网络安全治理体系
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全治理体系范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全治理体系范文第1篇
【关键词】网络服务提供者;版权;侵权责任;责任限制
一、网络服务提供者的侵权归责原则
网络服务提供者,即网络服务提供商,泛指为网络用户提供硬件设施接入服务、主机存储服务、信息定位服务和平台管理服务的一切个体和组织。它主要包括两类主体:网络内容提供商和网络中介服务商。网络服务提供者是指“经过有关机构认可的、有目的地选择信息(网络版权法律关系中专指作品),并利用网络向不特定对象提供的主体。”[1]网络中介服务商又可以细分为网络基础通讯服务者、接入服务提供者、信息搜索工具提供者。
以当事人是否具有主观过错为区分标准,可以将网络服务提供商的归责原则分为:过错责任和无过错责任。网络内容提供者对信息内容具有编辑和控制的能力,对其应该适用无过错责任原则。
二、网络服务提供者的侵权形态及案例评析
在版权理论中,一直存在着“直接侵权”和“间接侵权”的划分。[2]“直接侵权“是指既未经版权人授权,也不符合”合理使用“或者”法定许可等法定情形,实施受版权人专有版权控制的直接涉及作品的行为,如复制、发行、表演和改编作品等。[3]间接侵权人的行为没有直接涉及到受版权直接保护的作品或者受邻接权直接保护的作品,而是因为其行为为版权直接侵权行为提供了便利条件,协助了他人的直接侵权,行为人有意或无意参与了版权侵权活动,从而侵害了版权人或者邻接权人所谓合法权益。[4]网络内容提供商往往需要承担直接的侵权责任,而网络中介服务商往往只承担版权侵权的间接责任。
(一)网络服务提供商承担间接侵权责任的前提是“授权”侵权。
认定是否“授权”有三个要件:阻止版权侵权能力的大小;与侵权人之间的关系的性质;是否采取了合理措施来防止或避免版权侵权行为的发生。
2010年2月,被视为澳大利亚“向公众传播权侵权案里程碑”的罗德秀电影公司诉iiNet案一审作出判决。[5]好莱坞环球电影公司等34家电影公司于2008年11月向澳大利亚联邦法院提讼,诉称被告澳大利亚第三大网络服务提供商iiNet未经原告许可授权复制及向公众传播被告享有版权的电影作品,没有阻止用户非法下载文件,从而侵犯了他们的电影版权。但澳大利亚联邦法院认为网络服务提供商只提供“合法传播设备”,不构成“授权”侵权,无须对用户的侵权行为承担间接责任。
iiNet作为网络服务提供商,发现了侵权行为并且没有采取相应的措施阻止这一侵权行为的发生,但是这些证据不足以构成对它的侵权指控。诸如iiNet这样的网络服务提供商提供了合法的通信设备,而这并不是为了也没有打算侵犯任何人或机构的版权。只有启用了BitTorrent这类应用程序,侵权行为才有可能出现,而iiNet却无法阻止客户使用这一应用程序,也就是说,iiNet没有能力阻止用户的非法下载活动。尽管iiNet知道用户的侵权活动,但这并不意味着iiNet授权用户从事侵权活动,无须对此承担责任。
(二)网络中介服务商适用过错责任顺应网络产业发展的趋势,无论对其要求多么严格的责任,其前提是不能超越网络服务提供者的实际监控能力,主观上有侵权过错是承担侵权责任的条件之一。
国际唱片公司诉百度案。[6]2005年7月,百代、华纳等七家国际唱片公司以百度在搜索页面上提供了部分未授权的MP3下载链接为由,将百度告上法庭。法院认为,搜索引擎服务旨在帮助网民迅速地定位其所需要的信息,百度公司提供的MP3搜索引擎服务是以互联网中的音乐数据格式文件为对象的,其搜索范围遍及整个互联网中未被禁链的每一个网点,并受控于上载作品的网站。本案中,原告并未尽到相应的通知义务,而且百度提供的MP3搜索服务并无侵权故意,即不存在侵权的主观过错。
