶的正常請求能及時、准確、安全地回應。
影響網路安全的因素很多，究其原因，計算機和系統本身的不可靠性和脆弱性是其一，人為破壞因素則是網路安全的最大威脅，具體有：
1.1計算機病毒 計算機病毒是一種人為編制的程序，能在計算機系統運行的過程中自身精確地拷貝或有修改地拷貝到其他程序體內，給計算機系統帶來某種故障或使其完全癱瘓。它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。隨著網路技術的發展，計算機病毒的種類越來越多，擴散速度也不斷加快，破壞性也越來越大。如1998年的CIH病毒，能使計算機系統迅速癱瘓，並在全球造成巨大的破壞性。1999年的"梅利莎"病毒，2000年的"愛蟲"病毒，殺傷力都很強，傳播速度也很快。而且每年都有不同類型的新病毒產生，給各個領域造成了巨大的經濟損失。
1.2 黑客和黑客程序 黑客是指採用各種手段獲得進入計算機的口令，闖入系統後為所欲為的人，他們會頻繁光顧各種計算機系統，截取數據、竊取情報、篡改文件，甚至擾亂和破壞系統。黑客程序是指一類專門用於通過網路對遠程的計算機設備進行攻擊，進而控制、盜取、破壞信息的軟體程序，它不是病毒，但可任意傳播病毒。互連網的發達，也直接催生了黑客活動。黑客發展至今，已不再是單純為研究新科技，或對抗牟取暴利的狹義英雄，除有受不住金錢誘惑而入侵電腦盜取資料出售或勒索賺錢外，還有懷著政治動機的行為。
1994年夏，一群以俄羅斯黑客為首的犯罪分子闖入萬國寶銀行的電腦系統，從銀行客戶帳戶中非法轉帳總數超過1 000萬美元的金額。1999年初，黑客組織曾向中國和伊拉克宣戰，宣稱要破壞兩國的電腦系統，原因是他們不滿兩國政府。另外，美國政府四大部門：國防部、中情局、聯邦調查局及航空航天總局的電腦系統也屢遭黑客拜訪。從今年2月初開始，黑客連續襲擊多個美國大型網站，使黑客行動達到了肆無忌憚的地步。
1.3 信息生態惡化 在網路空間，如果人類對信息資源開發和管理不當，也會導致信息生態失調，使人類和信息環境的沖突日益尖銳。網上信息泛濫成災，使人類處理與利用信息的能力大大落後於社會信息生產和傳播能力，使信息生產和利用嚴重失調。網路中的冗餘信息、老化信息、無聊信息造成信息通道阻塞，進一步加重了網路運載的負荷，既影響了人類對信息的吸收，也影響了信息的再次開發；網上信息污染使人類精神世界受到嚴重毒害，淫穢、暴力、恐怖、迷信等有毒信息嚴重腐蝕了人們的靈魂，虛假信息、失真信息則擾亂了社會秩序，危害了國家安全；信息侵權使版權、隱私權受到嚴重的侵犯，帶來了許多社會、政治、經濟和法律問題；信息分布不均使信息貧富差距擴大。據統計，目前佔世界人口20%的發達國家擁有全世界信息量的80%，而佔世界人口80%的發展中國家卻只擁有信息總量的20%，發展中國家正面臨著一種新式貧困威脅——信息貧困。
2 對網路安全的保護手段
2．1 技術保護手段 網路信息系統遭到攻擊和侵入，與其自身的安全技術不過關有很大的關系。特別是我國網路安全信息系統建設還處在初級階段，安全系統有其自身的不完備性及脆弱性，給不法分子造成可乘之機。網路信息系統的設立以高科技為媒介，這使得信息環境的治理工作面臨著更加嚴峻的挑戰，只有採取比網路入侵者更加先進的技術手段，才能清除這些同樣是高科技的產物。每個時代，高科技總有正義和邪惡的兩面，二者之間的斗爭永遠不會結束。例如，為了維護網路安全，軟體商們作出了很大的努力，生產出各種殺毒軟體、反黑客程序和其他信息安全產品：防火牆產品、用戶認證產品、信息密存與備份產品、攻擊檢測產品等，來維護網路信息的完整性、保密性、可用性和可控性。
2．2 法律保護手段 為了用政策法律手段規范信息行為，打擊信息侵權和信息犯罪，維護網路安全，各國已紛紛制定了法律政策。1973年瑞士通過了世界上第一部保護計算機的法律；美國目前已有47個州制定了有關計算機法規，聯邦政府也頒布了《偽造存取手段及計算機詐騙與濫用法》和《聯邦計算機安全法》，國會還組建了一支由警察和特工人員組成的打擊計算機犯罪的特別組織；1987年日本在刑法中增訂了懲罰計算機犯罪的若干條款，並規定了刑罰措施。此外，英、法、德、加等國也先後頒布了有關計算機犯罪的法規。1992年國際經濟合作與發展組織發表了關於信息系統的安全指南，各國遵循這一指南進行國內信息系統安全工作的調整。我國於1997年3月通過的新刑法首次規定了計算機犯罪。同年5月，國務院公布了經過修訂的《中華人民共和國計算機信息網路國際管理暫行規定》。這些法律法規的出台，為打擊計算機犯罪提供了法律依據。
2．3 管理保護手段 從管理措施上下工夫確保網路安全也顯得格外重要。在這一點上，主要指加強計算機及系統本身的安全管理，如機房、終端、網路控制室等重要場所的安全保衛，對重要區域或高度機密的部門應引進電子門鎖、自動監視系統、自動報警系統等設備。對工作人員進行識別驗證，保證只有授權的人員才能訪問計算機系統和數據。常用的方法是設置口令和密碼。系統操作人員、管理人員、稽查人員分別設置，相互制約，避免身兼數職的管理人員許可權過大。另外，還須注意意外事故和自然災害的防範，如火災，意外攻擊、水災等。
2．4 倫理道德保護手段 道德是人類生活中所特有的，由經濟關系所決定的，以善惡標准評價的，依靠人們的內心信念、傳統習慣和社會輿論所維系的一類社會現象，並以其特有的方式，廣泛反映和干預社會經濟關系和其他社會關系。倫理是人們在各項活動中應遵守的行為規范，它通過人的內心信念、自尊心、責任感、良心等精神因素進行道德判斷與行為選擇，從而自覺維護社會道德。
網路打破了傳統的區域性，使個人的不道德行為對社會發生的影響空前增大。技術的進步給了人們以更大的信息支配能力，也要求人們更嚴格地控制自己的行為。要建立一個潔凈的互聯網，需要的不僅是技術、法律和管理上的不斷完備，還需要網路中的每個信息人的自律和自重，用個人的良心和個人的價值准則來約束自己的行為。
2．5 四種保護手段分析 技術、法律、管理三種保護手段分別通過技術超越、政策法規、管理機制對網路安全進行保護，具有強制性，可稱之為硬保護。倫理道德保護手段則通過信息人的內心准則對網路安全進行保護，具有自覺性，稱之為軟保護。硬保護以強硬的技術、法律制裁和行政管理措施為後盾，對網路安全起到最有效的保護，其保護作用居主導地位；軟保護則是以信息人的內心信念、傳統習慣與社會輿論來維系，是一種發自內心深處的自覺保護，不是一種制度化的外在調節機制，其保護作用范圍廣、層次深，是對網路安全的最根本保護。
3 倫理道德對網路安全的軟保護
3．1 網路安全的相對性和硬保護手段的局限性
網路安全永遠是一個相對的概念，我們不可能建立一個無懈可擊的網路信息系統。就如殺毒軟體和反黑客程序的生產，對保護網路安全起了重要作用，可到了一定時期，新型的病毒、新的黑客程序又不斷出現，相應的新殺毒軟體和反黑客程序也相繼產生，這永遠是一個相互交替相互制約的過程。近年來，網路技術高速發展的同時，計算機病毒事件和黑客事件也愈演愈烈。科學技術正義和邪惡不同的兩面在不斷斗爭。值得注意的是，我們用任何技術來維護相對安全的網路環境的同時，都是以影響到網路信息系統的性能為代價的。例如，通過加密來保障信息系統安全，確保信息在沒有電子鑰匙開啟的情況下就無法閱讀。通過防火牆技術，使網路內部網與互聯網或者其他外部網路之間隔離，限制網路互訪，保護內部網路。從某種程度上說，這些方法都影響了系統的功能。
同樣，法律和行政管理措施的產生都是對網路安全問題的防範和保護。隨著不同類型網路安全問題的出現，法律政策和行政管理措施也在不斷變化，以應變新時期的網路安全問題。
技術、法律和管理手段都帶有鮮明的時代特點，對每一時期的網路安全起最有效的保護。但是，沒有一個時期會因為有了這些硬保護手段就能營造一個無懈可擊的網路系統。所以，網路安全具有相對性，而硬保護手段也有其局限性。
3．2 軟保護手段的廣泛性和穩定性
倫理道德是人們以自身的評價標准而形成的規范體系。它不由任何機關制定，也不具有強制力，而受到內心准則、傳統習慣和社會輿論的作用，它存在於每個信息人的內心世界。因而倫理道德對網路安全的保護力量來自於信息人的內在驅動力，是自覺的、主動的，隨時隨刻的，這種保護作用具有廣泛性和穩定性的特點。
在倫理道德的范疇里，外在的強制力已微不足道，它強調自覺、自律，而無須外界的他律，這種發自內心的對網路安全的尊重比外界強制力保護網路安全無疑具有更深刻的現實性。正因為倫理道德能夠在個體的內心世界裡建立以「真、善、美」為准則的內在價值取向體系，能夠從自我意識的層次追求平等和正義，因而其在保護網路安全的領域能夠起到技術、法律和管理等保護手段所起不到的作用。

