信息法规体系结构

『壹』 什么是网络信息系统安全体系结构

你看一下这个吧

谈网络安全的保护手段

--------------------------------------------------------------------------------

管 庆 华 黄 建 平
（福建师范大学历史系 福州 350007）

摘 要 具体阐述了网络安全问题和对网络安全的保护手段，并从伦理道德的新角度，探讨其对网络安全的软保护作用。
关键词 网络安全 安全保护

1 关于网络安全
网络安全是指保护数字信息资源，防止偶然的或未授权者的恶意泄露、篡改、窃取、冒充、破坏，从而导致信息的不可靠和无法处理，甚至是信息系统的瘫痪，包括物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等；逻辑安全包括信息保密性、完整性和可用性。保密性指高级别信息仅在授权情况下流向低级别的客体；完整性指信息不会被非授权修改；可用性指合法用户的正常请求能及时、准确、安全地回应。
影响网络安全的因素很多，究其原因，计算机和系统本身的不可靠性和脆弱性是其一，人为破坏因素则是网络安全的最大威胁，具体有：
1.1计算机病毒 计算机病毒是一种人为编制的程序，能在计算机系统运行的过程中自身精确地拷贝或有修改地拷贝到其他程序体内，给计算机系统带来某种故障或使其完全瘫痪。它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。随着网络技术的发展，计算机病毒的种类越来越多，扩散速度也不断加快，破坏性也越来越大。如1998年的CIH病毒，能使计算机系统迅速瘫痪，并在全球造成巨大的破坏性。1999年的"梅利莎"病毒，2000年的"爱虫"病毒，杀伤力都很强，传播速度也很快。而且每年都有不同类型的新病毒产生，给各个领域造成了巨大的经济损失。
1.2 黑客和黑客程序 黑客是指采用各种手段获得进入计算机的口令，闯入系统后为所欲为的人，他们会频繁光顾各种计算机系统，截取数据、窃取情报、篡改文件，甚至扰乱和破坏系统。黑客程序是指一类专门用于通过网络对远程的计算机设备进行攻击，进而控制、盗取、破坏信息的软件程序，它不是病毒，但可任意传播病毒。互连网的发达，也直接催生了黑客活动。黑客发展至今，已不再是单纯为研究新科技，或对抗牟取暴利的狭义英雄，除有受不住金钱诱惑而入侵电脑盗取资料出售或勒索赚钱外，还有怀着政治动机的行为。
1994年夏，一群以俄罗斯黑客为首的犯罪分子闯入万国宝银行的电脑系统，从银行客户帐户中非法转帐总数超过1 000万美元的金额。1999年初，黑客组织曾向中国和伊拉克宣战，宣称要破坏两国的电脑系统，原因是他们不满两国政府。另外，美国政府四大部门：国防部、中情局、联邦调查局及航空航天总局的电脑系统也屡遭黑客拜访。从今年2月初开始，黑客连续袭击多个美国大型网站，使黑客行动达到了肆无忌惮的地步。
1.3 信息生态恶化 在网络空间，如果人类对信息资源开发和管理不当，也会导致信息生态失调，使人类和信息环境的冲突日益尖锐。网上信息泛滥成灾，使人类处理与利用信息的能力大大落后于社会信息生产和传播能力，使信息生产和利用严重失调。网络中的冗余信息、老化信息、无聊信息造成信息通道阻塞，进一步加重了网络运载的负荷，既影响了人类对信息的吸收，也影响了信息的再次开发；网上信息污染使人类精神世界受到严重毒害，淫秽、暴力、恐怖、迷信等有毒信息严重腐蚀了人们的灵魂，虚假信息、失真信息则扰乱了社会秩序，危害了国家安全；信息侵权使版权、隐私权受到严重的侵犯，带来了许多社会、政治、经济和法律问题；信息分布不均使信息贫富差距扩大。据统计，目前占世界人口20%的发达国家拥有全世界信息量的80%，而占世界人口80%的发展中国家却只拥有信息总量的20%，发展中国家正面临着一种新式贫困威胁——信息贫困。
2 对网络安全的保护手段
2．1 技术保护手段 网络信息系统遭到攻击和侵入，与其自身的安全技术不过关有很大的关系。特别是我国网络安全信息系统建设还处在初级阶段，安全系统有其自身的不完备性及脆弱性，给不法分子造成可乘之机。网络信息系统的设立以高科技为媒介，这使得信息环境的治理工作面临着更加严峻的挑战，只有采取比网络入侵者更加先进的技术手段，才能清除这些同样是高科技的产物。每个时代，高科技总有正义和邪恶的两面，二者之间的斗争永远不会结束。例如，为了维护网络安全，软件商们作出了很大的努力，生产出各种杀毒软件、反黑客程序和其他信息安全产品：防火墙产品、用户认证产品、信息密存与备份产品、攻击检测产品等，来维护网络信息的完整性、保密性、可用性和可控性。
2．2 法律保护手段 为了用政策法律手段规范信息行为，打击信息侵权和信息犯罪，维护网络安全，各国已纷纷制定了法律政策。1973年瑞士通过了世界上第一部保护计算机的法律；美国目前已有47个州制定了有关计算机法规，联邦政府也颁布了《伪造存取手段及计算机诈骗与滥用法》和《联邦计算机安全法》，国会还组建了一支由警察和特工人员组成的打击计算机犯罪的特别组织；1987年日本在刑法中增订了惩罚计算机犯罪的若干条款，并规定了刑罚措施。此外，英、法、德、加等国也先后颁布了有关计算机犯罪的法规。1992年国际经济合作与发展组织发表了关于信息系统的安全指南，各国遵循这一指南进行国内信息系统安全工作的调整。我国于1997年3月通过的新刑法首次规定了计算机犯罪。同年5月，国务院公布了经过修订的《中华人民共和国计算机信息网络国际管理暂行规定》。这些法律法规的出台，为打击计算机犯罪提供了法律依据。
2．3 管理保护手段 从管理措施上下工夫确保网络安全也显得格外重要。在这一点上，主要指加强计算机及系统本身的安全管理，如机房、终端、网络控制室等重要场所的安全保卫，对重要区域或高度机密的部门应引进电子门锁、自动监视系统、自动报警系统等设备。对工作人员进行识别验证，保证只有授权的人员才能访问计算机系统和数据。常用的方法是设置口令和密码。系统操作人员、管理人员、稽查人员分别设置，相互制约，避免身兼数职的管理人员权限过大。另外，还须注意意外事故和自然灾害的防范，如火灾，意外攻击、水灾等。
2．4 伦理道德保护手段 道德是人类生活中所特有的，由经济关系所决定的，以善恶标准评价的，依靠人们的内心信念、传统习惯和社会舆论所维系的一类社会现象，并以其特有的方式，广泛反映和干预社会经济关系和其他社会关系。伦理是人们在各项活动中应遵守的行为规范，它通过人的内心信念、自尊心、责任感、良心等精神因素进行道德判断与行为选择，从而自觉维护社会道德。
网络打破了传统的区域性，使个人的不道德行为对社会发生的影响空前增大。技术的进步给了人们以更大的信息支配能力，也要求人们更严格地控制自己的行为。要建立一个洁净的互联网，需要的不仅是技术、法律和管理上的不断完备，还需要网络中的每个信息人的自律和自重，用个人的良心和个人的价值准则来约束自己的行为。
2．5 四种保护手段分析 技术、法律、管理三种保护手段分别通过技术超越、政策法规、管理机制对网络安全进行保护，具有强制性，可称之为硬保护。伦理道德保护手段则通过信息人的内心准则对网络安全进行保护，具有自觉性，称之为软保护。硬保护以强硬的技术、法律制裁和行政管理措施为后盾，对网络安全起到最有效的保护，其保护作用居主导地位；软保护则是以信息人的内心信念、传统习惯与社会舆论来维系，是一种发自内心深处的自觉保护，不是一种制度化的外在调节机制，其保护作用范围广、层次深，是对网络安全的最根本保护。
3 伦理道德对网络安全的软保护
3．1 网络安全的相对性和硬保护手段的局限性
网络安全永远是一个相对的概念，我们不可能建立一个无懈可击的网络信息系统。就如杀毒软件和反黑客程序的生产，对保护网络安全起了重要作用，可到了一定时期，新型的病毒、新的黑客程序又不断出现，相应的新杀毒软件和反黑客程序也相继产生，这永远是一个相互交替相互制约的过程。近年来，网络技术高速发展的同时，计算机病毒事件和黑客事件也愈演愈烈。科学技术正义和邪恶不同的两面在不断斗争。值得注意的是，我们用任何技术来维护相对安全的网络环境的同时，都是以影响到网络信息系统的性能为代价的。例如，通过加密来保障信息系统安全，确保信息在没有电子钥匙开启的情况下就无法阅读。通过防火墙技术，使网络内部网与互联网或者其他外部网络之间隔离，限制网络互访，保护内部网络。从某种程度上说，这些方法都影响了系统的功能。
同样，法律和行政管理措施的产生都是对网络安全问题的防范和保护。随着不同类型网络安全问题的出现，法律政策和行政管理措施也在不断变化，以应变新时期的网络安全问题。
技术、法律和管理手段都带有鲜明的时代特点，对每一时期的网络安全起最有效的保护。但是，没有一个时期会因为有了这些硬保护手段就能营造一个无懈可击的网络系统。所以，网络安全具有相对性，而硬保护手段也有其局限性。
3．2 软保护手段的广泛性和稳定性
伦理道德是人们以自身的评价标准而形成的规范体系。它不由任何机关制定，也不具有强制力，而受到内心准则、传统习惯和社会舆论的作用，它存在于每个信息人的内心世界。因而伦理道德对网络安全的保护力量来自于信息人的内在驱动力，是自觉的、主动的，随时随刻的，这种保护作用具有广泛性和稳定性的特点。
在伦理道德的范畴里，外在的强制力已微不足道，它强调自觉、自律，而无须外界的他律，这种发自内心的对网络安全的尊重比外界强制力保护网络安全无疑具有更深刻的现实性。正因为伦理道德能够在个体的内心世界里建立以“真、善、美”为准则的内在价值取向体系，能够从自我意识的层次追求平等和正义，因而其在保护网络安全的领域能够起到技术、法律和管理等保护手段所起不到的作用。