2007年4月24日,北京市第二中级人民法院对11大唱片公司[7]诉北京阿里巴巴信息技术有限公司侵犯著作权邻接权(信息网络传播权)一案作出一审判决,雅虎败诉。“雅虎案”一审判决认为:“原告曾于2006年4月10日和7月4日分别向被告(雅虎)发函,告知其侵权事实的存在并提供相关内容。而被告仅删除了原告提供了具体URL地址的三个侵权搜索链接,怠于行使删除与涉案歌曲有关的其他侵权搜索链接的义务,放任涉案侵权结果的发生,其主观上具有过错,属于通过网络帮助他人实施侵权的行为,应当承担相应侵权责任。”[8]
雅虎案涉及的法律问题与此前发生的“七大唱片公司诉百度案”基本相同,都是网络服务商对侵权歌曲文件提供链接是否应当承担侵权责任,但两案的一审判决结果却截然相反。这一差异的关键在于“雅虎案”中的原告应用了合理的诉讼策略――将被告提供链接的行为构成帮助侵权列为诉因之一。雅虎案的争议焦点在于,雅虎中国网是否明知或应知服务对象提供的录音录像制品侵权。如果其不知道也没有合理的理由应当知道服务对象提供的录音录像制品侵权,并且同时具备了信息网络传播权保护条例第二十二条规定的5项免责条件,就不承担责任;反之,则必须承担责任。而一审法院认定被告“应知”其网站中存在指向侵权歌曲文件的链接而不删除,主观上存在过错,构成帮助侵权。本案的判决说明法院不但接受了“间接侵权”的基本规则,而且对其的应用已日趋成熟,对于在网络环境中合理地保护著作权,并推动立法的发展具有重大意义。
(三)过错认定中明知或应知的对象应当是对特定作品的特定侵权行为。
仅仅一般性地知道网站中普遍存在此类侵权行为是不足以认定“明知或应知”的。
Viacom International Inc诉youtube案。[9]YouTube是美国著名的视频分享网站,许多用户未经许可,将受版权保护的影视剧或音乐电视MV片断上传到该网站。视频传媒公司Viacom及其四家附属公司于2007年,认为YouTube构成直接侵权、引诱侵权、帮助侵权和承担替代责任。法院最终判决驳回原告的诉讼请求。
本案争议的焦点在于,YouTube作为信息存储空间服务提供者,能否根据《千禧年数字版权法》(以下简称DMCA)第512条规定的“避风港”免责。而判断其能够免责的关键,又在于对512条中有关过错规定的理解。在本案中,原告发送了附有侵权视频网址的大量通知(约10万个),而YouTube对其都及时进行了删除。但原告指称YouTube只删除了通知中指明的特定视频片断,而没有将侵犯同一部作品版权的其他所有视频片断都进行删除。由于法院认定YouTube并不明知或应知那些侵犯原告版权的行为,法院驳回了原告要求的诉讼请求。
在YouTube案中,网站中不存在“影视”频道或各类影视分类或榜单,视频不超过10分钟,即使该视频与影视剧同名,也有可能是权利人允许免费传播的片花或宣传片。如果YouTube要发现侵权视频,除了使用专业过滤技术之外,唯一的方法就是进行逐一审核,其不但没有法定的审核义务,而且这样做也超出了其承受能力。YouTube案判决书中关于权利人的通知必须能够使服务提供者准确定位侵权内容的要求也是合理的。如果权利人仅仅发送影视剧或MV名称,而YouTube不加区别地全部删除,则可能会将大量没有侵权的宣传片花、预告片删除掉。可见,网站中客观存在着大量侵权内容或链接,服务提供者也并不仅因此就应当主动查找侵权内容。只有在指示侵权内容的情形能够明显为服务提供者所见时,服务提供者才有义务及时采取措施,避免侵权内容的进一步传播。
三、启示
从以上几个案例来看,网络服务提供者在网络版权侵权纠纷解决中地位应该是被动的和中介性的,原则上不具有监控义务,法律将发现网络版权侵权的任务主要放在版权人身上,所以其通常是被动地接受版权人的通知,才制止版权侵权行为。正如前述案例中,如果权利人认为搜索引擎服务所涉及的录音制品侵犯了其权利,可以向搜索引擎服务提供商提交书面通知,要求断开与该制品的链接,通知中应当明确告知侵权网站的网址。
从有利于网络业发展的角度出发,应当对网络中介服务商的版权侵权责任进行限制,除此之外,还要考虑到上述被动性的特点,将主观过错以及对侵权行为的控制能力纳入责任限制的考虑范围当中。
参考文献:
[1]丛立先.网络版权问题研究[M].武汉大学出版社,2007.