參考文獻

1 朱慶華，鄒志仁. 信息系統與計算機犯罪. 情報學報，1999（6）
2 邱燕燕. 網路安全與倫理建設. 情報雜志，2000（1）
3 謝立虹. 網路空間中的信息生態問題. 圖書館，2000（2）
4 電腦黑客編年史. 軟體報，2000-03-06
5 羅志傑. 倫理學名詞解釋. 北京：人民出版社，1984-12
6 八所高等師范院校. 馬克思主義倫理學原理. 貴陽： 貴州人民出版社，1984-11
參考資料：http://www.fjinfo.gov.cn/publicat/qbts/003/6.htm

『貳』 國家信息化體系各個要素之間的關系

(一)推進國民經濟信息化。

《發展戰略》將「推進國民經濟信息化」列為「我國信息化發展戰略重點」的第一條。其中還特別強調了農業信息化，提出要推動「三農」的信息化服務，用信息化來解決中國的「三農」問題，這可能也是中國信息化的一個特點。我認為這跟我們提出的「構建社會主義和諧社會」和「社會主義新農村建設」也是一脈相承的。

(二)推行電子政務

《發展戰略》將「公共服務」的重要性提到了推進電子政務工作的首位。同時，強調「社會管理」、「政府監管」和「宏觀調控」。旨在通過推動電子政務這個戰略重點，提升政府的四個能力——公共服務能力、社會管理能力、政府監管能力、宏觀調控能力。

(三)建設先進網路文化

網路是一個新的知識傳播手段和信息擴大載體，保證網路上先進文化思想的傳播非常重要。所以《發展戰略》將「建設先進的網路文化」放到比較重要的地位。

(四)推進社會信息化

《發展戰略》把「社會信息化」分為以下幾部分：第一是教育，第二是醫療衛生，第三是就業和社會保障，第四是社區，第五是家庭和個人。提出，要分別提升這五個領域的信息化水平以增強社會總體信息化成熟度。

(五)完善綜合信息基礎設施

關於這部分內容，《發展戰略》重點提到了廣電網、計算機網、電信網等「三網」融合的問題。這是一個很大膽的舉動，因為三網融合將來必定帶動政府結構的一個調整。

(六)加強信息資源的開發利用

《發展戰略》對「信息資源」作了一個全新的判斷，認為「信息資源日益成為重要生產要素、無形資產和社會財富」。這一判斷對我們加強對信息資源重要性的認識有很大的幫助作用，不管政府信息化、社會信息化還是企業信息化都要提高對信息資源的共享度，開發信息資源。

(七)提高信息產業競爭力

主要通過信息化帶動中國信息產業的發展，強調要加快信息產業的發展。強調自主創新，研究關鍵技術，圍繞信息技術本身，提升技術創新能力，提升中國信息技術的國際競爭力。

(八)建設國家信息安全保障體系

(九)提高國民信息技術應用能力，造就信息化人才隊伍

『叄』 信息安全標准與法律法規的目錄

第一部分總論
第1章緒論
1.1信息安全概述
1.1.1什麼是信息？
1.1.2什麼是信息安全？
1.1.3信息安全的基本屬性
1.1.4保障信息安全的三大支柱
1.2信息安全涉及的法律問題
1.2.1犯罪
1.2.2民事問題
1.2.3隱私問題
1.3習題
第2章立法、司法和執法組織
2.1立法
2.1.1立法權
2.1.2立法組織與立法程序
2.1.3立法權等級
2.1.4我國立法體制的特點
2.1.5有關國家的立法組織與立法程序
2.2司法組織
2.2.1我國的司法組織
2.2.2美國的司法組織
2.2.3日本的司法機構
2.3執法組織
2.3.1我國的執法組織
2.3.2美國的執法組織
2.4習題
第3章信息系統安全保護法律規范
3.1概述
3.1.1概念與特徵
3.1.2法律關系
3.2我國信息系統安全保護法律規范
3.2.1我國信息系統安全保護法律規范的體系
3.2.2信息系統安全保護法律規范的基本原則
3.2.3信息系統安全保護法律規范的法律地位
3.3習題
第二部分信息安全法律法規
第4章信息系統安全保護相關法律法規
4.1中華人民共和國計算機信息系統安全保護條例
4.1.1《條例》的宗旨和法律地位
4.1.2《條例》的適用范圍
4.1.3《條例》的主要內容
4.2計算機信息網路國際聯網安全保護管理辦法
4.2.1制定《辦法》的宗旨
4.2.2《辦法》的適用范圍和調整對象
4.2.3《辦法》的主要內容
4.3信息安全等級保護管理辦法(試行)
4.3.1制定《等級保護管理辦法》的目的
4.3.2信息安全等級保護的概念
4.33確定信息系統安全保護等級的基本原則
4.3.4《等級保護管理辦法》的主要內容
4.4習題
第5章互聯網路安全管理相關法律法規
5.1計算機信息網路國際聯網管理暫行規定實施辦法
5.1.1制定《實施辦法》的目的
5.1.2制定《實施辦法》的意義
5.1.3國際聯網的相關定義
5.1.4與信息安全管理相關的條款
5.1.5處罰條款
5.2關於維護互聯網安全的決定
5.2.1《決定》的目的
5.2.2界定違法犯罪行為
5.2.3行動指南
5.3互聯網上網服務營業場所管理條例
5.3.1制定本條例的目的
5.3.2本條例的適用范圍
5.3.3管理職權
5.3.4開辦條件和程序
5.3.5與信息安全相關的條款
5.3.6處罰條款
5.4互聯網信息服務管理辦法
5.4.1制定本辦法的目的
5.4.2互聯網信息服務的含義與分類
5.4.3不同信息服務的管理辦法
5.4.4互聯網信息服務應具備的條件
5.4.5經營者的權利和義務
5.4.6監督管理
5.4.7處罰條款
5.5互聯網安全保護技術措施規定
5.5.1制定本規定的目的
5.5.2相關概念的定義
5.5.3總體要求
5.5.4具體保護技術措施和要求
5.5.5公安機關的職責
5.6互聯網電子郵件服務管理辦法
5.6.1制定本辦法的目的
5.6.2本辦法的適用范圍及相關概念
5.6.3管理要求
5.6.4電子郵件服務提供者的權利、義務和法律責任
5.6.5電子郵件服務使用者的權利、義務和法律責任
5.6.6對相關舉報的處理
5.6.7罰則
5.7習題
第6章其他有關信息安全的法律法規
6.1計算機信息系統安全專用產品檢測和銷售許可證管理辦法
6.1.1目的與定義
6.1.2銷售許可證制度
6.1.3檢測機構的申請與批准
6.1.4安全專用產品的檢測
6.1.5銷售許可證的審批與頒發
6.1.6罰則
6.2有害數據及計算機病毒防治管理
6.2.1有害數據的定義
6.2.2計算機病毒防治管理辦法
6.2.3傳播、製造有害數據及病毒違法行為的查處
6.3習題
第7章依法實踐保障信息安全
7.1重點單位和要害部位信息系統安全管理
7.1.1概述
7.1.2安全管理
7.2信息安全管理制度
7.2.1制定信息安全管理制度的原則
7.2.2企事業單位信息安全管理制度
7.2.3網吧安全管理制度
7.2.4學校的計算機網路安全制度
7.2.5網路安全管理員的職責
7.2.6校園網計算機用戶行為規范
7.2.7安全教育培訓制度
7.3習題
第三部分信息安全標准
第8章我國的信息安全標准
8.1概述
8.1.1標準的定義
8.1.2標準的分級和分類
8.1.3信息安全標准
8.2計算機信息系統安全保護等級劃分簡介
8.2.1GB/17859-1999
8.2.2GA/T390-2002
8.2.3GA/T391-2002:
8.2.4GA/T387-2002
8.2.5GA/T388-2002
8.2.6GA/T389-2002
8.3GB17859-1999《計算機信息系統安全保護等級劃分准則》
8.3.1安全保護的五個等級及適用范圍
8.3.2對所涉及術語的定義
8.3.3五個等級的具體劃分准則
8.3.4五個等級保護能力的比較
8.4GA/T390-2002《計算機信息系統安全等級保護通用技術要求》
8.4.1標準的適用范圍
8.4.2術語和定義
8.4.3標準的主要內容
8.5GA/T391-2002《計算機信息系統安全等級保護管理要求》
8.5.1本標準的適用范圍
8.5.2術語和定義
8.5.3信息系統安全管理概述
8.5.4安全等級信息系統的管理要求
8.5.5安全管理等級要素
8.6其他信息安全標准
8.6.1GA163-1997《計算機信息系統安全專用產品分類原則》
8.6.2GB9361-88S《計算站場地安全要求》
8.7習題
第9章信息安全國際標准
9.1國際標准體系簡介
9.1.1國際標准ISO/IEC
9.1.2美國信息安全管理標准體系
9.1.3英國信息安全管理標准體系
9.2BS7799《信息安全管理標准》
9.2.1BS7799簡介
9.2.2BS7799的發展歷程
9.3ISO/IEC17799:2005
9.3.1ISO/IEC17799:2005概述
9.3.2ISO/IEC17799:2005的適用范圍
9.3.3涉及的術語及其定義
9.3.4ISO/IEC17799:2005的基本結構
9.3.5信息安全方針
9.3.6信息安全組織
9.3.7資產管理
9.3.8人力資源安全
9.3.9物理與環境安全
9.3.10通信和運作管理
9.3.11訪問控制
9.3.12信息系統的獲取、開發及維護
9.3.13信息安全事故管理
9.3.14業務連續性管理
9.3.15符合性
9.4ISO/IEC27001:2005
9.5習題
附錄信息系統安全保護等級定級指南(報批稿)
參考文獻
……