参考文献

1 朱庆华，邹志仁. 信息系统与计算机犯罪. 情报学报，1999（6）
2 邱燕燕. 网络安全与伦理建设. 情报杂志，2000（1）
3 谢立虹. 网络空间中的信息生态问题. 图书馆，2000（2）
4 电脑黑客编年史. 软件报，2000-03-06
5 罗志杰. 伦理学名词解释. 北京：人民出版社，1984-12
6 八所高等师范院校. 马克思主义伦理学原理. 贵阳： 贵州人民出版社，1984-11
参考资料：http://www.fjinfo.gov.cn/publicat/qbts/003/6.htm

『贰』 国家信息化体系各个要素之间的关系

(一)推进国民经济信息化。

《发展战略》将“推进国民经济信息化”列为“我国信息化发展战略重点”的第一条。其中还特别强调了农业信息化，提出要推动“三农”的信息化服务，用信息化来解决中国的“三农”问题，这可能也是中国信息化的一个特点。我认为这跟我们提出的“构建社会主义和谐社会”和“社会主义新农村建设”也是一脉相承的。

(二)推行电子政务

《发展战略》将“公共服务”的重要性提到了推进电子政务工作的首位。同时，强调“社会管理”、“政府监管”和“宏观调控”。旨在通过推动电子政务这个战略重点，提升政府的四个能力——公共服务能力、社会管理能力、政府监管能力、宏观调控能力。

(三)建设先进网络文化

网络是一个新的知识传播手段和信息扩大载体，保证网络上先进文化思想的传播非常重要。所以《发展战略》将“建设先进的网络文化”放到比较重要的地位。

(四)推进社会信息化

《发展战略》把“社会信息化”分为以下几部分：第一是教育，第二是医疗卫生，第三是就业和社会保障，第四是社区，第五是家庭和个人。提出，要分别提升这五个领域的信息化水平以增强社会总体信息化成熟度。

(五)完善综合信息基础设施

关于这部分内容，《发展战略》重点提到了广电网、计算机网、电信网等“三网”融合的问题。这是一个很大胆的举动，因为三网融合将来必定带动政府结构的一个调整。

(六)加强信息资源的开发利用

《发展战略》对“信息资源”作了一个全新的判断，认为“信息资源日益成为重要生产要素、无形资产和社会财富”。这一判断对我们加强对信息资源重要性的认识有很大的帮助作用，不管政府信息化、社会信息化还是企业信息化都要提高对信息资源的共享度，开发信息资源。

(七)提高信息产业竞争力

主要通过信息化带动中国信息产业的发展，强调要加快信息产业的发展。强调自主创新，研究关键技术，围绕信息技术本身，提升技术创新能力，提升中国信息技术的国际竞争力。

(八)建设国家信息安全保障体系

(九)提高国民信息技术应用能力，造就信息化人才队伍

『叁』 信息安全标准与法律法规的目录

第一部分总论
第1章绪论
1.1信息安全概述
1.1.1什么是信息？
1.1.2什么是信息安全？
1.1.3信息安全的基本属性
1.1.4保障信息安全的三大支柱
1.2信息安全涉及的法律问题
1.2.1犯罪
1.2.2民事问题
1.2.3隐私问题
1.3习题
第2章立法、司法和执法组织
2.1立法
2.1.1立法权
2.1.2立法组织与立法程序
2.1.3立法权等级
2.1.4我国立法体制的特点
2.1.5有关国家的立法组织与立法程序
2.2司法组织
2.2.1我国的司法组织
2.2.2美国的司法组织
2.2.3日本的司法机构
2.3执法组织
2.3.1我国的执法组织
2.3.2美国的执法组织
2.4习题
第3章信息系统安全保护法律规范
3.1概述
3.1.1概念与特征
3.1.2法律关系
3.2我国信息系统安全保护法律规范
3.2.1我国信息系统安全保护法律规范的体系
3.2.2信息系统安全保护法律规范的基本原则
3.2.3信息系统安全保护法律规范的法律地位
3.3习题
第二部分信息安全法律法规
第4章信息系统安全保护相关法律法规
4.1中华人民共和国计算机信息系统安全保护条例
4.1.1《条例》的宗旨和法律地位
4.1.2《条例》的适用范围
4.1.3《条例》的主要内容
4.2计算机信息网络国际联网安全保护管理办法
4.2.1制定《办法》的宗旨
4.2.2《办法》的适用范围和调整对象
4.2.3《办法》的主要内容
4.3信息安全等级保护管理办法(试行)
4.3.1制定《等级保护管理办法》的目的
4.3.2信息安全等级保护的概念
4.33确定信息系统安全保护等级的基本原则
4.3.4《等级保护管理办法》的主要内容
4.4习题
第5章互联网络安全管理相关法律法规
5.1计算机信息网络国际联网管理暂行规定实施办法
5.1.1制定《实施办法》的目的
5.1.2制定《实施办法》的意义
5.1.3国际联网的相关定义
5.1.4与信息安全管理相关的条款
5.1.5处罚条款
5.2关于维护互联网安全的决定
5.2.1《决定》的目的
5.2.2界定违法犯罪行为
5.2.3行动指南
5.3互联网上网服务营业场所管理条例
5.3.1制定本条例的目的
5.3.2本条例的适用范围
5.3.3管理职权
5.3.4开办条件和程序
5.3.5与信息安全相关的条款
5.3.6处罚条款
5.4互联网信息服务管理办法
5.4.1制定本办法的目的
5.4.2互联网信息服务的含义与分类
5.4.3不同信息服务的管理办法
5.4.4互联网信息服务应具备的条件
5.4.5经营者的权利和义务
5.4.6监督管理
5.4.7处罚条款
5.5互联网安全保护技术措施规定
5.5.1制定本规定的目的
5.5.2相关概念的定义
5.5.3总体要求
5.5.4具体保护技术措施和要求
5.5.5公安机关的职责
5.6互联网电子邮件服务管理办法
5.6.1制定本办法的目的
5.6.2本办法的适用范围及相关概念
5.6.3管理要求
5.6.4电子邮件服务提供者的权利、义务和法律责任
5.6.5电子邮件服务使用者的权利、义务和法律责任
5.6.6对相关举报的处理
5.6.7罚则
5.7习题
第6章其他有关信息安全的法律法规
6.1计算机信息系统安全专用产品检测和销售许可证管理办法
6.1.1目的与定义
6.1.2销售许可证制度
6.1.3检测机构的申请与批准
6.1.4安全专用产品的检测
6.1.5销售许可证的审批与颁发
6.1.6罚则
6.2有害数据及计算机病毒防治管理
6.2.1有害数据的定义
6.2.2计算机病毒防治管理办法
6.2.3传播、制造有害数据及病毒违法行为的查处
6.3习题
第7章依法实践保障信息安全
7.1重点单位和要害部位信息系统安全管理
7.1.1概述
7.1.2安全管理
7.2信息安全管理制度
7.2.1制定信息安全管理制度的原则
7.2.2企事业单位信息安全管理制度
7.2.3网吧安全管理制度
7.2.4学校的计算机网络安全制度
7.2.5网络安全管理员的职责
7.2.6校园网计算机用户行为规范
7.2.7安全教育培训制度
7.3习题
第三部分信息安全标准
第8章我国的信息安全标准
8.1概述
8.1.1标准的定义
8.1.2标准的分级和分类
8.1.3信息安全标准
8.2计算机信息系统安全保护等级划分简介
8.2.1GB/17859-1999
8.2.2GA/T390-2002
8.2.3GA/T391-2002:
8.2.4GA/T387-2002
8.2.5GA/T388-2002
8.2.6GA/T389-2002
8.3GB17859-1999《计算机信息系统安全保护等级划分准则》
8.3.1安全保护的五个等级及适用范围
8.3.2对所涉及术语的定义
8.3.3五个等级的具体划分准则
8.3.4五个等级保护能力的比较
8.4GA/T390-2002《计算机信息系统安全等级保护通用技术要求》
8.4.1标准的适用范围
8.4.2术语和定义
8.4.3标准的主要内容
8.5GA/T391-2002《计算机信息系统安全等级保护管理要求》
8.5.1本标准的适用范围
8.5.2术语和定义
8.5.3信息系统安全管理概述
8.5.4安全等级信息系统的管理要求
8.5.5安全管理等级要素
8.6其他信息安全标准
8.6.1GA163-1997《计算机信息系统安全专用产品分类原则》
8.6.2GB9361-88S《计算站场地安全要求》
8.7习题
第9章信息安全国际标准
9.1国际标准体系简介
9.1.1国际标准ISO/IEC
9.1.2美国信息安全管理标准体系
9.1.3英国信息安全管理标准体系
9.2BS7799《信息安全管理标准》
9.2.1BS7799简介
9.2.2BS7799的发展历程
9.3ISO/IEC17799:2005
9.3.1ISO/IEC17799:2005概述
9.3.2ISO/IEC17799:2005的适用范围
9.3.3涉及的术语及其定义
9.3.4ISO/IEC17799:2005的基本结构
9.3.5信息安全方针
9.3.6信息安全组织
9.3.7资产管理
9.3.8人力资源安全
9.3.9物理与环境安全
9.3.10通信和运作管理
9.3.11访问控制
9.3.12信息系统的获取、开发及维护
9.3.13信息安全事故管理
9.3.14业务连续性管理
9.3.15符合性
9.4ISO/IEC27001:2005
9.5习题
附录信息系统安全保护等级定级指南(报批稿)
参考文献
……