[2]曹铮,傅文卿,黄蕊.互联网流量成分及运营策略分析[J].中国新通信,2006(3).
[3]王迁.论版权“间接侵权”及其规则的法定化[J].法学,2005(12):66.
[4]楚永.P2P服务提供者版权侵权责任研究[D].吉林大学硕士学位论文.
[5]访问时间:2011年1月28日22:13.
[7]十一家国际知名公司为环球音乐集团,华纳音乐集团,EMI唱片集团,索尼博德曼音乐娱乐集团四大唱片集团旗下的11家唱片公司.
[8]北京市第二中级人民法院(2007)二中民初字第02621――02631号民事判决书.
网络安全治理体系范文第2篇
一、网络安全人才队伍建设的重要性
(一)网络安全人才是保障经济安全的基础
由于信息网络技术的迅速普及, 经济发展与信息技术的发展息息相关, 在生产、分配、消费的每一个环节中都伴随着信息的获取、加工、传输、储存。世界各地的企业利用网络来发现新市场,开拓新产业,在全球范围内加速了商品和服务贸易,有力地促进了全球经济发展。我国各行各业对信息网络系统的依赖程度越来越高, 越来越多的公共服务、商业和经济活动基础设施与互联网相连,这种高度依赖性将使经济变得十分“脆弱”。一旦信息网络系统受到攻击, 不能正常运行或陷入瘫痪时, 就会使整个经济运行陷入危机。而且网络犯罪对各国经济安全造成的危害难以估量,规模庞大的全球黑客产业链和地下经济吞食着各国经济利益。保障经济安全需要加强安全管理,安全管理的关键是网络安全人才的培养和储备。
(二)我国网络空间安全形势非常严峻
根据国家互联网应急中心的数据,中国遭受境外网络攻击的情况日趋严重,主要体现在两个方面:一是网站被境外入侵篡改,二是网站被境外入侵并安插后门。2012年网站被植入后门等隐蔽性攻击事件呈增长态势,网站用户信息成为黑客窃取重点。2012年,国家互联网应急中心共监测发现我国境内52324个网站被植入后门,较2011年月均分别增长213.7%和93.1%。2013年前两个月,境外6747台木马或僵尸网络控制服务器控制了中国境内190万余台主机,境外5324台主机通过植入后门对中国境内11421个网站实施远程控制,我国网络银行和工业控制系统安全受到的威胁显著上升。发起网络攻击的既可能是国家,也可能是、网络犯罪集团、商业机构、个体网民等“非国家行为体”,网络安全威胁日益增加,需要大量的网络信息安全人才应对威胁。
(三)全球已经进入网络战争时代
网络空间正在成为军事战略的重要资源,伴随着世界军事网络的发展步伐,网络技术的军事运用呈现“井喷”之势,“网军”已经整装待命。2009年,网络安全公司麦克菲报告称,全球已经进入网络战争时代。在信息战的大背景下,数千年沿袭下来的“短兵相接”战争局面将不再重要,网络成为实现国家安全利益的重要利器,爆发网络空间冲突的可能性在加大。2010年底,名为“震网”的蠕虫病毒曾袭击了伊朗核设施的电脑网络,这被认为是美国开展网络战的重要实践。2012年伊朗遭受名为“火焰”的网络病毒袭击后,以色列国防部长巴拉克高调宣布将“网络战”作为攻击手段,以色列的证交所、银行也曾多次遭遇来自阿拉伯国家的网络袭击。各国政府迫切需要受过专门训练的人才,对抗网络军事入侵,并维护国家网络安全。
二、我国互联网安全人才队伍建设存在的问题和原因
(一)问题
1、精通信息安全理论和核心技术的尖端人才缺乏
目前,我国网民数量超过5亿,互联网应用规模达到世界第二位,已成为互联网大国。但整体上看,我国难以称得上是互联网强国,在互联网产业的硬件、软件、网络模式等方面均处于劣势,主流产品依赖国外进口,基础信息骨干网络70%—80%设备来自于思科,几乎所有超级核心节点、国际交换节点、国际汇聚节点和互联互通节点都由思科掌握。主流核心产品提供商中,外资企业或外资控制的企业占据主导地位,特别是第一代互联网(IPv4)的13台根服务器主要由美、日、英等国家管理,中国没有自己的根服务器,网络信息安全面临着严重威胁。我国主导信息安全问题较为困难,互联网信息安全防范能力,远低于欧美等发达国家。主流产品对国外公司的依赖源于我国自主研发能力弱,缺乏掌握核心技术的高端互联网产业人才。
2、互联网信息安全人才供需不平衡
国际数据公司的报告显示,到2013年,全球新增的IT工作职位将达到580万个,仅在亚太地区就将新增280万个岗位,其中安全方面的投入和人才需求占有较大的比例。2012年11月底,工信部中国电子信息产业发展研究院数据显示,我国共培养信息安全专业人才约4万多人,与各行业对信息安全人才的实际需求量之间存在50万人的差距。与全球对信息安全人才的需求相比,我国面临着巨大的缺口,网络安全人才需求更为紧迫。高等院校中优秀的信息安全师资力量缺乏,高校对于信息安全教学人才非常渴求,这些现状都反映社会需求与人才供给间还存在着巨大差距,人才问题已经成为当前制约信息安全产业发展的主要瓶颈。
3、信息安全人员综合素质有待提高