『肆』 我國法律體系框架

我國的法來律體系包括自憲法及憲法相關法、民法商法、行政法、經濟法、社會法、刑法和訴訟與非訴訟程序法。

憲法是我國的根本大法。

民法是規定並調整平等主題的公民間、法人間及公民與法人間的財產關系和人身關系的法律規范的總稱。商法是涮整市場經濟關系中商人及商事活動的法律規范的總稱。 我國採用的是民商合一的立法模式。

公司法、合同法、民法通則、招標投標法等屬於民法商法。經濟法是調整在國家協調、干預經濟運作的過程中發生的經濟關系的法律規范的總稱。社會法是調整勞動關系、社會保障和社會福利關系的法律規范的總稱。

(4)信息法規體系結構擴展閱讀：

法律體系，是指一個國家的全部現行法律規范，按照一定的原則和要求，根據法律規范所調整的對象和調整方法的不同，劃分為既相互區別又相互聯系的不同的法律部門，從而構成一個內在統一的整體。

該書針對我國社會主義法治國家的發展情況，對我國的社會主義法律體系的形成過程和發展現狀進行詳細介紹。根據全國人大法律工作委員會發布的公告，對於憲法及憲法相關法、刑法、民商法、行政法、經濟法、訴訟及非訴訟程序法、社會法的分類以及各個部門法的具體情況進行了說明，對於了解我國法律體系框架、研究各部門法學具有指導作用。

『伍』 下面哪些不屬於信息法規體系的內容

B. 實際型（R型） C. 企業型（E型） D. 社會型（S型） 正確答案：A 35,喜歡創造和自我表達、喜歡藝術的人，屬於霍蘭德六種類型中的哪一種？ A. 研究型（I型） B. 藝術型（A型） C. 社會型（S型） D. 企業型（E型） 正確答案：B 36,營銷師是從事市場分析與開發研究，為企業生產經營決策提供咨詢，並進行產品宣傳促銷的人員。關於營銷師的這一說法，你認為： A. 正確 B. 錯誤 正確答案：A 37,下列哪項不屬於職業認知的方法？ A. 生涯人物訪談 B. 職場總結或感悟 C. 360度評估 D. 影視作品 正確答案：C 38,下列方法中，不能幫助我們更多地了解職業世界的是： A. 多參加社會實踐活動 B. 刻苦學好專業知識 C. 關注各個行業的發展動態和前景 D. 到企業做調研 正確答案：B 39,可以對行業發展產生重大影響的因素包括哪些：(1)社會需求 (2)技術因素 (3)資本投入 A. (1)(2) B. (1)(3) C. (2)(3) D. (1)(2)(3) 正確答案：D 40,近年來，隨著市場經濟的發展和國家政策的調整，一批新型國有企業脫穎而出，這些新國企表現出了全新的特徵。關於新國企，以下說法錯誤的是： A. 新國企設立時間較晚，規模適中，並且大多為朝陽產業 B. 現代企業的一些核心制度已經在新國企內部生成，並發揮重要作用 C. 新國企普遍建立了適應企業自身發展需要、具有鮮明時代氣息和行業特徵 的新型企業文化 D. 新國企普遍建立了適應市場競爭需要和自身特點的經營管理模式 正確答案：A 41,以下行業中，屬於第一產業的是： A. 林業 B. 製造業 C. 建築業 D. 商業 正確答案：A 42,有關外企的法律特徵，下列說法錯誤的是： A. 外資企業的全部資本是由外國投資者投資的，相應地，企業的全部利潤歸 外國投資者，風險和虧損也由外國投資者獨立承擔，外國投資者可以是公司、企業以及其他經濟組織或者個人 B. 外資企業是外國投資者根據中國法律在中國境內設立的 C. 外資企業是獨立的法律主體，以自己的名義進行經營活動，獨立承擔民事 責任 D. 外國投資者對其債務承擔無限責任 正確答案：D 43,未來五年，通信產業將出現更大技術變化。影響最大的五項關鍵技術是什麼：①光傳輸②衛星通信③無線移動通信產品④寬頻數字技術⑤網際網路資源⑥軟體技術 A. ①②③④⑤ B. ②③④⑤⑥ C. ①②③④⑥ D. ①②③⑤⑥ 正確答案：A 44,超級零售巨子沃爾瑪擁有分布在世界各地的4000餘家店鋪，100餘萬員工，年銷售額達到兩千多億美元。在招聘員工時，沃爾瑪有其自己的選材標准。下列哪些是沃爾瑪的選人標准：（1）熱情：對銷售熱情，樂於與人打交道（2）有顧客服務意識（3）有想法，有創新（4）敬業、勤奮、耐心 A. (1)、（2） B. （1）、（2）、（3） C. （1）、（2）、（4） D. （1）、（2）、（3）、（4） 正確答案：D 45,零售業青睞何種人才，以下說法錯誤的是： A. 優秀的店長 B. 零售業的高級采購 C. 懂得店面管理的人才 D. 經常跳槽的談判桌上的物流人才 正確答案：D 46,不同的社會環境給予個人的職業信息是不同的。下列四項中，哪一項不是社會環境所包含的因素： A. 社會文化環境 B. 人口環境 C. 企業文化 D. 社會價值觀念 正確答案：C 47,社會的三元結構不包含： A. 社會基礎——經濟元 B. 制度保障——政治元 C. 精神追求——文化元 D. 感情寄託——情感元 正確答案：D 48,企業如何關心員工的發展問題，是一個企業文化的先進性所在。這一說法，你認為： A. 正確 B. 錯誤 正確答案：A 49,職業探索，是對你喜歡或要從事的職業進行理論分析和實際調研的過程，目的是對目標職業有充分的了解，並在明確和職業的差距中制定求職策略，從而有效地規劃大學生活。你認為這句話： A. 正確 B. 錯誤 正確答案：A 50,不同企業對優秀人才有不同的定義標准，但是高素質的人才除了專業上的優勢外，還有著一定的共同點，這些共同點不包括： A. 團隊合作能力 B. 創新能力 C. 溝通交際能力 D. 數學計算能力 正確答案：D

『陸』 一個完整的信息安全技術體系結構由什麼組成

完整的信息系統安全體系框架由技術體系、組織機構體系和管理體系共同構建。

技術體系由兩部分組成：物理安全技術和系統安全技術
物理安全技術：信息系統的建築物、機房條件及硬體設備條件滿足信息系統的機械防護安全；通過對電力供應設備以及信息系統組件的抗電磁干擾和電磁泄露性能的選擇性措施達到相應的安全目的。物理安全技術運用於物理保障環境(含系統組件的物理環境)。
系統安全技術：通過對信息系統與安全相關組件的操作系統的安全性選擇措施或自主控制，使信息系統安全組件的軟體工作平台達到相應的安全等級，一方面避免操作平台自身的脆弱性和漏洞引發的風險，另一方面阻塞任何形式的非授權行為對信息系統安全組件的入侵或接管系統管理權。