『肆』 我国法律体系框架

我国的法来律体系包括自宪法及宪法相关法、民法商法、行政法、经济法、社会法、刑法和诉讼与非诉讼程序法。

宪法是我国的根本大法。

民法是规定并调整平等主题的公民间、法人间及公民与法人间的财产关系和人身关系的法律规范的总称。商法是涮整市场经济关系中商人及商事活动的法律规范的总称。 我国采用的是民商合一的立法模式。

公司法、合同法、民法通则、招标投标法等属于民法商法。经济法是调整在国家协调、干预经济运作的过程中发生的经济关系的法律规范的总称。社会法是调整劳动关系、社会保障和社会福利关系的法律规范的总称。

(4)信息法规体系结构扩展阅读：

法律体系，是指一个国家的全部现行法律规范，按照一定的原则和要求，根据法律规范所调整的对象和调整方法的不同，划分为既相互区别又相互联系的不同的法律部门，从而构成一个内在统一的整体。

该书针对我国社会主义法治国家的发展情况，对我国的社会主义法律体系的形成过程和发展现状进行详细介绍。根据全国人大法律工作委员会发布的公告，对于宪法及宪法相关法、刑法、民商法、行政法、经济法、诉讼及非诉讼程序法、社会法的分类以及各个部门法的具体情况进行了说明，对于了解我国法律体系框架、研究各部门法学具有指导作用。

『伍』 下面哪些不属于信息法规体系的内容

B. 实际型（R型） C. 企业型（E型） D. 社会型（S型） 正确答案：A 35,喜欢创造和自我表达、喜欢艺术的人，属于霍兰德六种类型中的哪一种？ A. 研究型（I型） B. 艺术型（A型） C. 社会型（S型） D. 企业型（E型） 正确答案：B 36,营销师是从事市场分析与开发研究，为企业生产经营决策提供咨询，并进行产品宣传促销的人员。关于营销师的这一说法，你认为： A. 正确 B. 错误 正确答案：A 37,下列哪项不属于职业认知的方法？ A. 生涯人物访谈 B. 职场总结或感悟 C. 360度评估 D. 影视作品 正确答案：C 38,下列方法中，不能帮助我们更多地了解职业世界的是： A. 多参加社会实践活动 B. 刻苦学好专业知识 C. 关注各个行业的发展动态和前景 D. 到企业做调研 正确答案：B 39,可以对行业发展产生重大影响的因素包括哪些：(1)社会需求 (2)技术因素 (3)资本投入 A. (1)(2) B. (1)(3) C. (2)(3) D. (1)(2)(3) 正确答案：D 40,近年来，随着市场经济的发展和国家政策的调整，一批新型国有企业脱颖而出，这些新国企表现出了全新的特征。关于新国企，以下说法错误的是： A. 新国企设立时间较晚，规模适中，并且大多为朝阳产业 B. 现代企业的一些核心制度已经在新国企内部生成，并发挥重要作用 C. 新国企普遍建立了适应企业自身发展需要、具有鲜明时代气息和行业特征 的新型企业文化 D. 新国企普遍建立了适应市场竞争需要和自身特点的经营管理模式 正确答案：A 41,以下行业中，属于第一产业的是： A. 林业 B. 制造业 C. 建筑业 D. 商业 正确答案：A 42,有关外企的法律特征，下列说法错误的是： A. 外资企业的全部资本是由外国投资者投资的，相应地，企业的全部利润归 外国投资者，风险和亏损也由外国投资者独立承担，外国投资者可以是公司、企业以及其他经济组织或者个人 B. 外资企业是外国投资者根据中国法律在中国境内设立的 C. 外资企业是独立的法律主体，以自己的名义进行经营活动，独立承担民事 责任 D. 外国投资者对其债务承担无限责任 正确答案：D 43,未来五年，通信产业将出现更大技术变化。影响最大的五项关键技术是什么：①光传输②卫星通信③无线移动通信产品④宽带数字技术⑤因特网资源⑥软件技术 A. ①②③④⑤ B. ②③④⑤⑥ C. ①②③④⑥ D. ①②③⑤⑥ 正确答案：A 44,超级零售巨子沃尔玛拥有分布在世界各地的4000余家店铺，100余万员工，年销售额达到两千多亿美元。在招聘员工时，沃尔玛有其自己的选材标准。下列哪些是沃尔玛的选人标准：（1）热情：对销售热情，乐于与人打交道（2）有顾客服务意识（3）有想法，有创新（4）敬业、勤奋、耐心 A. (1)、（2） B. （1）、（2）、（3） C. （1）、（2）、（4） D. （1）、（2）、（3）、（4） 正确答案：D 45,零售业青睐何种人才，以下说法错误的是： A. 优秀的店长 B. 零售业的高级采购 C. 懂得店面管理的人才 D. 经常跳槽的谈判桌上的物流人才 正确答案：D 46,不同的社会环境给予个人的职业信息是不同的。下列四项中，哪一项不是社会环境所包含的因素： A. 社会文化环境 B. 人口环境 C. 企业文化 D. 社会价值观念 正确答案：C 47,社会的三元结构不包含： A. 社会基础——经济元 B. 制度保障——政治元 C. 精神追求——文化元 D. 感情寄托——情感元 正确答案：D 48,企业如何关心员工的发展问题，是一个企业文化的先进性所在。这一说法，你认为： A. 正确 B. 错误 正确答案：A 49,职业探索，是对你喜欢或要从事的职业进行理论分析和实际调研的过程，目的是对目标职业有充分的了解，并在明确和职业的差距中制定求职策略，从而有效地规划大学生活。你认为这句话： A. 正确 B. 错误 正确答案：A 50,不同企业对优秀人才有不同的定义标准，但是高素质的人才除了专业上的优势外，还有着一定的共同点，这些共同点不包括： A. 团队合作能力 B. 创新能力 C. 沟通交际能力 D. 数学计算能力 正确答案：D