任何一种安全产品所能提供的服务都是有限的,也是不全面的,要有效发挥操作系统、应用软件和信息安全产品的安全功能,需要专业信息安全人员的参与,并发挥主要作用。但目前信息安全人员多数为其他岗位人员兼任,且非信息安全专业人才,通常是在进入岗位后根据职能要求,逐步熟悉、掌握信息安全技术知识,虽然具备了一定的信息安全技术与管理能力,但普遍存在安全知识零散、管理不成体系等先天性不足。在当今飞速发展的信息安全领域,非专职信息安全人员在忙于众多事务管理的同时,难以持续关注、跟踪最新的信息安全技术发展趋势和国家、行业的政策、规范、标准等最新要求及实施情况,缺乏知识储备和经验积累,造成缺乏懂技术、会管理和熟悉业务的信息安全人才。
(二)原因
1、信息安全学科人才培养体系还不完善
我国已把信息安全人才培养作为信息安全保障体系的重要支撑部分,尤其把培养高等级人才、扩大硕士博士教学放在重要方面。教育部共批准全国70所高校设置了80个信息安全类本科专业。但是信息安全专业起步较晚,培养体系跟别的学科和行业还有差距,人才培养计划、课程体系和教育体系还不完善,实验条件落后,专业课程内容稍显滞后,专业教师队伍知识结构需不断更新,信息安全人才缺少能力培养。急迫需要国家政策支持信息安全师资队伍、专业院系、学科体系、重点实验室建设。
2、网络信息安全人才认证培训不规范
我国对网络安全人才的培养主要是通过学历教育和认证培训两种方法,网络安全技术人才的培训和认证主要有IT行业的CISP认证、NCSE认证等,培养网络安全员和网络安全工程师。这对弥补基础网络安全人才不足,培养应用型人才较为实用,但IT行业培训和认证常缺乏必要的计算机理论基础和系统性知识,小批量、短期的培训往往形不成规模,仍无法填补网络安全人才的巨大缺口。
3、信息安全组织架构不健全
信息安全是在信息化进程中快速发展起来的,但在信息技术快速发展与信息安全知识快速更新的情况下,由于在政府部门、企事业单位中信息安全组织架构不健全,未能完成信息安全人才的培养与储备。造成当前信息安全人才与实际信息安全工作技能要求的脱节,以及部分领域信息安全人才的缺失,信息安全保障工作难以落地。
4、信息安全人才缺乏激励机制
信息安全保障工作的后台性使信息安全管理人员的工作绩效得不到完整的体现,在实际工作中甚至遇到其他业务管理人员的不理解或不配合,造成真正的人才反而评价不高。由于缺乏有效的激励机制与人才评价机制,挫伤了人才的积极性。
三、网络信息安全人才队伍建设政策建议
(一)制定网络空间安全人才规划
国家制定《互联网空间安全人才战略规划》,明确战略目标和战术目标,增强公众网络行为风险意识,扩大支持国家网络安全人才储备,开发和培养一支国际顶尖的网络安全工作队伍,建立一个安全的数字化中国;启动《国家网络空间安全教育计划》,期望通过国家的整体布局和行动,在信息安全常识普及、正规学历教育、职业化培训和认证三方面开展系统化、规范化的强化工作,来全面提高我国信息安全能力;制定《网络空间安全人才队伍框架》,统一规范网络空间安全人才专业范畴、职业路径,及其岗位能力和资格认证等。
(二)健全网络信息安全组织架构
网络信息安全涉及网络、主机、应用、数据等多方面,管理要素多、专业性强,组织开展信息安全保障工作需要建立一套完整的信息安全组织架构体系。在各级政府机关、企事业单位组织架构中应成立专职的信息安全主管部门,负责编制信息安全规划,指导信息安全建设,制定信息安全总体策略,监督检查信息安全管理与技术防护情况。各业务部门应配备兼职或专职信息安全员,负责本部门业务应用中的信息安全保障工作。同时还应根据不同岗位要求着力培养信息安全人才,特别是懂业务、经验丰富的高端技术与管理人才。
(三)构建网络安全治理体系
构建网络安全治理体系是确保各项规范、标准和制度落地的重要保障。网络安全治理体系包括安全管理体系和安全技术体系。安全管理体系明确各部门在网络安全规划、建设、运行维护和改进完善等阶段的工作任务、要求和责任。安全技术体系根据网络安全涉及的不同环节从网络、主机、数据、应用等方面实施相应的安全技术措施。针对不同岗位要求选择合适的人才,在确保合规性的基础上,根据需求,引入外部力量提供专业化的安全技术支撑,弥补现有人才数量与结构的不足。
(四)推动产学研相结合培养网络安全人才模式
以企业需求为导向,大力推动产学研相结合的培养模式。借助企业中的国家级和部级重点实验室、国家级科研项目等科研平台,使得优秀学生能够随时随地直接参与各类科研项目;让本科生和研究生进入实习实训基地,为培养动手能力很强的一流信息安全人才提供良好条件;将教学任务融入到科研工作之中,以科研项目的形式来建设信息安全本科教育专业实验室。在信息安全实践过程中培养技术人才,培养学生具有较强的综合业务素质、创新与实践能力、法律意识、奉献精神、社会适应能力,形成能够满足各方面需求的信息安全人才就业体系。
(五)形成完整网络安全人才培育体系
要建立并完善以高等学历教育为主,以中等职业教育、业余培训、职业培训和各种认证培训为辅的网络安全人才培养体系。加强信息安全学科的重要性是保障人才培养的第一步,应该把信息安全学科提升为一级学科。政府在认证培训方面加强立法,立法内容应该涉及到认证培训的教学体系和内容,培训时间和考试管理办法,还应该规定哪些岗位的人员必须持什么样的证书,以及接受培训人员的管理等。
(六)加大网络安全人才培养项目投入
1、推动各种网络安全人才计划
