如何进行信息化风险管理已成为重大问题 （2）

电力18讯：    
四、通过有效的教育和培训提高和强化整个社会的信息化风险管理和安全意识与能力

通过宣传和教育计划提升社会公民、法人和其他组织的风险意识和安全意识；通过专门的教育和训练计划，培养风险管理、安全管理的专门人才以满足信息化发展的需要；通过教育和训练计划提高现有管理者的风险管理、安全管理的知识和能力；鼓励企业、社会组织开展风险管理、安全管理的专业人员的培训和资格认证。




五、强化信息化相关的立法，建立有效的管制机制，以防止和化解信息化的风险

从目前的情况来看，最迫切的工作便是加强以下方面的立法工作，《电子交易法和电子商务法》、《信息安全管理法》、《支付系统安全法》、《隐私法》、《网络犯罪法》、《重要和敏感性信息保护法》、《重要信息基础设施保护法》等的立法都与信息化的安全以及风险管理有着十分密切的关系。

六、建立健全国家信息化的技术安全平台，通过安全技术的发展保障信息化系统的安全

从国际经验而言，主要包括：访问控制(Access control)，系统完整性控制(System integrity)，密码控制(Cryptography)，审计和监控(Audit and monitoring)，配置管理和保证(Configuration management and assurance)等技术。

七、采取有效的措施，确保敏感性信息和国家重要信息基础设施的安全

政府要进行敏感性信息的分类，并加强管理，以防止敏感性信息被恶意者所利用。维护重要的信息基础设施的安全，应该成为信息化风险管理的重点所在。

八、保障政府系统的安全

在信息化的过程中，政府的首要责任在于保障自身系统的安全。在这方面，首先是加强领导、健全组织、明确责任，各级政府及其部门都要建立IT治理结构，并在此结构中把安全治理结构作为重要的组成部分；其次，要制定网络安全的战略、政策和具体措施，并保证他们能够得到有效的实施；其三，要对政府系统所面对的威胁以及系统的问题进行不断的评估，以做出有效的回应和解决。

九、建立国家网络空间安全的危机管理系统

网络空间的危机管理系统的主要职责在于：分析与评价，对网络空间可能出现的各种风险、威胁、攻击进行分析与评价；预防与预警；进行网络安全事故的管理；回应各种网络安全事变，并且恢复和确保网络空间以及重要的信息基础设施的正常运转。

十、通过信息的共享和广泛的合作，化解信息化的风险

确认风险和威胁，并且及时向社会披露，共享有关风险和威胁的信息，可以有效地化解风险。网络世界是跨越国界的。因此，国际社会之间的合作，包括政府之间，政府与国际组织之间，政府与民间组织的合作也是有效化解信息化风险的途径。