『陆』 一个完整的信息安全技术体系结构由什么组成

完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。

技术体系由两部分组成：物理安全技术和系统安全技术
物理安全技术：信息系统的建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全；通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择性措施达到相应的安全目的。物理安全技术运用于物理保障环境(含系统组件的物理环境)。
系统安全技术：通过对信息系统与安全相关组件的操作系统的安全性选择措施或自主控制，使信息系统安全组件的软件工作平台达到相应的安全等级，一方面避免操作平台自身的脆弱性和漏洞引发的风险，另一方面阻塞任何形式的非授权行为对信息系统安全组件的入侵或接管系统管理权。

组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事三个模块构成一个体系。
机构的设置分为三个层次：决策层、管理层和执行层。
岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位。
人事机构是根据管理机构设定的岗位，对岗位上在职、待职和离职的雇员进行素质教育、业绩考核和安全监管的机构。

管理体系：管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理三个部分组成。所谓“三分技术，七分管理”
1）法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束。
2）制度管理是信息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度。
3）培训管理是确保信息系统安全的前提。

『柒』 组织建立信息安全管理体系的一般过程是什么

我国信息安全管理的现状、问题及其对策
摘要：信息安全是国家安全的基础和关键。在信息安全保障的三大要素(人员、技术、管理)中，管理要素的地位和作用越来越受到重视。理解并重视管理对信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。本文分析了信息安全管理的现状，并着重讨论了加强信息安全管理的策略。
关键词：信息安全；管理；现状；策略
信息安全管理是随着信息和信息安金的发展而发展的。在信息社会中，一方面信息已经成为人类的重要资产，在政治、经济、军事、教育、科技、生活等方面发挥着重要作用，另一方面由于计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。由于信息具有易传播、易扩散、易损毁的特点，信息资产比传统的实物资产更加脆弱，更容易受到损害，这样将使组织在业务运作过程巾面临巨大的风险。这种风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节和漏洞， 以及大量存在于组织内外的各种威胁， 因此对信启、系统需要加以严格管理和妥善保护，信息安全管理也随之产生。
1、国内信息安全管理现状
1．1在国家宏观信息安全管理方面的问题
(1)法律法规问题。健全的信息安 法律法规体系是确保国家信息安全的基础，是信息安全的第一道防线。我国已建立了法律、行政法规与部门规章及规范性文件等三个层面的有关信息安全的法律法规体系，对组织与个人的信息安全行为提出了安全要求。但是我国的法律法规体系还存在缺陷，一是现有的法律法规存在不完善的地方，如法律法规之间有内容重复交叉， 同一行为有多个行政处罚主体，有的规章与行政法规相互抵触，处罚幅度不?一致；二是法律法规建设跟不上信息技术发展的需要，这主要涉及网络规划与建设、网络管理与经营、网络安全、数据的法律保护、电子资金划转的法律认证、计算机犯罪、刑事立法、计算机证据的法律效力等方面的法律法规缺乏。
(2)管理问题。管理包括三个层次的内容：组织建设、制度建设和人员意识。组织建设是指有关信息安全管理机构的建设。信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容，因此只靠一个机构是无法解决这些问题的。在各信息安全管理机构之问，要有明确的分工，以避免“政出多门”和“政策拉车”现象的发生。需要建立切实可行的规章制度，即进行制度建设，以保证信息安全。如对人的管理，需要解决多人负责、责仔到人的问题，任期有限的问题，职责分离的问题，最小权限的问题等。有了组织机构和相应的制度，还需要领导的高度重视和群防群治，即强化人员的安全意识，这需要信息安全意识的教育和培训，以及对信息安伞问题的高度重视。
(3)国家信息基础设施建设问题。目前构成我国信息基础设施的网络、硬件、软件等产品几乎完全是建立在外国的核心信息技术之上的。关于国家信息基础设施方面存在的问题已引起国家的高度重视。如“十五”期问，国家863计划和科技攻关的重要项目就有“信息安全与电子政务”和“金融信息化”两个有关信息安全的研究项目；2002年1月1日开始实施的《电信业务经营许可证管理办法》明确要求：电信产品软件商不能在软件上预留“后门”，外国供货商不能远程登录中国电信商的操作系统，高级 管系统要用国内可靠机构开发的软件产品。
1．2我国在微观信息安全管理方面存在的问题主要表现
(1)缺乏信息安全意识与明确的信息安全方针。大多数组织的最高管理层对信息资产所面临威胁的严重性认识不足，或者仅局限于IT方面的安全，没有形成一个合理的信息安拿方针来指导组织的信息安全管理工作，这表现为缺乏完整的信息安全管理制度，缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训，现有的安全规章组织未必能严格实施等。
(2)重视安全技术，轻视安全管理。目前组织普遍采用现代通信、计算机和网络技术来构建信息系统，以提高组织效碍暑与竞争能力，但相应的管理措施不到位，如系统的运行、维护和开发等岗位不清，职责不分，存在一人身兼数职现象。
(3)安全管理缺乏系统管理的思想。大多数组织现有的安全管理模式仍是传统的管理方法，出现了问题才去想补救的办法，是一种就事论事、静态的管理，不是建立在安全风险评估基础上的动态的持续改进管理方法。
2、国外信息安全管理现状
国际上信息安全管理近几年的发展主要包括以下几个方面。
(1)制订信息安全发展战略和计划。制订发展战略和计划是发达国家一贯的作法。美、俄、日国家都已经或正在制订自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展。
(2)加强信息安全立法，实现统一和规范管理。以法律的形式规定和规范信息安全工作是有效实施安全措施的最有力保证。制订网络信息安全规则的先锋是各大门户网站，美国的雅虎和美国在线等网站都在实践中形成了一套自己的信息安全管理办法。2000年1O月5日美参议院通过了《互联网网络完备性及关键设备保护法案》。2000年9月，俄罗斯实施了关于网络信息安全的法律。
(3)步入标准化与系统化管理时代。随着2O世纪8O年代IS09000质量管理标准的出现及随后在全世界的推广应用，系统管理的思想在其他管理领域也被借鉴与采用，信息安全管理也同样在2O世纪9O年代步入了标准化与系统化管理的时代。1995年英国率先推出了BS7799信息安全管理标准，该标准于2000年被国际标准化组织认可为国际标准ISO／IEC17799。现在该标准已引起许多国家与地区的重视，在一些国家已经被推广与应用；组织贯彻实施该标准可以对信息安全风险进行全面系统的管理，从而实现组织信息安全。与此同时，其他国家以及组织也提出了很多与信息安全管理相关的标准。
3、加强信息安全管理的策略
随着国民经济和社会信息化进程的全面加快，信息安全管理工作面临着越来越严峻的形势和挑战。从总体上看，当前，我国的信息安全管理工作尚处于起步阶段，基础薄弱，水平不高，存在许多亟待解决的问题，我们要以全局性的眼光，加强信息安全的组织管理工作。
(1)建立集中统一、分工协作、各司其职的信息安全管理机制。信息安伞保障的关键在于组织领导，要从根本上加强我国的信息安全保障工作，必须建立全国集中统一、分工协作、各司其职的信息安全管理机制。一是国家应建立能够协调维护各种安全利益的综合职能机构，成立有高度权威的国家信息安全委员会，作为国务院信息化领导小组的常设委员会， 以改变目前在维护国家信息安全中各部门条块分割、职责不清、多头管理、协调不力和政出多门的现状；二是各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系，按照“谁主管、谁负责”的原则，共同履行信息安全管理的职责；三是尽早建立省、市两级比较完善的信息安全领导管理体系， 以便积极调动各种资源主动配合和协调信息安全保障工作，形成纵横结合的信息安全协调与信息共享机制； 四是充分调动政府、企业和个人的积极性，实现有机联动，形成合力，共同构筑国家信息安全保障体系；五是健全和完善信息安全责任体系，要求各部门、各单位明确信息安全工作负责人，配备相应的信息安全员，把信息安全责任真正落实到人。
(2)加强信息安全法制建设，为信息安全管理提供执法依据。作为信息安全保障体系的重要部分，相关法律法规和标准体系的建设已经势在必行。下一步，应着力建立健全信息安全法律法规体系；同时，要注重和加强信息安全执法队伍的建设；各信息安全职能部门的执法活动必须严格按照法律规定的权限和程序进行，正确行使权力和履行职责，保护企业和公民的合法权益，打击网络违法犯罪；各有关主管部门和运营单位要积极支持执法机关工作，履行应尽的义务；社会团体、企业和个人要认真履行法律规定的信息安全责任和义务，在信息网络环境中依法开展活动。
(3)采取有效措施，积极推进信息安全等级保护工作的顺利开展。实行信息安全等级保护是国家解决信息安全保护问题的基本政策。信息安全等级保护是信息系统的社会价值和经济价值保护的客观要求，即按信息的敏感和重要程度、系统应用性质和资严价值、部门重要程度，分级采取科学、合理的保护措施；对于涉及国计民生的国家关键信息基础设施应分级加以重点保护；适度保护，效费合理，避免盲目和浪费。国家实行信息安全等级保护，必须从总体战略角度考虑，把握关键环节，建立长效保护机制。当前，信息安全等级保护的试点工作已积累了一定的经验，为推动信息安全等级保护工作的伞面开展，应着力做好以下几个方面的工作：明确信息系统等级保护各方责任；制定各项信息安全等级保护管理制度；制定、完善信息安全等级保护管理规范和技术标准体系；依托社会技术力量，组建技术支撑体系；研制开发信息安全等级保护备案、检测、评估信息系统和技术
工具；加强宣传、培训工作等等。
(4)努力探索，创立新形势下的信息网络违法犯罪防范打击体系。近年来，我国在打击网络违法犯罪方面做了大量的工作，也取得了很火的成绩，但是随着信息技术的不断发展，网络违法犯罪的形式更加多样化，技术手段更加先进，这就要求我们不断建立健全信息网络违法犯罪防范打击体系， 以执法职能部门为主体，动员社会各方力量，运用网络技术手段在信息网络领域建立系统、完整、有机衔接的预防、控制、侦查、惩处信息网络违法犯罪的行政执法和刑事执法体系，提高对信息网络违法犯罪的防范、控制和侦查、打击能力。重点要做好以下四方面机制建设：一是全社会防范控制机制。二是统一指挥、快速反应的侦查机制。三是有关部门、单位的支持、配合机制。四是公检法三机关的协调、协作机制。
答案补充
(5)政策面上采取各种措施，创造良好的信息安全发展环境。一是加大对信息安全工作的资金投入。在政府层面，财政应拿出专门的资金，用于机关及相关事业单位、公益性等信息网络的安全建设及维护；在企业层面，在必须明确建设网络的真正需求，加强安全资金投入，针对自身的网络建立安全防御体系；另外，科研管理部门应当加大对信息安全技术研究的科研投入，对若干前瞻性、基础性的信息安全核心技术，统一部署，组织攻关，力争有所突破。二是加快信息安全人才培养。要从信息安全建设和管理对信息安全人才的实际需求出发，加强信息安全学科、专业和培训机构建设，加快信息安全人才培养。要采取积极措施，吸引并用好高素质的信息安全管理和技术人才，最大限度的发挥人才效益。三是要大力支持信息网络安全服务行业的发展。建议出台支持信息安全服务行业发展的相关政策，加强对信息安全服务行业的监管，积极引导信息网络使用单位借助信息安全服务单位提高其安全管理水平和能力。
答案补充
四是要增强全民信息安全意识。要充分利用新闻媒体和互联网，加大信息安全宣传力度，增强全民信息安全意识。要开展全社会特别是对青少年的信息安全教育和法律法规教育，使其掌握必要的信息安全知识与技能。
4、结语
信息安全管理是保护国家、组织、个人等各个层面上信息安全的重要基础。只有以有效的信息安全管理体系为基础，完善信息安全管理结构，综合应用信息安全管理策略和信息安全技术产品，才可能建立起一个真正意义上的信息安全防护体系。
参考文献：
[1]刘文艳．社会信息化环境下的信息安全管理研究[J]．网络安全技术与应用，2007，3．
[2]李振汕．现代电子商务系统安全技术研究[J]．中国管理信息
化，2007，10．
[3]张红旗等．信息安全管理[M]．北京：人民邮电出版社，2007，11．