从2010年开始,教育部就启动了“卓越工程师教育培养计划”,旨在造就一大批创新能力强、适应经济社会发展需要的高质量各类型工程技术人才。应继续加大在这方面人才计划的投入力度和支持范围。
2、扩大奖学金资助范围
推动“信息安全保障奖学金计划”,选拔优秀网络安全人才纳入资助培养计划,资助信息安全专业的本科生与研究生,并在其毕业后安排至关键岗位工作。建立网络安全“生态系统”概念,人才从娃娃抓起,网络安全要进入中小学教学课程,积极向中小学拓展信息网络安全教育,提升中学生对于网络安全的认知,为选拔网络人才打下坚实基础。
3、营造网络竞争与对抗氛围
政府联合地方部门或企业,举办网络攻防竞赛与对抗演习,通过实战化竞争来甄选、培养、锻炼未来的网络安全精英。主要有4种方式:直接组织的网络公开赛,企业出资赞助的高校网络联赛,军方直接组织网络演习,推出网络快速追踪计划,甄选民间优秀网络人才,以签订商业合同的方式,让网络攻防技能出色的小企业和个人参与其短期项目,从而将民间网络黑客力量也纳入其网络人才队伍。
4、加大互联网安全基础研究投入
目前信息产业正处于技术变革的前沿,大数据时代即将到来,并可能带来新的经济繁荣周期。我国应该加大对信息产业的投入,特别是增加相关基础研究的投入,大力培养互联网信息安全人才,发展具有自主知识产权的软件与计算机硬件研发,创新机制支持新技术应用,为确保我国未来网络信息安全提供技术支撑。
(七)完善激励和培训制度,激发工作积极性
网络安全治理体系范文第3篇
关键词:证券行业信息安全网络安全体系
近年来,我国资本市场发展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成部分,也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业,高度依赖信息技术,而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。
目前.国内外网络信息安全问题日益突出。从资本市场看,近年来,随着市场快速发展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息安全应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息安全事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。
1证券行业倍息安全现状和存在的问题
1.1行业信息安全法规和标准体系方面
健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成,推动了行业信息化建设和信息安全工作向规范化、标准化迈进。
虽然我国涉及信息安全的规范性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要,行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性差;三是部分规范和标准已不适应,无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到落实。
1.2组织体系与信息安全保障管理模型方面
任何安全管理措施或技术手段都离不开人员的组织和实施,组织体系是信息安全保障工作的核心。目前,证券行业采用“统一组织、分工有序”的信息安全工作体系,分为决策层、管理层、执行层。
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据证监会颁布的《证券期货业信息安全保障管理暂行办法》,参照ISO/IEC27001:2005,提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构.顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息安全保障目标所采取的措施和方式。
1.3IT治理方面
整个证券业处于高度信息化的背景下,IT治理已直接影响到行业各公司实现战略目标的可能性,良好的IT治理有助于增强公司灵活性和创新能力,规避IT风险。通过建立IT治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理IT问题,自我评估IT管理效果.可以加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。
2003年lT治理理念引入到我国证券行业,当前我国证券业企业的IT治理存在的问题:一是IT资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是IT治理缺乏明确的概念描述和参数指标;是lT治理的责任与职能不清晰。
1.4网络安全和数据安全方面