組織機構體系是信息系統安全的組織保障系統，由機構、崗位和人事三個模塊構成一個體系。
機構的設置分為三個層次：決策層、管理層和執行層。
崗位是信息系統安全管理機關根據系統安全需要設定的負責某一個或某幾個安全事務的職位。
人事機構是根據管理機構設定的崗位，對崗位上在職、待職和離職的雇員進行素質教育、業績考核和安全監管的機構。

管理體系：管理是信息系統安全的靈魂。信息系統安全的管理體系由法律管理、制度管理和培訓管理三個部分組成。所謂「三分技術，七分管理」
1）法律管理是根據相關的國家法律、法規對信息系統主體及其與外界關聯行為的規范和約束。
2）制度管理是信息系統內部依據系統必要的國家、團體的安全需求制定的一系列內部規章制度。
3）培訓管理是確保信息系統安全的前提。

『柒』 組織建立信息安全管理體系的一般過程是什麼

我國信息安全管理的現狀、問題及其對策
摘要：信息安全是國家安全的基礎和關鍵。在信息安全保障的三大要素(人員、技術、管理)中，管理要素的地位和作用越來越受到重視。理解並重視管理對信息安全的關鍵作用，對於真正實現信息安全目標來說尤其重要。本文分析了信息安全管理的現狀，並著重討論了加強信息安全管理的策略。
關鍵詞：信息安全；管理；現狀；策略
信息安全管理是隨著信息和信息安金的發展而發展的。在信息社會中，一方面信息已經成為人類的重要資產，在政治、經濟、軍事、教育、科技、生活等方面發揮著重要作用，另一方面由於計算機技術的迅猛發展而帶來的信息安全問題正變得日益突出。由於信息具有易傳播、易擴散、易損毀的特點，信息資產比傳統的實物資產更加脆弱，更容易受到損害，這樣將使組織在業務運作過程巾面臨巨大的風險。這種風險主要來源於組織管理、信息系統、信息基礎設施等方面的固有薄弱環節和漏洞， 以及大量存在於組織內外的各種威脅， 因此對信啟、系統需要加以嚴格管理和妥善保護，信息安全管理也隨之產生。
1、國內信息安全管理現狀
1．1在國家宏觀信息安全管理方面的問題
(1)法律法規問題。健全的信息安 法律法規體系是確保國家信息安全的基礎，是信息安全的第一道防線。我國已建立了法律、行政法規與部門規章及規范性文件等三個層面的有關信息安全的法律法規體系，對組織與個人的信息安全行為提出了安全要求。但是我國的法律法規體系還存在缺陷，一是現有的法律法規存在不完善的地方，如法律法規之間有內容重復交叉， 同一行為有多個行政處罰主體，有的規章與行政法規相互抵觸，處罰幅度不?一致；二是法律法規建設跟不上信息技術發展的需要，這主要涉及網路規劃與建設、網路管理與經營、網路安全、數據的法律保護、電子資金劃轉的法律認證、計算機犯罪、刑事立法、計算機證據的法律效力等方面的法律法規缺乏。
(2)管理問題。管理包括三個層次的內容：組織建設、制度建設和人員意識。組織建設是指有關信息安全管理機構的建設。信息安全的管理包括安全規劃、風險管理、應急計劃、安全教育培訓、安全系統的評估、安全認證等多方面的內容，因此只靠一個機構是無法解決這些問題的。在各信息安全管理機構之問，要有明確的分工，以避免「政出多門」和「政策拉車」現象的發生。需要建立切實可行的規章制度，即進行制度建設，以保證信息安全。如對人的管理，需要解決多人負責、責仔到人的問題，任期有限的問題，職責分離的問題，最小許可權的問題等。有了組織機構和相應的制度，還需要領導的高度重視和群防群治，即強化人員的安全意識，這需要信息安全意識的教育和培訓，以及對信息安傘問題的高度重視。
(3)國家信息基礎設施建設問題。目前構成我國信息基礎設施的網路、硬體、軟體等產品幾乎完全是建立在外國的核心信息技術之上的。關於國家信息基礎設施方面存在的問題已引起國家的高度重視。如「十五」期問，國家863計劃和科技攻關的重要項目就有「信息安全與電子政務」和「金融信息化」兩個有關信息安全的研究項目；2002年1月1日開始實施的《電信業務經營許可證管理辦法》明確要求：電信產品軟體商不能在軟體上預留「後門」，外國供貨商不能遠程登錄中國電信商的操作系統，高級 管系統要用國內可靠機構開發的軟體產品。
1．2我國在微觀信息安全管理方面存在的問題主要表現
(1)缺乏信息安全意識與明確的信息安全方針。大多數組織的最高管理層對信息資產所面臨威脅的嚴重性認識不足，或者僅局限於IT方面的安全，沒有形成一個合理的信息安拿方針來指導組織的信息安全管理工作，這表現為缺乏完整的信息安全管理制度，缺乏對員工進行必要的安全法律法規和防範安全風險的教育與培訓，現有的安全規章組織未必能嚴格實施等。
(2)重視安全技術，輕視安全管理。目前組織普遍採用現代通信、計算機和網路技術來構建信息系統，以提高組織效礙暑與競爭能力，但相應的管理措施不到位，如系統的運行、維護和開發等崗位不清，職責不分，存在一人身兼數職現象。
(3)安全管理缺乏系統管理的思想。大多數組織現有的安全管理模式仍是傳統的管理方法，出現了問題才去想補救的辦法，是一種就事論事、靜態的管理，不是建立在安全風險評估基礎上的動態的持續改進管理方法。
2、國外信息安全管理現狀
國際上信息安全管理近幾年的發展主要包括以下幾個方面。
(1)制訂信息安全發展戰略和計劃。制訂發展戰略和計劃是發達國家一貫的作法。美、俄、日國家都已經或正在制訂自己的信息安全發展戰略和發展計劃，確保信息安全沿著正確的方向發展。
(2)加強信息安全立法，實現統一和規范管理。以法律的形式規定和規范信息安全工作是有效實施安全措施的最有力保證。制訂網路信息安全規則的先鋒是各大門戶網站，美國的雅虎和美國在線等網站都在實踐中形成了一套自己的信息安全管理辦法。2000年1O月5日美參議院通過了《互聯網網路完備性及關鍵設備保護法案》。2000年9月，俄羅斯實施了關於網路信息安全的法律。
(3)步入標准化與系統化管理時代。隨著2O世紀8O年代IS09000質量管理標準的出現及隨後在全世界的推廣應用，系統管理的思想在其他管理領域也被借鑒與採用，信息安全管理也同樣在2O世紀9O年代步入了標准化與系統化管理的時代。1995年英國率先推出了BS7799信息安全管理標准，該標准於2000年被國際標准化組織認可為國際標准ISO／IEC17799。現在該標准已引起許多國家與地區的重視，在一些國家已經被推廣與應用；組織貫徹實施該標准可以對信息安全風險進行全面系統的管理，從而實現組織信息安全。與此同時，其他國家以及組織也提出了很多與信息安全管理相關的標准。
3、加強信息安全管理的策略
隨著國民經濟和社會信息化進程的全面加快，信息安全管理工作面臨著越來越嚴峻的形勢和挑戰。從總體上看，當前，我國的信息安全管理工作尚處於起步階段，基礎薄弱，水平不高，存在許多亟待解決的問題，我們要以全局性的眼光，加強信息安全的組織管理工作。
(1)建立集中統一、分工協作、各司其職的信息安全管理機制。信息安傘保障的關鍵在於組織領導，要從根本上加強我國的信息安全保障工作，必須建立全國集中統一、分工協作、各司其職的信息安全管理機制。一是國家應建立能夠協調維護各種安全利益的綜合職能機構，成立有高度權威的國家信息安全委員會，作為國務院信息化領導小組的常設委員會， 以改變目前在維護國家信息安全中各部門條塊分割、職責不清、多頭管理、協調不力和政出多門的現狀；二是各個職能部門要形成一個分工明確、責任落實、相互銜接、有機配合的組織管理體系，按照「誰主管、誰負責」的原則，共同履行信息安全管理的職責；三是盡早建立省、市兩級比較完善的信息安全領導管理體系， 以便積極調動各種資源主動配合和協調信息安全保障工作，形成縱橫結合的信息安全協調與信息共享機制； 四是充分調動政府、企業和個人的積極性，實現有機聯動，形成合力，共同構築國家信息安全保障體系；五是健全和完善信息安全責任體系，要求各部門、各單位明確信息安全工作負責人，配備相應的信息安全員，把信息安全責任真正落實到人。
(2)加強信息安全法制建設，為信息安全管理提供執法依據。作為信息安全保障體系的重要部分，相關法律法規和標准體系的建設已經勢在必行。下一步，應著力建立健全信息安全法律法規體系；同時，要注重和加強信息安全執法隊伍的建設；各信息安全職能部門的執法活動必須嚴格按照法律規定的許可權和程序進行，正確行使權力和履行職責，保護企業和公民的合法權益，打擊網路違法犯罪；各有關主管部門和運營單位要積極支持執法機關工作，履行應盡的義務；社會團體、企業和個人要認真履行法律規定的信息安全責任和義務，在信息網路環境中依法開展活動。
(3)採取有效措施，積極推進信息安全等級保護工作的順利開展。實行信息安全等級保護是國家解決信息安全保護問題的基本政策。信息安全等級保護是信息系統的社會價值和經濟價值保護的客觀要求，即按信息的敏感和重要程度、系統應用性質和資嚴價值、部門重要程度，分級採取科學、合理的保護措施；對於涉及國計民生的國家關鍵信息基礎設施應分級加以重點保護；適度保護，效費合理，避免盲目和浪費。國家實行信息安全等級保護，必須從總體戰略角度考慮，把握關鍵環節，建立長效保護機制。當前，信息安全等級保護的試點工作已積累了一定的經驗，為推動信息安全等級保護工作的傘面開展，應著力做好以下幾個方面的工作：明確信息系統等級保護各方責任；制定各項信息安全等級保護管理制度；制定、完善信息安全等級保護管理規范和技術標准體系；依託社會技術力量，組建技術支撐體系；研製開發信息安全等級保護備案、檢測、評估信息系統和技術
工具；加強宣傳、培訓工作等等。
(4)努力探索，創立新形勢下的信息網路違法犯罪防範打擊體系。近年來，我國在打擊網路違法犯罪方面做了大量的工作，也取得了很火的成績，但是隨著信息技術的不斷發展，網路違法犯罪的形式更加多樣化，技術手段更加先進，這就要求我們不斷建立健全信息網路違法犯罪防範打擊體系， 以執法職能部門為主體，動員社會各方力量，運用網路技術手段在信息網路領域建立系統、完整、有機銜接的預防、控制、偵查、懲處信息網路違法犯罪的行政執法和刑事執法體系，提高對信息網路違法犯罪的防範、控制和偵查、打擊能力。重點要做好以下四方面機制建設：一是全社會防範控制機制。二是統一指揮、快速反應的偵查機制。三是有關部門、單位的支持、配合機制。四是公檢法三機關的協調、協作機制。
答案補充
(5)政策面上採取各種措施，創造良好的信息安全發展環境。一是加大對信息安全工作的資金投入。在政府層面，財政應拿出專門的資金，用於機關及相關事業單位、公益性等信息網路的安全建設及維護；在企業層面，在必須明確建設網路的真正需求，加強安全資金投入，針對自身的網路建立安全防禦體系；另外，科研管理部門應當加大對信息安全技術研究的科研投入，對若干前瞻性、基礎性的信息安全核心技術，統一部署，組織攻關，力爭有所突破。二是加快信息安全人才培養。要從信息安全建設和管理對信息安全人才的實際需求出發，加強信息安全學科、專業和培訓機構建設，加快信息安全人才培養。要採取積極措施，吸引並用好高素質的信息安全管理和技術人才，最大限度的發揮人才效益。三是要大力支持信息網路安全服務行業的發展。建議出台支持信息安全服務行業發展的相關政策，加強對信息安全服務行業的監管，積極引導信息網路使用單位藉助信息安全服務單位提高其安全管理水平和能力。
答案補充
四是要增強全民信息安全意識。要充分利用新聞媒體和互聯網，加大信息安全宣傳力度，增強全民信息安全意識。要開展全社會特別是對青少年的信息安全教育和法律法規教育，使其掌握必要的信息安全知識與技能。
4、結語
信息安全管理是保護國家、組織、個人等各個層面上信息安全的重要基礎。只有以有效的信息安全管理體系為基礎，完善信息安全管理結構，綜合應用信息安全管理策略和信息安全技術產品，才可能建立起一個真正意義上的信息安全防護體系。
參考文獻：
[1]劉文艷．社會信息化環境下的信息安全管理研究[J]．網路安全技術與應用，2007，3．
[2]李振汕．現代電子商務系統安全技術研究[J]．中國管理信息
化，2007，10．
[3]張紅旗等．信息安全管理[M]．北京：人民郵電出版社，2007，11．