『捌』 信息管理的内容与功能

2.3.1信息管理的内容

由于社会信息活动的广泛性和复杂性，决定了信息管理内容的多样性和综合性。信息管理的内容可以概括为以下几个方面。

2.3.1.1对信息系统的管理

对信息系统的管理涉及信息系统的规划、设计、运行、维护、评价和再设计等内容。它通过对涉及信息活动的各种要素进行合理的计划、协调和控制，以达到对信息系统的管理。例如，安排年度信息管理活动、合理配置设备和人员、实施具体的信息项目、实现信息资源的有效配置和充分开发以满足社会对信息的需求。对信息系统的管理贯穿于系统建设到系统运用的全过程。

2.3.1.2对信息产品的管理

对信息产品的管理主要是指对信息的搜集、加工、组织和形成信息产品过程的管理。对信息产品的管理实际上是一种微观层次上的信息化管理活动，是对信息本身的管理。它包括信息产品的研制和开发，信息产品的流通和市场化，信息产品生产过程中的内部管理等。

2.3.1.3对信息产业的管理

对信息产业的管理实际上是对信息产业发展的全局性、战略性和关键性的重大问题进行决策的过程。这是一个涉及全国乃至全世界的宏观层面的管理。由于信息产业是一个新兴产业，在各国的发展时间都比较短，但其发展速度十分迅速，各国政府也纷纷出台优惠政策，加大对信息产业的投入，使信息产业成为拉动国民经济的“火车头”。各国对信息产业管理的主要内容包括制订信息产业政策，为信息产业立法，建立以国家和政府领导人牵头的信息管理机构，配置该国最优秀的信息管理人才，制订信息产业发展规划和发展战略，形成有本国特色的信息产业结构和体系。

2.3.1.4对信息政策法规的管理

信息政策是指国家或信息机构为了达到一定的目的而制订的信息活动方针和行动准则。它是信息系统履行社会职能，优化运行机制的保证。信息法规是一国立法机关制订的信息活动的行为准则，是该国有关信息活动的法律、法令、条例、规章等法规文件的总称。由于信息产业是一个全新的产业部门，它既涉及传统产业，也包括新兴产业，因此，需要一个全新的法律体系。这一法律体系的功能和作用主要有：为社会信息事业和信息产业的发展指明前进的方向；保证信息事业发展与实现；促进信息资源的合理开发和有效利用；为社会信息活动提供导向性和有约束力的行为准则，维护信息活动的正常进行；调整经济关系，保证社会信息环境系统的正常运行；维护信息部门和信息工作者的正当权益，促进信息事业与国民经济的协调健康发展。

2.3.2信息管理的功能

现在人们已经离不开信息管理，信息管理在现代社会生活中的功能越来越大，这种功能突出表现在以下几个方面：

2.3.2.1开发信息资源的功能

信息本身并不是资源，只有当信息经过人们有目的的加工以后，才能成为一种人们所需要的资源。人们在日常生活和工作中接触到的信息，往往是杂乱无章的，而信息管理为将杂乱无章的信息转变为有用的信息资源提供了条件。人们通过信息管理，将那些有用的信息进行分类整理，研究加工，形成一种有序的信息流，并将这些信息提供给需要这些信息的人，使信息成为人们手中的资源。

2.3.2.2配置信息资源的功能

人们经过对信息的开发，形成信息资源以后，如果将这些信息资源束之高阁，那么，再好的信息资源也与原始的信息一样无任何价值。配置信息资源就是要建立公平合理的信息产品生产、分配、交换、消费机制，优化信息资源的体系结构，使各种信息资源都能得到最优分配与充分使用，从而最大限度地满足全社会的信息需求。

2.3.2.3提供信息服务的功能

信息化高技术手段为人们个性的张扬提供了先进的技术手段，人们不仅需要得到社会普遍都有的服务，而且还需要得到个性化的服务。在信息化社会中，有些服务可以通过改进技术条件来实现，如通过搜索引擎，找到自己所需要的东西，但很多情况下，仅仅用技术手段是难以实现的。信息管理作为信息化手段与管理的结合，发挥着其他服务手段难以发挥的作用。它可以通过法律、政策、行政的手段，公开一些原来没有公开的信息资源；可以投入人力、物力、财力，整理加工原始的信息资源为人们所用；可以为人们进行信息活动提供良好的人文社会环境，为人们获取信息、运用信息提供服务。