随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,2008年我同证券网上交易量比重已超过总交易量的80%。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统安全,成为制约行业平稳、安全发展的障碍。此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,证券行业各机构采取了一系列措施,建立了相对安全的网络安全防护体系和灾舴备份系统,基木保障了信息系统的安全运行。但细追究起来,我国证券行业的网络安全防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据安全重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息安全意识有待提高。
1.5IT人才资源建设方面
近20年的发展历程巾,证券行业对信息系统日益依赖,行业IT队伍此不断发展壮大。据统计,2008年初,在整个证券行业中,103家证券公司共有IT人员7325人,占证券行业从业总人数73990人的9.90%,总体上达到了行业协会的IT治理工作指引中“IT工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。目前,证券行业的IT队伍肩负着信息系统安全、平稳、高效运行的重任,IT队伍建设是行业信息安全IT作的根本保障。但是,IT人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强。
2采取的对策和措施
2.1进一步完善法规和标准体系
首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层:第一层是管理办法等巾同证监会部门规章;第二层是证监会相关部门制定的管理规范等规范性文件;第三层是技术指引等自律规则,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾规范和发展,重视法规的可行性。最后,在法规实施上.要坚持规范和指引相结合,重视监督检查和责任落实。
2.2深入开展证券行业IT治理工作
2.2.1提高IT治理意识
中国证券业协会要进一步加强IT治理理念的教育宣传工作,特别是对会员单位高层领导的IT治理培训,将IT治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的IT治理意识,提高他们IT治理的积极性。
2.2.2通过设立IT治理试点形成以点带面的示范效应
根据IT治理模型的不同特点,建议证券公司在决策层使用CISR模型,通过成立lT治理委员会,建立各部门之间的协调配合、监督制衡的责权体系;在执行层以COBIT模型、ITFL模型等其他模型为补充,规范信息技术部门的各项控制和管理流程。同时,证监会指定一批证券公司和基金公司作为lT试点单位,进行IT治理模型选择、剪裁以及组合的实践探索,形成一批成功实施IT治理的优秀范例,以点带面地提升全行业的治理水平。
2.3通过制定行业标准积极落实信息安全等级保护
行业监管部门在推动行业信息安全等级保护工作中的作用非常关键.应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护丁作,为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求,对照标准逐条落实。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施.且南相芙的监督机构进行督促。
2.4加强网络安全体系规划以提升网络安全防护水平
2.4.1以等级保护为依据进行统筹规划
等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划证券网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决证券行业网络安全问题的一个非常有效的方法。
2.4.2通过加强网络访问控制提高网络防护能力
对向证券行业提供设备、技术和服务的IT公司的资质和诚信加强管理,确保其符合国家、行业技术标准。根据网络隔离要求,要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固.降低系统漏洞带来的安全风险;在网上交易方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使朋的安全性。
2.4.3提高从业人员安全意识和专业水平
目前在证券行业内,从业人员的网络安全意识比较薄弱.必要时可定期对从业人员进行安全意识考核,从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训,提高行业网络安全的管理水平和专业技术水平。
2.5扎实推进行业灾难备份建设
数据的安全对证券行业是至关重要的,数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上,针对自身需要,对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设,以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效.使应急工作与日常工作有机结合。