『捌』 信息管理的內容與功能

2.3.1信息管理的內容

由於社會信息活動的廣泛性和復雜性，決定了信息管理內容的多樣性和綜合性。信息管理的內容可以概括為以下幾個方面。

2.3.1.1對信息系統的管理

對信息系統的管理涉及信息系統的規劃、設計、運行、維護、評價和再設計等內容。它通過對涉及信息活動的各種要素進行合理的計劃、協調和控制，以達到對信息系統的管理。例如，安排年度信息管理活動、合理配置設備和人員、實施具體的信息項目、實現信息資源的有效配置和充分開發以滿足社會對信息的需求。對信息系統的管理貫穿於系統建設到系統運用的全過程。

2.3.1.2對信息產品的管理

對信息產品的管理主要是指對信息的搜集、加工、組織和形成信息產品過程的管理。對信息產品的管理實際上是一種微觀層次上的信息化管理活動，是對信息本身的管理。它包括信息產品的研製和開發，信息產品的流通和市場化，信息產品生產過程中的內部管理等。

2.3.1.3對信息產業的管理

對信息產業的管理實際上是對信息產業發展的全局性、戰略性和關鍵性的重大問題進行決策的過程。這是一個涉及全國乃至全世界的宏觀層面的管理。由於信息產業是一個新興產業，在各國的發展時間都比較短，但其發展速度十分迅速，各國政府也紛紛出台優惠政策，加大對信息產業的投入，使信息產業成為拉動國民經濟的「火車頭」。各國對信息產業管理的主要內容包括制訂信息產業政策，為信息產業立法，建立以國家和政府領導人牽頭的信息管理機構，配置該國最優秀的信息管理人才，制訂信息產業發展規劃和發展戰略，形成有本國特色的信息產業結構和體系。

2.3.1.4對信息政策法規的管理

信息政策是指國家或信息機構為了達到一定的目的而制訂的信息活動方針和行動准則。它是信息系統履行社會職能，優化運行機制的保證。信息法規是一國立法機關制訂的信息活動的行為准則，是該國有關信息活動的法律、法令、條例、規章等法規文件的總稱。由於信息產業是一個全新的產業部門，它既涉及傳統產業，也包括新興產業，因此，需要一個全新的法律體系。這一法律體系的功能和作用主要有：為社會信息事業和信息產業的發展指明前進的方向；保證信息事業發展與實現；促進信息資源的合理開發和有效利用；為社會信息活動提供導向性和有約束力的行為准則，維護信息活動的正常進行；調整經濟關系，保證社會信息環境系統的正常運行；維護信息部門和信息工作者的正當權益，促進信息事業與國民經濟的協調健康發展。

2.3.2信息管理的功能

現在人們已經離不開信息管理，信息管理在現代社會生活中的功能越來越大，這種功能突出表現在以下幾個方面：

2.3.2.1開發信息資源的功能

信息本身並不是資源，只有當信息經過人們有目的的加工以後，才能成為一種人們所需要的資源。人們在日常生活和工作中接觸到的信息，往往是雜亂無章的，而信息管理為將雜亂無章的信息轉變為有用的信息資源提供了條件。人們通過信息管理，將那些有用的信息進行分類整理，研究加工，形成一種有序的信息流，並將這些信息提供給需要這些信息的人，使信息成為人們手中的資源。

2.3.2.2配置信息資源的功能

人們經過對信息的開發，形成信息資源以後，如果將這些信息資源束之高閣，那麼，再好的信息資源也與原始的信息一樣無任何價值。配置信息資源就是要建立公平合理的信息產品生產、分配、交換、消費機制，優化信息資源的體系結構，使各種信息資源都能得到最優分配與充分使用，從而最大限度地滿足全社會的信息需求。

2.3.2.3提供信息服務的功能

信息化高技術手段為人們個性的張揚提供了先進的技術手段，人們不僅需要得到社會普遍都有的服務，而且還需要得到個性化的服務。在信息化社會中，有些服務可以通過改進技術條件來實現，如通過搜索引擎，找到自己所需要的東西，但很多情況下，僅僅用技術手段是難以實現的。信息管理作為信息化手段與管理的結合，發揮著其他服務手段難以發揮的作用。它可以通過法律、政策、行政的手段，公開一些原來沒有公開的信息資源；可以投入人力、物力、財力，整理加工原始的信息資源為人們所用；可以為人們進行信息活動提供良好的人文社會環境，為人們獲取信息、運用信息提供服務。