2.3.2.4推动信息产业发展的功能

进入21世纪以来，人类社会开始进入信息化时代，信息产业在国民经济中的比重迅速提高，信息产业的发展在推动社会信息化水平提高的同时，也要求管理部门为其提供理论指导和政策方向。信息管理虽然也是宏观信息产业的一部分，但它又不同于信息产业的其他内容，信息管理在制订信息产业的发展战略，贯彻实施信息产业政策和相关法规，在处理和调控信息产业发展的过程中发挥着越来越重要的作用。

『玖』 信息安全体系结构的目录

第1章 概述1
1.1 基本概念1
1.1.1 体系结构1
1.1.2 信息安全体系结构5
1.1.3 信息安全保障8
1.2 三要素9
1.2.1 人9
1.2.2 技术12
1.2.3 管理13
1.2.4 三者的相互关系13
1.3 小结14
习题14
第2章 信息安全体系结构规划与设计15
2.1 网络与信息系统总体结构初步分析15
2.2 信息安全需求分析18
2.2.1 物理安全18
2.2.2 系统安全19
2.2.3 网络安全23
2.2.4 数据安全30
2.2.5 应用安全31
2.2.6 安全管理32
2.3 信息安全体系结构的设计目标、指导思想与设计原则32
2.3.1 设计目标32
2.3.2 指导思想33
2.3.3 设计原则33
2.4 安全策略的制定与实施34
2.4.1 安全策略34
2.4.2 制定依据35
2.4.3 安全策略分类35
2.5 小结41
习题42
第3章 信息安全技术支撑43
3.1 密码服务技术43
3.1.1 作用43
3.1.2 要求44
3.1.3 组成44
3.1.4 密码的使用45
3.1.5 密钥的配用与管理46
3.1.6 密码服务系统接口46
信息安全体系结构目录 3.2 密钥管理技术47
3.2.1 作用47
3.2.2 体系结构48
3.3 认证技术50
3.3.1 作用50
3.3.2 基本模型51
3.3.3 交叉认证与桥CA53
3.3.4 体系结构55
3.3.5 主要组件的功能要求60
3.3.6 其他认证技术66
3.4 授权技术67
3.4.1 作用67
3.4.2 基本结构和应用模型68
3.4.3 体系结构与主要功能69
3.4.4 性能指标71
3.5 容灾备份与故障恢复技术72
3.5.1 作用72
3.5.2 体系结构72
3.5.3 容灾备份的策略73
3.5.4 本地备份74
3.5.5 异地备份75
3.5.6 恢复75
3.6 恶意代码防范技术76
3.6.1 防范策略76
3.6.2 功能要求78
3.7 入侵检测技术80
3.7.1 作用80
3.7.2 CIDF定义的入侵检测系统构件80
3.7.3 分类81
3.8 安全接口与中间件技术83
3.8.1 作用83
3.8.2 体系结构84
3.8.3 分类86
3.9 无线网络安全技术88
3.9.1 无线网络的特点88
3.9.2 主要标准90
3.9.3 无线局域网95
3.10 小结102
习题102
第4章 主要信息安全产品104
4.1 网络边界防护产品--入侵检测系统104
4.1.1 局限性104
4.1.2 发展趋势105
4.2 网络边界防护产品--防火墙107
4.2.1 功能特点107
4.2.2 主要技术108
4.2.3 部署110
4.2.4 局限性112
4.2.5 发展趋势114
4.3 网络连接防护产品--安全路由器115
4.3.1 局限性115
4.3.2 发展趋势116
4.4 网络连接防护产品--安全网关118
4.4.1 功能118
4.4.2 发展趋势120
4.5 网络连接防护产品--VPN121
4.5.1 主要技术121
4.5.2 发展趋势122
4.6 本地环境保护产品--恶意代码防范软件123
4.6.1 国产产品的局限性124
4.6.2 发展趋势124
4.7 本地环境保护产品--密码机125
4.7.1 功能模块126
4.7.2 分类126
4.8 基础设施安全产品--PKI/CA127
4.8.1 开发模式128
4.8.2 发展趋势129
4.9 基础设施安全产品--可信计算平台131
4.9.1 发展历程132
4.9.2 发展现状133
4.9.3 发展方向135
4.10 安全服务产品--安全运营管理136
4.10.1 安全服务产品综述136
4.10.2 典型安全服务产品--安全运营管理136
4.10.3 安全服务产品发展趋势137
4.11 小结138
习题138
第5章 信息安全标准139
5.1 国际信息安全标准现状139
5.1.1 国际信息技术标准化组织139
5.1.2 美国信息安全标准140
5.1.3 其他发达国家的信息安全标准141
5.2 中国信息安全标准现状141
5.2.1 工作原则与组织机构141
5.2.2 信息安全标准体系框架143
5.3 小结152
习题153
第6章 信息安全管理154
6.1 关于风险评估154
6.1.1 概念154
6.1.2 步骤155
6.1.3 有关标准161
6.2 信息安全管理标准ISO/IEC 27002163
6.2.1 背景163
6.2.2 主要内容166
6.2.3 应用情况168
6.3 信息安全等级保护169
6.3.1 国外信息安全等级保护169
6.3.2 我国信息安全等级保护169
6.3.3 国家信息安全等级保护制度171
6.3.4 国家信息安全等级保护的有关标准173
6.4 信息安全管理体系174
6.4.1 背景174
6.4.2 ISO 27000系列178
6.4.3 ISO 27001在我国的试点179
6.5 信息安全法律法规182
6.5.1 国际信息安全法律法规现状182
6.5.2 中国信息安全法律法规现状184
6.6 小结193
习题194
第7章 人员能力成熟度模型195
7.1 产生背景195
7.1.1 关于能力成熟度模型195
7.1.2 关于人员能力成熟度模型197
7.2 主要内容199
7.2.1 模型的体系结构199
7.2.2 级别划分200
7.3 人员能力成熟度评价方法202
7.4 小结204
习题204
第8章 案例研究205
8.1 案例一： 某艺术馆网络安全解决方案研究205
8.2 案例二： 某市政管理委员会网络安全解决方案研究207
8.3 小结212
习题213
附录A 图表目录214
附录B 缩略语216
参考文献219

『拾』 信息政策法规

信息政策法规是社会信息活动保障协调机制的具体表现，是由不同调节范围的不同主体制定和实施的、作用于不同调节对象的政策、法律、规章、标准共同构成的完整体系。目前，在我国的信息政策法规体系建设中，存在大量的空白、缺失及束缚发展的种种因素，因此在信息人文管理中，需要加强信息政策法规建设。

信息政策法规主要包括信息政策、信息法律、信息规章和信息标准四大类型，每一类型本身又是一个完整的系统。四种类型之间存在一定的差异性，但它们既相辅相成，又不能相互替代。这四种类型共同构成了对社会信息活动进行规范、管理的信息政策法规体系。信息政策法规以信息政策为龙头，以信息法律为主干，以信息规章和信息标准为基本，集中组织和协调国家、社会、群体、个体的力量，为形成一个高度效用、配置科学、运作合理的社会信息资源宏观开发系统提供了坚实的政策法规保证。

9.3.1信息政策

信息政策是指国家或政府部门为指导和影响信息活动所制定并付诸实施的行动准则和措施，是信息政策法规体系的重要组成，在整个体系构建和运作中具有带头和引导作用。9.3.1.1 信息政策的含义

信息政策是一个由对信息生命周期的监视和管理的指导原则、法令、指南、规则、条例、手续而构成的相关政策群体，是国家用于调控信息产业发展和信息活动的行为规范和准则。信息政策涉及信息产品的生产、分配、交换和消费等各个环节，以及信息的发展规划、组织与管理等综合性的问题。

信息政策是国家和社会组织为实现信息管理目标而规定的信息活动行为准则，是进行信息规划和管理决策的指导方针。信息政策通常是经过行政途径下达的，对特定范围的人或机构具有约束和调节能力。

9.3.1.2信息政策分类

由于不同国家管理体制的差异和政治经济文化等因素的不同，信息政策体系较为繁杂。根据不同的分类标准，可以将信息政策划分为很多不同的类型。

按照层次高低来划分，信息政策可分为三个层次：基础性政策、横向政策和纵向政策。基础性政策适用于整个社会，对信息单位有直接或间接的影响，并为其活动提供一个社会、经济和政治背景，如税收政策、经济政策、教育政策等。横向政策是对所有信息管理相关的组织机构都适用和有影响的政策，如“863计划”、“国家中长期科学技术发展纲要”等。纵向政策适用于某一类型信息管理组织机构的政策，如有关信息企业或公益机构发展方面的政策等。