2.6抓好人才队伍建设
证券行业要采取切实可行的措施,建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来,加强lT人员的岗位技能培训和业务培训,注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念,行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系,对信息技术人员进行科学有效的考评,提升行业人才资源的优化配置和使用效率,促进技术人才结构的涮整和完善。
网络安全治理体系范文第4篇
这些情况,充分说明了一个基本问题:由广义的电信网(包括电信网、广播电视网与互联网)构成的网络空间,已成为人类社会的“第二类生存空间”,网络与信息安全问题更亟须妥善有效的应对,国家的管辖权必须要延伸到网络空间,并确立安全可靠的国家网络空间。
当前,中国通信、互联网及银行使用的大部分软硬件产品,大都来自西方发达国家。与此同时,互联网的出现,促使网络成为受众超过任何媒体、影响力迅速增长的巨大新媒体。根据统计,中国网民已接近6亿,其中手机网民4.64亿,他们已成为与网络互动的自媒体。但同时,互联网也成为以讹传讹的谣言温床,并因为流传速度快,影响面广,对社会秩序造成的影响也越来越大。
此外,全球市场环境正发生重大变革,中国经济发展模式也正由出口外向型转向更多依靠内需,为此,中国正在积极推动信息消费与两化融合,以此拉动国内有效需求,推动产业结构和社会经济转型升级,这也需要更加安全、高效的信息通信网络作为基础支撑。
在这样的形势下,深化电信改革,打造一个高效可靠的国家网络空间治理体系,已经刻不容缓。一是加强政府对通信信息的管理体系是当务之急。
站在国家利益全局的高度,统筹国家优势资源,设计和构建国家统一的网络空间治理体系,强化网络空间的管控能力、网络产业的推动能力、网络国防的支撑能力和网络文化的引导能力等四项能力,应该成为这个治理体系的四项最重要职能。目前,美国电信业是由对国会负责的独立政府机构FCC(美国联邦通讯委员会)管理。相比之下,中国通信信息的管理体系亟待充实。
二是必须实施网业分离,深化国有电信公司改革。
国家控股的电信公司是为各行各业提供基础保障的具有公益特点的部门,应该通过网络、网络基础平台(包括应用基础平台)和电信基础数据,向政府、企业与民众提供安全可靠又廉价的基础服务。但由于同时担负了更多的大众常规通信服务职能,所以电信公司一直不得不在基础服务和市场盈利之间进行艰难平衡。这既增加了管理难度,也让电信公司面临越来越大的挑战。
要解决这个问题,可以着力推动网业分离,电信变身为像水、电、气一样的民生服务提供者,提供电信网络支撑。其他竞争性或服务性的业务,则原则上支持由民企及国有中小企业开拓发展。
此外,基础网络建设应逐步国产化,以华为、中兴等国内企业的硬件设备和国内软件公司研发的国产软件为主,以此为基础打好网络基础设施的安全战。同时加强网络安全的研究与投资,并建立与之配套的扶持政策体系和市场环境。值得注意的是,必须改变电信公司以完成销售收入与利润为中心的运营现状,将电信的基础服务保障作用及安全保障作用,作为企业考核的主要内容。
三是需要在深化电信改革的统一部署下,实现三网融合。
随着互联网技术的飞速进步,传统的电信网与广播电视网将逐步融入新一代的互联网,广播电视系统不应另建一个专用互联网。三网融合的困难是部门利益的分割之争。只有对国家网络空间治理体系进行科学的顶层设计,才能实现在统一网络基础上的职责与业务的合理分工,完成三网融合的重大改革之举。
四是必须在避免重复建设的原则基础上,开展第四代移动通信系统建设。
以第三代移动通信系统投资为参考,若三大电信公司各建一个4G网,总计将投资近万亿人民币。如果广播电视系统从头开始再建一个4G网,则要再增加数千亿。对这样大的投资,应花大力气进行符合科学发展的总体可行性研究。
网络安全治理体系范文第5篇
关键词:证券行业 信息安全 网络安全体系
近年来,我国资本市场发展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成部分,也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业,高度依赖信息技术,而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。
目前.国内外网络信息安全问题日益突出。从资本市场看,近年来,随着市场快速发展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息安全应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息安全事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。