2.3.2.4推動信息產業發展的功能

進入21世紀以來，人類社會開始進入信息化時代，信息產業在國民經濟中的比重迅速提高，信息產業的發展在推動社會信息化水平提高的同時，也要求管理部門為其提供理論指導和政策方向。信息管理雖然也是宏觀信息產業的一部分，但它又不同於信息產業的其他內容，信息管理在制訂信息產業的發展戰略，貫徹實施信息產業政策和相關法規，在處理和調控信息產業發展的過程中發揮著越來越重要的作用。

『玖』 信息安全體系結構的目錄

第1章 概述1
1.1 基本概念1
1.1.1 體系結構1
1.1.2 信息安全體系結構5
1.1.3 信息安全保障8
1.2 三要素9
1.2.1 人9
1.2.2 技術12
1.2.3 管理13
1.2.4 三者的相互關系13
1.3 小結14
習題14
第2章 信息安全體系結構規劃與設計15
2.1 網路與信息系統總體結構初步分析15
2.2 信息安全需求分析18
2.2.1 物理安全18
2.2.2 系統安全19
2.2.3 網路安全23
2.2.4 數據安全30
2.2.5 應用安全31
2.2.6 安全管理32
2.3 信息安全體系結構的設計目標、指導思想與設計原則32
2.3.1 設計目標32
2.3.2 指導思想33
2.3.3 設計原則33
2.4 安全策略的制定與實施34
2.4.1 安全策略34
2.4.2 制定依據35
2.4.3 安全策略分類35
2.5 小結41
習題42
第3章 信息安全技術支撐43
3.1 密碼服務技術43
3.1.1 作用43
3.1.2 要求44
3.1.3 組成44
3.1.4 密碼的使用45
3.1.5 密鑰的配用與管理46
3.1.6 密碼服務系統介面46
信息安全體系結構目錄 3.2 密鑰管理技術47
3.2.1 作用47
3.2.2 體系結構48
3.3 認證技術50
3.3.1 作用50
3.3.2 基本模型51
3.3.3 交叉認證與橋CA53
3.3.4 體系結構55
3.3.5 主要組件的功能要求60
3.3.6 其他認證技術66
3.4 授權技術67
3.4.1 作用67
3.4.2 基本結構和應用模型68
3.4.3 體系結構與主要功能69
3.4.4 性能指標71
3.5 容災備份與故障恢復技術72
3.5.1 作用72
3.5.2 體系結構72
3.5.3 容災備份的策略73
3.5.4 本地備份74
3.5.5 異地備份75
3.5.6 恢復75
3.6 惡意代碼防範技術76
3.6.1 防範策略76
3.6.2 功能要求78
3.7 入侵檢測技術80
3.7.1 作用80
3.7.2 CIDF定義的入侵檢測系統構件80
3.7.3 分類81
3.8 安全介面與中間件技術83
3.8.1 作用83
3.8.2 體系結構84
3.8.3 分類86
3.9 無線網路安全技術88
3.9.1 無線網路的特點88
3.9.2 主要標准90
3.9.3 無線區域網95
3.10 小結102
習題102
第4章 主要信息安全產品104
4.1 網路邊界防護產品--入侵檢測系統104
4.1.1 局限性104
4.1.2 發展趨勢105
4.2 網路邊界防護產品--防火牆107
4.2.1 功能特點107
4.2.2 主要技術108
4.2.3 部署110
4.2.4 局限性112
4.2.5 發展趨勢114
4.3 網路連接防護產品--安全路由器115
4.3.1 局限性115
4.3.2 發展趨勢116
4.4 網路連接防護產品--安全網關118
4.4.1 功能118
4.4.2 發展趨勢120
4.5 網路連接防護產品--VPN121
4.5.1 主要技術121
4.5.2 發展趨勢122
4.6 本地環境保護產品--惡意代碼防範軟體123
4.6.1 國產產品的局限性124
4.6.2 發展趨勢124
4.7 本地環境保護產品--密碼機125
4.7.1 功能模塊126
4.7.2 分類126
4.8 基礎設施安全產品--PKI/CA127
4.8.1 開發模式128
4.8.2 發展趨勢129
4.9 基礎設施安全產品--可信計算平台131
4.9.1 發展歷程132
4.9.2 發展現狀133
4.9.3 發展方向135
4.10 安全服務產品--安全運營管理136
4.10.1 安全服務產品綜述136
4.10.2 典型安全服務產品--安全運營管理136
4.10.3 安全服務產品發展趨勢137
4.11 小結138
習題138
第5章 信息安全標准139
5.1 國際信息安全標准現狀139
5.1.1 國際信息技術標准化組織139
5.1.2 美國信息安全標准140
5.1.3 其他發達國家的信息安全標准141
5.2 中國信息安全標准現狀141
5.2.1 工作原則與組織機構141
5.2.2 信息安全標准體系框架143
5.3 小結152
習題153
第6章 信息安全管理154
6.1 關於風險評估154
6.1.1 概念154
6.1.2 步驟155
6.1.3 有關標准161
6.2 信息安全管理標准ISO/IEC 27002163
6.2.1 背景163
6.2.2 主要內容166
6.2.3 應用情況168
6.3 信息安全等級保護169
6.3.1 國外信息安全等級保護169
6.3.2 我國信息安全等級保護169
6.3.3 國家信息安全等級保護制度171
6.3.4 國家信息安全等級保護的有關標准173
6.4 信息安全管理體系174
6.4.1 背景174
6.4.2 ISO 27000系列178
6.4.3 ISO 27001在我國的試點179
6.5 信息安全法律法規182
6.5.1 國際信息安全法律法規現狀182
6.5.2 中國信息安全法律法規現狀184
6.6 小結193
習題194
第7章 人員能力成熟度模型195
7.1 產生背景195
7.1.1 關於能力成熟度模型195
7.1.2 關於人員能力成熟度模型197
7.2 主要內容199
7.2.1 模型的體系結構199
7.2.2 級別劃分200
7.3 人員能力成熟度評價方法202
7.4 小結204
習題204
第8章 案例研究205
8.1 案例一： 某藝術館網路安全解決方案研究205
8.2 案例二： 某市政管理委員會網路安全解決方案研究207
8.3 小結212
習題213
附錄A 圖表目錄214
附錄B 縮略語216
參考文獻219

『拾』 信息政策法規

信息政策法規是社會信息活動保障協調機制的具體表現，是由不同調節范圍的不同主體制定和實施的、作用於不同調節對象的政策、法律、規章、標准共同構成的完整體系。目前，在我國的信息政策法規體系建設中，存在大量的空白、缺失及束縛發展的種種因素，因此在信息人文管理中，需要加強信息政策法規建設。

信息政策法規主要包括信息政策、信息法律、信息規章和信息標准四大類型，每一類型本身又是一個完整的系統。四種類型之間存在一定的差異性，但它們既相輔相成，又不能相互替代。這四種類型共同構成了對社會信息活動進行規范、管理的信息政策法規體系。信息政策法規以信息政策為龍頭，以信息法律為主幹，以信息規章和信息標准為基本，集中組織和協調國家、社會、群體、個體的力量，為形成一個高度效用、配置科學、運作合理的社會信息資源宏觀開發系統提供了堅實的政策法規保證。

9.3.1信息政策

信息政策是指國家或政府部門為指導和影響信息活動所制定並付諸實施的行動准則和措施，是信息政策法規體系的重要組成，在整個體系構建和運作中具有帶頭和引導作用。9.3.1.1 信息政策的含義

信息政策是一個由對信息生命周期的監視和管理的指導原則、法令、指南、規則、條例、手續而構成的相關政策群體，是國家用於調控信息產業發展和信息活動的行為規范和准則。信息政策涉及信息產品的生產、分配、交換和消費等各個環節，以及信息的發展規劃、組織與管理等綜合性的問題。

信息政策是國家和社會組織為實現信息管理目標而規定的信息活動行為准則，是進行信息規劃和管理決策的指導方針。信息政策通常是經過行政途徑下達的，對特定范圍的人或機構具有約束和調節能力。

9.3.1.2信息政策分類

由於不同國家管理體制的差異和政治經濟文化等因素的不同，信息政策體系較為繁雜。根據不同的分類標准，可以將信息政策劃分為很多不同的類型。

按照層次高低來劃分，信息政策可分為三個層次：基礎性政策、橫向政策和縱向政策。基礎性政策適用於整個社會，對信息單位有直接或間接的影響，並為其活動提供一個社會、經濟和政治背景，如稅收政策、經濟政策、教育政策等。橫向政策是對所有信息管理相關的組織機構都適用和有影響的政策，如「863計劃」、「國家中長期科學技術發展綱要」等。縱向政策適用於某一類型信息管理組織機構的政策，如有關信息企業或公益機構發展方面的政策等。