按照制定者及实施范围来划分，信息政策可分为国际信息政策、地区信息政策、国家信息政策、系统信息政策和机构信息政策等类型。国家信息政策、系统信息政策和机构信息政策具有行政支持力，也就是具有实际效用，以宣言、协定、公约等形式存在的国际信息政策、地区信息政策则只具有协议性和道义性。

按照形式不同来划分，信息政策可以分为系统的信息政策和零散的信息政策。对于国家信息政策，由于世界各国信息管理模式的差异，国家信息政策就可分为两种形式：一是比较完整、系统的国家信息政策，通常以政策白皮书和政策蓝皮书的形式发布，如中国1990年发布的《信息技术发展政策》和1991年发布的《国家科学技术情报发展政策》就采用了这种形式。二是各级政府及其职能部门以文件的形式发布的零星、分散的国家信息政策，如美国几乎从来就没有公开宣布的综合性国家信息政策。对于机构信息政策和系统信息政策来说，其存在形式更加多样，不仅有正式信息政策，也有非正式信息政策；不仅有长期信息政策，也有临时信息政策；不仅有书面信息政策，也有口头信息政策。

按照内容不同来划分，信息政策可以分为信息资源政策、信息管理政策、信息传播政策。信息资源政策包括信息资源建设政策、信息基础设施建设政策、信息化投入政策、信息人才保障政策、信息资源共享政策等；信息管理政策包括行业信息政策、信息产业政策、信息技术政策、信息组织管理政策、信息市场管理政策、信息标准化发展政策、信息交流与合作政策等；信息传播政策包括信息内容安全政策、信息系统和信息网络安全政策、保障个人隐私和商业秘密政策、跨国数据流控制政策等。

9.3.1.3信息政策的主要特征

信息政策以利益选择和利益整合为基础，以利益分配为关键，是指导和规范社会信息活动的有效手段。信息政策具有以下显著特征：

第一，系统性。信息政策要从社会系统全局的角度出发，有助于合理地配置信息资源并发挥其现实效益，使信息社会协调和可持续发展。

第二，指导性。信息政策通过各种不同调控范围的具体政策的共同作用，把国家和特定社会组织管理者的意志与设想加以转化，形成一定的管理准则以指导信息管理实践。

第三，动态性。信息政策要紧密结合社会发展环境的变化，紧密结合社会信息管理的规划，紧密结合社会信息需求的发展，随着社会环境的变化体现出动态性。

第四，灵活性。信息政策经常会随着决策者的更替、意志的变化、管理目标的变迁而发生变化，因此需要增强其灵活性，又要保证信息政策发展性和稳定性的有机统一。

9.3.2信息法律

信息法律，简称信息法，在整个信息政策法规体系构建和运作中其有明确的约束作用和规范作用。

9.3.2.1国外信息法律状况

信息法起源于18世纪的欧洲，最早当推1776年瑞典的《出版自由法》。1883年产生《保护工业产权巴黎公约》，1891年产生《商标国际注册的马德里协定》等。

现代的信息法开始于20世纪，主要是由美洲与欧洲的发达国家制定的。美国国会先后颁布的有关政府信息系统建设、信息开发利用、信息交流与传播等方面的法律达92种，加拿大自20世纪60年代以来颁布了《国家图书馆法》、《查询信息法》、《个人隐私法》等，英国1965年以来颁布了《公共图书馆与博物馆法》、《英国远程通讯法》、《数据保护法》等，法国1964年的《文学艺术产权法》和1985年的《版权与邻接权法》等，瑞典1973年的《数据资料管理法》（后经两次修改）等。

发展中国家和亚洲的发达国家也有类似的信息法，如日本1985年的《半导体芯片保护法》和《计算机程序保护法》、1986年的《日本技术文献法》等，韩国 1987年的《计算机程序保护法》，新加坡1987年的《版权法》，印度1984年的《新版权法》，巴西1984年的《国家信息政策及其他措施法》等。

各国的信息法一般是针对信息活动的某个环节和特定问题，较多地偏重于信息自由流动、公益信息共享、信息安全捍卫、知识产权保护等方面的内容。

9.3.2.2我国信息立法现状

1981年我国成立计算机安全监察机构，1988年9月全国人大常务委员会通过《中华人民共和国保守国家秘密法》，1989年公安部发布了《计算机病毒控制规定（草案）》，开始全国推行“计算机病毒研究和销售许可证”制度。

1991年5月24日，国务院常务会议通过了《计算机软件保护条例》。这是我国颁布的第一部有关计算机的法律。与之配套的有机械电子工业部 1992年4月发布的《计算机软件著作权登记办法》；国家新闻出版署1996年3月发布的《电子出版物管理暂行规定》。

关于信息网络方面的法规，1996年2月1日国务院发布了《中华人民共和国计算机信息网络国际联网管理暂行规定》，1997年国务院对这一规定进行了修改。提出了对国际联网实行统筹规则、统一标准、分级管理、促进发展的基本原则。1997年6月3日，中国互联网络信息中心成立，国务院同期发布《中国互联网络域名注册暂行管理办法》。相关的法规还包括国务院制定的《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》，公安部颁布的《计算机信息网络国际联网安全保护管理办法》，原邮电部出台的《计算机信息网络国际联网出入口信道管理办法》等，旨在严把信息出入关口，加强对互联网使用的监督和管理。

在信息安全方面，1994年2月18日，国务院发布了《中华人民共和国计算机信息系统安全保护条例》，为保护计算机信息系统的安全，促进计算机的应用和发展，为保障经济建设的顺利进行提供了法律保障。1998年8月，公安部、中国人民银行联合发布了《金融机构计算机信息系统安全保护工作暂行规定》，要求预防、打击利用或者针对金融机构计算机信息系统进行的违法犯罪活动，预防、处理各种安全事故，提高金融机构计算机信息系统的整体安全水平，保障国家集体和个人财产的安全。

2000年以来，全国人大通过了《关于维护互联网安全的决定》，相继通过的法规还有《中华人民共和国电信条例》、《互联网信息服务管理办法》及《鼓励软件产业和集成电路产业的发展的若干政策》。

9.3.2.3信息法律的含义

关于信息法律的含义，很多学者进行了阐述。如，信息法是在调整信息活动中产生的各种社会关系的法律规范的总称，其调整对象为在信息活动中产生的各种社会关系。信息法是一种与信息有关的权利与义务的法律，应以一种适当的方式来反映这些利益冲突并予以权衡、协调，其目的是促进信息交流。信息法是由国家立法机关制定或认可的调整信息活动中社会关系的法律规范的总称。信息法律是指对信息活动中的重要问题进行调控的法律措施，这些措施涉及信息系统，处理信息的组织和对信息负有责任的个人。

综合以上观点，信息法律是由国家立法机关批准制定，并由国家执法机关的强制力保证实施，以在信息活动中产生的社会关系即信息法律关系为调整对象的法律规范。

信息法律关系是社会信息关系的组成部分，包括主体、内容和客体三个要素。信息法律关系的主体是指参与信息法律关系的当事人，即依法享受权利和承担义务的个人或组织（法人或自然人，在特定条件下也可以指国家）；信息法律关系的内容包括主体享有的权利和承担的义务，即相应的法律法规所规定的权利和义务；信息法律关系的客体是指信息法律关系中主体的权利和义务所指向的对象，包括各种类型的信息资源、信息设备和设施、信息服务和其他对象。

信息法律关系一般包括信息表达的权利和义务、信息获取的权利和义务、信息保存的权利和义务、信息传播的权利和义务、信息资源分配的权利和义务、信息搜集和处理的权利和义务、信息资源与信息技术利用的权利和义务以及由派生信息法律关系（如相关行业竞争、社会就业、计算机犯罪、国家主权和安全的保护、民族文化的保护等问题）产生的不同主体之间的权利和义务。

9.3.2.4信息法律的分类

根据分类标准的不同，信息法律可以分为很多类型。

按照内容的不同来划分，信息法律可以分为信息产权、信息安全、信息服务、信息产品、信息市场、信息产业、信息技术、信息规划、信息税收、信息融资、信息交流、信息网络等方面的法律规范，包括政府和非政府公共部门相关法律（含电子政务）、产业部门相关法律（含电子商务）、科研教育部门相关法律、信息服务部门相关法律和公民相关法律等。