1 证券行业倍息安全现状和存在的问题
1.1行业信息安全法规和标准体系方面
健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成,推动了行业信息化建设和信息安全工作向规范化、标准化迈进。
虽然我国涉及信息安全的规范性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要,行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性差;三是部分规范和标准已不适应,无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到落实。
1.2组织体系与信息安全保障管理模型方面
任何安全管理措施或技术手段都离不开人员的组织和实施,组织体系是信息安全保障工作的核心。目前,证券行业采用“统一组织、分工有序”的信息安全工作体系,分为决策层、管理层、执行层。
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据证监会颁布的《证券期货业信息安全保障管理暂行办法》,参照ISO/IEC27001:2005,提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构.顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息安全保障目标所采取的措施和方式。
1.3 IT治理方面
整个证券业处于高度信息化的背景下,IT治理已直接影响到行业各公司实现战略目标的可能性,良好的IT治理有助于增强公司灵活性和创新能力,规避IT风险。通过建立IT治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理IT问题,自我评估IT管理效果.可以加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。
2003年lT治理理念引入到我国证券行业,当前我国证券业企业的IT治理存在的问题:一是IT资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是IT治理缺乏明确的概念描述和参数指标;是lT治理的责任与职能不清晰。
1.4网络安全和数据安全方面
随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,2008年我同证券网上交易量比重已超过总交易量的80%。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统安全,成为制约行业平稳、安全发展的障碍。此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,证券行业各机构采取了一系列措施,建立了相对安全的网络安全防护体系和灾舴备份系统,基木保障了信息系统的安全运行。但细追究起来,我国证券行业的网络安全防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据安全重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息安全意识有待提高。
1.5 IT人才资源建设方面
近20年的发展历程巾,证券行业对信息系统日益依赖,行业IT队伍此不断发展壮大。据统计,2008年初,在整个证券行业中,103家证券公司共有IT人员7325人,占证券行业从业总人数73990人的9.90%,总体上达到了行业协会的IT治理工作指引中“IT工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。目前,证券行业的IT队伍肩负着信息系统安全、平稳、高效运行的重任,IT队伍建设是行业信息安全IT作的根本保障。但是,IT人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强。
2 采取的对策和措施
2.1进一步完善法规和标准体系
首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层:第一层是管理办法等巾同证监会部门规章;第二层是证监会相关部门制定的管理规范等规范性文件;第三层是技术指引等自律规则,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾规范和发展,重视法规的可行性。最后,在法规实施上.要坚持规范和指引相结合,重视监督检查和责任落实。
2.2深入开展证券行业IT治理工作
2.2.1提高IT治理意识
中国证券业协会要进一步加强IT治理理念的教育宣传工作,特别是对会员单位高层领导的IT治理培训,将IT治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的IT治理意识,提高他们IT治理的积极性。