按照制定者及實施范圍來劃分，信息政策可分為國際信息政策、地區信息政策、國家信息政策、系統信息政策和機構信息政策等類型。國家信息政策、系統信息政策和機構信息政策具有行政支持力，也就是具有實際效用，以宣言、協定、公約等形式存在的國際信息政策、地區信息政策則只具有協議性和道義性。

按照形式不同來劃分，信息政策可以分為系統的信息政策和零散的信息政策。對於國家信息政策，由於世界各國信息管理模式的差異，國家信息政策就可分為兩種形式：一是比較完整、系統的國家信息政策，通常以政策白皮書和政策藍皮書的形式發布，如中國1990年發布的《信息技術發展政策》和1991年發布的《國家科學技術情報發展政策》就採用了這種形式。二是各級政府及其職能部門以文件的形式發布的零星、分散的國家信息政策，如美國幾乎從來就沒有公開宣布的綜合性國家信息政策。對於機構信息政策和系統信息政策來說，其存在形式更加多樣，不僅有正式信息政策，也有非正式信息政策；不僅有長期信息政策，也有臨時信息政策；不僅有書面信息政策，也有口頭信息政策。

按照內容不同來劃分，信息政策可以分為信息資源政策、信息管理政策、信息傳播政策。信息資源政策包括信息資源建設政策、信息基礎設施建設政策、信息化投入政策、信息人才保障政策、信息資源共享政策等；信息管理政策包括行業信息政策、信息產業政策、信息技術政策、信息組織管理政策、信息市場管理政策、信息標准化發展政策、信息交流與合作政策等；信息傳播政策包括信息內容安全政策、信息系統和信息網路安全政策、保障個人隱私和商業秘密政策、跨國數據流控制政策等。

9.3.1.3信息政策的主要特徵

信息政策以利益選擇和利益整合為基礎，以利益分配為關鍵，是指導和規范社會信息活動的有效手段。信息政策具有以下顯著特徵：

第一，系統性。信息政策要從社會系統全局的角度出發，有助於合理地配置信息資源並發揮其現實效益，使信息社會協調和可持續發展。

第二，指導性。信息政策通過各種不同調控范圍的具體政策的共同作用，把國家和特定社會組織管理者的意志與設想加以轉化，形成一定的管理准則以指導信息管理實踐。

第三，動態性。信息政策要緊密結合社會發展環境的變化，緊密結合社會信息管理的規劃，緊密結合社會信息需求的發展，隨著社會環境的變化體現出動態性。

第四，靈活性。信息政策經常會隨著決策者的更替、意志的變化、管理目標的變遷而發生變化，因此需要增強其靈活性，又要保證信息政策發展性和穩定性的有機統一。

9.3.2信息法律

信息法律，簡稱信息法，在整個信息政策法規體系構建和運作中其有明確的約束作用和規范作用。

9.3.2.1國外信息法律狀況

信息法起源於18世紀的歐洲，最早當推1776年瑞典的《出版自由法》。1883年產生《保護工業產權巴黎公約》，1891年產生《商標國際注冊的馬德里協定》等。

現代的信息法開始於20世紀，主要是由美洲與歐洲的發達國家制定的。美國國會先後頒布的有關政府信息系統建設、信息開發利用、信息交流與傳播等方面的法律達92種，加拿大自20世紀60年代以來頒布了《國家圖書館法》、《查詢信息法》、《個人隱私法》等，英國1965年以來頒布了《公共圖書館與博物館法》、《英國遠程通訊法》、《數據保護法》等，法國1964年的《文學藝術產權法》和1985年的《版權與鄰接權法》等，瑞典1973年的《數據資料管理法》（後經兩次修改）等。

發展中國家和亞洲的發達國家也有類似的信息法，如日本1985年的《半導體晶元保護法》和《計算機程序保護法》、1986年的《日本技術文獻法》等，韓國 1987年的《計算機程序保護法》，新加坡1987年的《版權法》，印度1984年的《新版權法》，巴西1984年的《國家信息政策及其他措施法》等。

各國的信息法一般是針對信息活動的某個環節和特定問題，較多地偏重於信息自由流動、公益信息共享、信息安全捍衛、知識產權保護等方面的內容。

9.3.2.2我國信息立法現狀

1981年我國成立計算機安全監察機構，1988年9月全國人大常務委員會通過《中華人民共和國保守國家秘密法》，1989年公安部發布了《計算機病毒控制規定（草案）》，開始全國推行「計算機病毒研究和銷售許可證」制度。

1991年5月24日，國務院常務會議通過了《計算機軟體保護條例》。這是我國頒布的第一部有關計算機的法律。與之配套的有機械電子工業部 1992年4月發布的《計算機軟體著作權登記辦法》；國家新聞出版署1996年3月發布的《電子出版物管理暫行規定》。

關於信息網路方面的法規，1996年2月1日國務院發布了《中華人民共和國計算機信息網路國際聯網管理暫行規定》，1997年國務院對這一規定進行了修改。提出了對國際聯網實行統籌規則、統一標准、分級管理、促進發展的基本原則。1997年6月3日，中國互聯網路信息中心成立，國務院同期發布《中國互聯網路域名注冊暫行管理辦法》。相關的法規還包括國務院制定的《中華人民共和國計算機信息網路國際聯網管理暫行規定實施辦法》，公安部頒布的《計算機信息網路國際聯網安全保護管理辦法》，原郵電部出台的《計算機信息網路國際聯網出入口信道管理辦法》等，旨在嚴把信息出入關口，加強對互聯網使用的監督和管理。

在信息安全方面，1994年2月18日，國務院發布了《中華人民共和國計算機信息系統安全保護條例》，為保護計算機信息系統的安全，促進計算機的應用和發展，為保障經濟建設的順利進行提供了法律保障。1998年8月，公安部、中國人民銀行聯合發布了《金融機構計算機信息系統安全保護工作暫行規定》，要求預防、打擊利用或者針對金融機構計算機信息系統進行的違法犯罪活動，預防、處理各種安全事故，提高金融機構計算機信息系統的整體安全水平，保障國家集體和個人財產的安全。

2000年以來，全國人大通過了《關於維護互聯網安全的決定》，相繼通過的法規還有《中華人民共和國電信條例》、《互聯網信息服務管理辦法》及《鼓勵軟體產業和集成電路產業的發展的若干政策》。

9.3.2.3信息法律的含義

關於信息法律的含義，很多學者進行了闡述。如，信息法是在調整信息活動中產生的各種社會關系的法律規范的總稱，其調整對象為在信息活動中產生的各種社會關系。信息法是一種與信息有關的權利與義務的法律，應以一種適當的方式來反映這些利益沖突並予以權衡、協調，其目的是促進信息交流。信息法是由國家立法機關制定或認可的調整信息活動中社會關系的法律規范的總稱。信息法律是指對信息活動中的重要問題進行調控的法律措施，這些措施涉及信息系統，處理信息的組織和對信息負有責任的個人。

綜合以上觀點，信息法律是由國家立法機關批准制定，並由國家執法機關的強制力保證實施，以在信息活動中產生的社會關系即信息法律關系為調整對象的法律規范。

信息法律關系是社會信息關系的組成部分，包括主體、內容和客體三個要素。信息法律關系的主體是指參與信息法律關系的當事人，即依法享受權利和承擔義務的個人或組織（法人或自然人，在特定條件下也可以指國家）；信息法律關系的內容包括主體享有的權利和承擔的義務，即相應的法律法規所規定的權利和義務；信息法律關系的客體是指信息法律關系中主體的權利和義務所指向的對象，包括各種類型的信息資源、信息設備和設施、信息服務和其他對象。

信息法律關系一般包括信息表達的權利和義務、信息獲取的權利和義務、信息保存的權利和義務、信息傳播的權利和義務、信息資源分配的權利和義務、信息搜集和處理的權利和義務、信息資源與信息技術利用的權利和義務以及由派生信息法律關系（如相關行業競爭、社會就業、計算機犯罪、國家主權和安全的保護、民族文化的保護等問題）產生的不同主體之間的權利和義務。

9.3.2.4信息法律的分類

根據分類標準的不同，信息法律可以分為很多類型。

按照內容的不同來劃分，信息法律可以分為信息產權、信息安全、信息服務、信息產品、信息市場、信息產業、信息技術、信息規劃、信息稅收、信息融資、信息交流、信息網路等方面的法律規范，包括政府和非政府公共部門相關法律（含電子政務）、產業部門相關法律（含電子商務）、科研教育部門相關法律、信息服務部門相關法律和公民相關法律等。