按照层次不同来划分，信息法律可以分为宪法、法律、行政法规、地方性法规等。宪法作为国家的根本大法，其法律地位和效力最高，其中某些条款有与信息活动权利有关的内容。其次是法律，除信息法作为一个独立的法律规范主要的信息法律关系之外，在经济法、刑法、行政法和科技法等法律中也对信息活动进行了调节。国际法则是关于跨国信息流动的双边的或多边法律。再其次是行政法规，比行政法规低的是地方性法规。

9.3.3信息规章

9.3.3.1信息规章的含义

规章是对人们共同的管理、经营和服务等社会活动应当执行的职责、准则、程序、方法等方面做出的经过组织专门认定的文字规定，具有相应的法定性和一定的强制性。规章的具体名称有很多，如办法、措施、方案、纲要、公告、规程、规定、规则、纪要、决定、决议、命令、实施办法、实施细则、守则、条例、通报、通告、通知、问题、细则、要求、意见、章程、指令、指示等。

信息规章是一定的社会组织根据法律的或行政的授权，在其职权范围内制定，针对信息交流及其管理中有关个人或群体行为和活动，进行有效的调节、整合、约束和规范的规程、制度和条款，是具体信息管理活动的基本要求和处理方法。

9.3.3.2信息规章的分类

按照适用范围来划分，信息规章可以分为行业信息规章、行政信息规章和企业信息规章。例如，国务院有关部委制定的信息规章授权源自宪法和法律，适用于其主管的行业领域；行业协会制定的信息规章一般只适用于其所自律自治的行业；县级到省级制定的信息规章授权源自地方组织法，只适用于其所管辖的行政区域；企业信息规章适用于企业内部信息管理。

按照层次高低来划分，信息规章可以划分为国家信息规章、系统信息规章和机构信息规章。机构信息规章更加明确具体且具有相应的管理效力。国家或系统管理层次信息规章的管理效力则与政策的管理效力相似，但又比政策具体一些。

按照内容的不同来划分，信息规章可以划分为实施性信息规章和自主性信息规章。实施性信息规章主要指以实施某些法律、法规为目标而制定的信息规章，一般需经具体的法律、法规的明确授权制定，在内容上是进一步解析上述规范性文件的基本精神原则和规定其实施的具体细则。自主性信息规章主要指依据制定主体固有的行政或业务职责权限而制定的信息规章，一般不需要单个的法律或法规再行授权。

9.3.3.3信息规章的特征

信息规章是特定的社会组织对不同层面的信息活动施以作用的手段，在管理上具有一定的特殊性，主要表现在：

第一，管理层级的从属性。信息规章不能与宪法或国家的其他法律相抵触，只能就特定信息活动使法律所创设的权利义务具体化。信息规章的权限来源于特定社会组织的管理权，对相关组织和个人才产生相应约束力，而且要受到一定的审查和监督。

第二，调节对象的局部化。信息规章往往针对信息管理活动中某些特殊的、局部的、具体的问题，如信息产业部《非经营性互联网信息服务备案管理办法》对非经营性互联网信息服务管理网上备案管理、代为备案、接入服务提供者相关义务和年度审核等问题进行了规范。

第三，实施效用的统一性。要解决不同信息规章之间的不一致的问题，信息规章的实施效用要与信息政策、信息法律和信息标准等相互配合，充分体现公定力、确定力、拘束力和执行力的有机结合。

9.3.4信息标准

信息标准是信息管理和信息技术的一项重要基础性工作。在国际标准化组织（ISO）制定的各种标准中，有半数左右与信息管理和技术有关，涉及信息采集、表示、处理、安全、传输、交换、表述、管理、组织、存储和检索的系统和工具的规定、设计和研制等方面。

9.3.4.1信息标准的含义

标准就是对重复事物和概念所做的统一规定。标准以科学、技术和实践检验的综合成果为基础，经有关方面协商一致，由主管机构批准，以特定的形式发布，并作为共同遵守的准则和依据。所谓标准化，就是在经济、技术、科学及管理等社会实践中，对重复事物和概念通过制订、发布和实施标准达到统一，以获得最佳秩序和社会效益。

信息标准是为了建立信息管理的最佳秩序并取得最优效益，由公认的权威机构批准的有关信息管理的概念、过程、产品和方法等重复性事物的以特定程序和形式存在的统一规定。信息标准存在于各个管理层次。通常，国际标准具有最高管理效力，管理层次较低的信息标准受管理层次较高的信息标准的约束。

信息标准化得到各国的高度重视。在中国，全国信息技术标准化技术委员会是在国家标准化管理委员会和信息产业部的共同领导下，负责全国信息技术领域以及与ISO/IEC JTC1（国际标准化组织/国际电工委员会的第一联合技术分委员会）相对应的标准化工作的专门机构，下设了24个分技术委员会和特别工作组。另外，国家标准化管理委员会还有全国信息和文献标准化技术委员会，下设书面语言转写、术语、自动化、分类法和主题法、著录格式、出版格式、统计、文献保护等分委员会。

9.3.4.2信息标准的分类

按照制定主体的层次性划分，信息标准可以分为国际信息标准、区域信息标准、国家信息标准、行业信息标准、地方信息标准和企业信息标准。不同国家有不同的分级方法。国际标准就是由如国际标准化组织等专门国际性标准化组织、联合国教科文组织等特定的政府性或非政府性国际组织制定和推行的有关信息管理和服务的标准。我国积极鼓励采用国际标准和国外先进标准，积极参与制定国际标准。区域标准是由如欧洲标准化委员会等世界某一区域性的标准化团体制定和推行的有关信息管理和服务的标准。国家标准是对需要在全国范围内统一的技术要求，由国家标准化管理部门（如中国国家技术监督局）编制计划、组织草拟、统一审批和编号发布的有关信息管理和服务的标准。行业标准就是对需要在全国行业范围内统一而没有国家标准的技术要求，由国家行业管理部门（如国务院各部委）编制计划、组织草拟、统一审批和编号发布，并且报国家标准化管理部门备案的有关信息管理和服务的标准。地方标准是对需要在特定行政区域内统一而没有国家标准和行业标准的技术要求，由特定行政区域标准化管理部门（如各省、市、自治区标准化管理机构）编制计划、组织草拟、统一审批和编号发布，报国家标准化管理和行政管理部门备案的有关信息管理和服务的标准。企业标准是对企业产品和服务中没有国家标准、行业标准和地方标准的技术要求，由特定企业编制和实施，按照地方政府规定备案的有关信息管理和服务的标准。

按照管理效力的差异性划分，信息标准可以分为强制性信息标准和推荐性信息标准。强制性信息标准是在信息管理和服务领域中，涉及国计民生的重要建设领域、国家需要控制的技术和方法、与技术衔接和标准之间的互操作性有关的通用术语、技术和方法等方面，需要强制执行的信息标准。推荐性信息标准是强制性标准之外的其他信息标准。

按照管理内容不同划分，信息标准分类方法主要有以下几种：

第一，按照信息管理的主要方面，可分为通用信息标准（如基本术语、信息编码、信息交换、行业管理等）、专门信息标准（技术支持、系统互联、信息组织、载体管理、建筑设备等）和分类信息标准（如数据通信、信息系统、网络管理、文献管理、新闻出版等）。

第二，按照信息管理的具体对象，可以区分为信息基础结构标准、信息管理方法类标准、信息环境类标准、信息产品与服务标准、信息物质载体类标准、信息非物质载体类标准等。

第三，按照信息管理的活动性质，可以区分为技术标准（对标准化领域中需要协调统一的技术事项而制定的标准）、管理标准（标准化领域中需要协调统一的管理事项所制定的标准）、工作标准（对标准化领域中需要协调统一的工作事项所制定的标准）等。

9.3.4.3信息标准的特征

标准化是贯穿人们工作和生活当中不可缺少的一项重要的活动。信息标准是信息管理和服务的一种重要工具，是信息管理和服务的核心，其特征主要表现在：

第一，标准体系的综合性。信息标准化的作用必须通过科学和完善的信息标准体系才能有效发挥。信息标准体系要建立在“简化、协调、统一、选优”的基本原则之上，以信息产品和服务标准为核心，有充分保证信息管理和服务所必需的技术、管理和工作的配套标准和相应的实施保障体系。

第二，标准化功能的整合性。信息标准化可在提高系统互操作性、技术可移植性、数据可交换性、应用多层次性等方面，为信息活动提供有效的整合性标准资源服务。

第三，管理效用的发展性。信息标准化要根据信息活动中科学技术的发展和生产科研的实践进行补充和完善，要适应与信息活动相关的社会环境不断变化的要求，要通过信息活动的实践来验证其社会效益、经济效益和生态效益。