国内信息安全管理现状的八个特点

本文节选自雷万云博士新书《信息安全保卫战》第1章

纵观社会生产方式经历的三次变革，从农业时代、工业时代到现在的信息时代。在信息时代，主要是多元的协同化生产方式，通过信息化使分散与集中实现协同发展。随着全球经济一体化的步伐加快，代表着信息时代已悄然而至，云计算是工业化后最重要的一次变革，信息化是世界发展的大趋势。

社会信息化，已成不可阻挡的历史潮流，成为大趋势，引发可怕的信息安全危胁。

信息安全管理现状分析

1、目前我国信息安全管理现状仍还比较混乱，对于国家、行业和企业都普遍缺乏一个战略层面的体系。实际管理力度不够， 政策的执行和监督力度不够。部分规定过分强调部门的自身特点，而忽略了在国际政治经济的大环境下体现中国的特色。 部分规定没有准确地区分技术、管理和法制之间的关系，以管代法，用行政管技术的做法仍较普遍，造成制度的可操作性较差。

2、具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和程序以及相关资源等要素的信息安全管理体系还未建立起来。 

3、具有我国特点的信息安全风险评估标准体系还有待完善，信息安全的需求难以确定，要保护的对象和边界难以确定，缺乏系统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系。

4、信息安全意识缺乏，普遍存在重产品、轻服务，重技术、轻管理的思想。

5、专项经费投入不足，管理人才极度缺乏，基础理论研究和关键技术薄弱，严重依赖国外，对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。

6、技术创新不够，信息安全管理产品水平和质量不高，尤其是以集中配置、集中管理、状态报告和策略互动为主要任务的安全管理平台产品的研究与开发还很落后。

7、缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理机构，致使我国现有的一些信息安全管理方面的法律法规层次不高，真正的法律少，行政规章多，结构不合理，不成体系；执法主体不明确，多头管理，政出多门、各行其是，规则冲突，缺乏可操作性，执行难度较大，有法难依；数量上不够，内容上不完善，制定周期太长，时间上滞后，往往无法可依；监督力度不够，有法不依、执法不严；缺乏专门的信息安全基本大法，如信息安全法和电子商务法等；缺乏民事法方面的立法，如互联网隐私法、互联网名誉权、网络版权保护法等；公民的法律意识较差，执法队伍薄弱，人才匮乏。

8、我国自己制定的信息安全管理标准太少，大多沿用国际标准。在标准的实施过程中，缺乏必要的国家监督管理机制和法律保护，致使有标准企业或用户可以不执行，而执行过程中出现的问题得不到及时、妥善解决。