按照層次不同來劃分，信息法律可以分為憲法、法律、行政法規、地方性法規等。憲法作為國家的根本大法，其法律地位和效力最高，其中某些條款有與信息活動權利有關的內容。其次是法律，除信息法作為一個獨立的法律規范主要的信息法律關系之外，在經濟法、刑法、行政法和科技法等法律中也對信息活動進行了調節。國際法則是關於跨國信息流動的雙邊的或多邊法律。再其次是行政法規，比行政法規低的是地方性法規。

9.3.3信息規章

9.3.3.1信息規章的含義

規章是對人們共同的管理、經營和服務等社會活動應當執行的職責、准則、程序、方法等方面做出的經過組織專門認定的文字規定，具有相應的法定性和一定的強制性。規章的具體名稱有很多，如辦法、措施、方案、綱要、公告、規程、規定、規則、紀要、決定、決議、命令、實施辦法、實施細則、守則、條例、通報、通告、通知、問題、細則、要求、意見、章程、指令、指示等。

信息規章是一定的社會組織根據法律的或行政的授權，在其職權范圍內制定，針對信息交流及其管理中有關個人或群體行為和活動，進行有效的調節、整合、約束和規范的規程、制度和條款，是具體信息管理活動的基本要求和處理方法。

9.3.3.2信息規章的分類

按照適用范圍來劃分，信息規章可以分為行業信息規章、行政信息規章和企業信息規章。例如，國務院有關部委制定的信息規章授權源自憲法和法律，適用於其主管的行業領域；行業協會制定的信息規章一般只適用於其所自律自治的行業；縣級到省級制定的信息規章授權源自地方組織法，只適用於其所管轄的行政區域；企業信息規章適用於企業內部信息管理。

按照層次高低來劃分，信息規章可以劃分為國家信息規章、系統信息規章和機構信息規章。機構信息規章更加明確具體且具有相應的管理效力。國家或系統管理層次信息規章的管理效力則與政策的管理效力相似，但又比政策具體一些。

按照內容的不同來劃分，信息規章可以劃分為實施性信息規章和自主性信息規章。實施性信息規章主要指以實施某些法律、法規為目標而制定的信息規章，一般需經具體的法律、法規的明確授權制定，在內容上是進一步解析上述規范性文件的基本精神原則和規定其實施的具體細則。自主性信息規章主要指依據制定主體固有的行政或業務職責許可權而制定的信息規章，一般不需要單個的法律或法規再行授權。

9.3.3.3信息規章的特徵

信息規章是特定的社會組織對不同層面的信息活動施以作用的手段，在管理上具有一定的特殊性，主要表現在：

第一，管理層級的從屬性。信息規章不能與憲法或國家的其他法律相抵觸，只能就特定信息活動使法律所創設的權利義務具體化。信息規章的許可權來源於特定社會組織的管理權，對相關組織和個人才產生相應約束力，而且要受到一定的審查和監督。

第二，調節對象的局部化。信息規章往往針對信息管理活動中某些特殊的、局部的、具體的問題，如信息產業部《非經營性互聯網信息服務備案管理辦法》對非經營性互聯網信息服務管理網上備案管理、代為備案、接入服務提供者相關義務和年度審核等問題進行了規范。

第三，實施效用的統一性。要解決不同信息規章之間的不一致的問題，信息規章的實施效用要與信息政策、信息法律和信息標准等相互配合，充分體現公定力、確定力、拘束力和執行力的有機結合。

9.3.4信息標准

信息標準是信息管理和信息技術的一項重要基礎性工作。在國際標准化組織（ISO）制定的各種標准中，有半數左右與信息管理和技術有關，涉及信息採集、表示、處理、安全、傳輸、交換、表述、管理、組織、存儲和檢索的系統和工具的規定、設計和研製等方面。

9.3.4.1信息標準的含義

標准就是對重復事物和概念所做的統一規定。標准以科學、技術和實踐檢驗的綜合成果為基礎，經有關方面協商一致，由主管機構批准，以特定的形式發布，並作為共同遵守的准則和依據。所謂標准化，就是在經濟、技術、科學及管理等社會實踐中，對重復事物和概念通過制訂、發布和實施標准達到統一，以獲得最佳秩序和社會效益。

信息標準是為了建立信息管理的最佳秩序並取得最優效益，由公認的權威機構批準的有關信息管理的概念、過程、產品和方法等重復性事物的以特定程序和形式存在的統一規定。信息標准存在於各個管理層次。通常，國際標准具有最高管理效力，管理層次較低的信息標准受管理層次較高的信息標準的約束。

信息標准化得到各國的高度重視。在中國，全國信息技術標准化技術委員會是在國家標准化管理委員會和信息產業部的共同領導下，負責全國信息技術領域以及與ISO/IEC JTC1（國際標准化組織/國際電工委員會的第一聯合技術分委員會）相對應的標准化工作的專門機構，下設了24個分技術委員會和特別工作組。另外，國家標准化管理委員會還有全國信息和文獻標准化技術委員會，下設書面語言轉寫、術語、自動化、分類法和主題法、著錄格式、出版格式、統計、文獻保護等分委員會。

9.3.4.2信息標準的分類

按照制定主體的層次性劃分，信息標准可以分為國際信息標准、區域信息標准、國家信息標准、行業信息標准、地方信息標准和企業信息標准。不同國家有不同的分級方法。國際標准就是由如國際標准化組織等專門國際性標准化組織、聯合國教科文組織等特定的政府性或非政府性國際組織制定和推行的有關信息管理和服務的標准。我國積極鼓勵採用國際標准和國外先進標准，積極參與制定國際標准。區域標準是由如歐洲標准化委員會等世界某一區域性的標准化團體制定和推行的有關信息管理和服務的標准。國家標準是對需要在全國范圍內統一的技術要求，由國家標准化管理部門（如中國國家技術監督局）編制計劃、組織草擬、統一審批和編號發布的有關信息管理和服務的標准。行業標准就是對需要在全國行業范圍內統一而沒有國家標準的技術要求，由國家行業管理部門（如國務院各部委）編制計劃、組織草擬、統一審批和編號發布，並且報國家標准化管理部門備案的有關信息管理和服務的標准。地方標準是對需要在特定行政區域內統一而沒有國家標准和行業標準的技術要求，由特定行政區域標准化管理部門（如各省、市、自治區標准化管理機構）編制計劃、組織草擬、統一審批和編號發布，報國家標准化管理和行政管理部門備案的有關信息管理和服務的標准。企業標準是對企業產品和服務中沒有國家標准、行業標准和地方標準的技術要求，由特定企業編制和實施，按照地方政府規定備案的有關信息管理和服務的標准。

按照管理效力的差異性劃分，信息標准可以分為強制性信息標准和推薦性信息標准。強制性信息標準是在信息管理和服務領域中，涉及國計民生的重要建設領域、國家需要控制的技術和方法、與技術銜接和標准之間的互操作性有關的通用術語、技術和方法等方面，需要強制執行的信息標准。推薦性信息標準是強制性標准之外的其他信息標准。

按照管理內容不同劃分，信息標准分類方法主要有以下幾種：

第一，按照信息管理的主要方面，可分為通用信息標准（如基本術語、信息編碼、信息交換、行業管理等）、專門信息標准（技術支持、系統互聯、信息組織、載體管理、建築設備等）和分類信息標准（如數據通信、信息系統、網路管理、文獻管理、新聞出版等）。

第二，按照信息管理的具體對象，可以區分為信息基礎結構標准、信息管理方法類標准、信息環境類標准、信息產品與服務標准、信息物質載體類標准、信息非物質載體類標准等。

第三，按照信息管理的活動性質，可以區分為技術標准（對標准化領域中需要協調統一的技術事項而制定的標准）、管理標准（標准化領域中需要協調統一的管理事項所制定的標准）、工作標准（對標准化領域中需要協調統一的工作事項所制定的標准）等。

9.3.4.3信息標準的特徵

標准化是貫穿人們工作和生活當中不可缺少的一項重要的活動。信息標準是信息管理和服務的一種重要工具，是信息管理和服務的核心，其特徵主要表現在：

第一，標准體系的綜合性。信息標准化的作用必須通過科學和完善的信息標准體系才能有效發揮。信息標准體系要建立在「簡化、協調、統一、選優」的基本原則之上，以信息產品和服務標准為核心，有充分保證信息管理和服務所必需的技術、管理和工作的配套標准和相應的實施保障體系。

第二，標准化功能的整合性。信息標准化可在提高系統互操作性、技術可移植性、數據可交換性、應用多層次性等方面，為信息活動提供有效的整合性標准資源服務。

第三，管理效用的發展性。信息標准化要根據信息活動中科學技術的發展和生產科研的實踐進行補充和完善，要適應與信息活動相關的社會環境不斷變化的要求，要通過信息活動的實踐來驗證其社會效益、經濟效益和生態效益。