信息安全保障體系是實(shí)施信息安全保障的法制、組織管理和技術(shù)等層面有機(jī)結(jié)合的整體，是信息社會(huì)國(guó)家安全的基本組成部分，是保證國(guó)家信息化順利進(jìn)行的基礎(chǔ)。2011年3月，工業(yè)和信息化部組織“信息安全保障體系建設(shè)高級(jí)培訓(xùn)班”赴澳大利亞進(jìn)行了為期20天的培訓(xùn)和考察。培訓(xùn)班由工業(yè)和信息化部、部直屬單位、部分省市工業(yè)和信息化主管部門以及國(guó)家發(fā)改委、中國(guó)人民銀行、國(guó)家稅務(wù)總局、中國(guó)保監(jiān)會(huì)等部門負(fù)責(zé)信息安全的人員組成。通過課堂授課和現(xiàn)場(chǎng)交流訪談，我們對(duì)澳大利亞網(wǎng)絡(luò)與信息安全的法律法規(guī)、政策標(biāo)準(zhǔn)、組織管理等情況有了全面的了解。

　　制定國(guó)家信息安全戰(zhàn)略

　　信息安全關(guān)系到國(guó)家安全，必須得到強(qiáng)有力的國(guó)家保障。

　　2009年11月23日，澳大利亞政府發(fā)布了《信息安全戰(zhàn)略》。此份戰(zhàn)略報(bào)告詳細(xì)描述了澳大利亞政府將如何保護(hù)經(jīng)濟(jì)組織、關(guān)鍵基礎(chǔ)設(shè)施、政府機(jī)構(gòu)、企業(yè)和家庭用戶免受網(wǎng)絡(luò)威脅?！缎畔踩珣?zhàn)略》明確提出信息安全政策的目的是維護(hù)安全、恢復(fù)能力強(qiáng)和可信的電子運(yùn)營(yíng)環(huán)境，從而促進(jìn)澳大利亞的國(guó)家安全并從數(shù)字經(jīng)濟(jì)中最大限度地獲取收益。

　　《信息安全戰(zhàn)略》的指導(dǎo)原則包括以下幾個(gè)方面：網(wǎng)絡(luò)安全的復(fù)雜性要求強(qiáng)有力的國(guó)家保障；所有的用戶應(yīng)該采取合理的步驟以確保其個(gè)人系統(tǒng)的安全，并且有義務(wù)尊重其他用戶的信息和系統(tǒng)；在澳大利亞各級(jí)政府、私營(yíng)部門和更廣泛的澳大利亞社區(qū)間形成一種合作伙伴關(guān)系是至關(guān)重要的；鑒于互聯(lián)網(wǎng)的跨國(guó)界特點(diǎn)，澳大利亞必須在網(wǎng)絡(luò)安全國(guó)際參與方面采取一種積極的、多層次的方式；所有接入互聯(lián)網(wǎng)的系統(tǒng)都受到潛在的攻擊威脅，而且這種網(wǎng)絡(luò)攻擊難以偵查，因此必須采取基于風(fēng)險(xiǎn)的方法評(píng)估網(wǎng)絡(luò)安全；澳大利亞必須推行網(wǎng)絡(luò)安全政策，從而在保證澳大利亞人的隱私權(quán)及其他基本價(jià)值觀和自由不受侵犯的同時(shí)，加強(qiáng)個(gè)人及集體安全。

　　澳大利亞政府的信息安全戰(zhàn)略目標(biāo)主要是：讓澳大利亞所有公民都意識(shí)到網(wǎng)絡(luò)風(fēng)險(xiǎn)，確保其計(jì)算機(jī)安全，并采取行動(dòng)確保其身份信息、隱私和網(wǎng)上金融的安全。讓澳大利亞企業(yè)能利用安全、靈活的信息和通信技術(shù)，確保自身操作和客戶身份信息與隱私的完整性。讓澳大利亞政府能確保其信息與通信技術(shù)是安全的且對(duì)風(fēng)險(xiǎn)有抵抗力。

　　澳大利亞政府的信息安全戰(zhàn)略保障重點(diǎn)包括：增強(qiáng)針對(duì)網(wǎng)絡(luò)威脅的探測(cè)、分析及應(yīng)對(duì)，重點(diǎn)關(guān)注政府、關(guān)鍵基礎(chǔ)設(shè)施和其他國(guó)家系統(tǒng)的利益。對(duì)澳大利亞公民提供相關(guān)教育，并提供相應(yīng)的信息、信心和工具以確保其網(wǎng)絡(luò)安全。與商業(yè)伙伴合作，以促進(jìn)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、產(chǎn)品和服務(wù)的安全與靈活性。保持政府ICT系統(tǒng)的最佳運(yùn)行狀態(tài)，包括與政府進(jìn)行網(wǎng)上交易的系統(tǒng)。促進(jìn)全球電子運(yùn)作環(huán)境的安全性、靈活性與可信度，以支持澳大利亞的國(guó)家利益。維護(hù)法律框架和執(zhí)行力的有效性，從而確定并起訴網(wǎng)絡(luò)犯罪。培養(yǎng)具有網(wǎng)絡(luò)安全技能的人才，使之具備研發(fā)能力以開發(fā)出創(chuàng)新的解決方案。

　　建設(shè)信息安全保障體系

　　法律法規(guī)、管理體制、技術(shù)手段等是保障信息安全的關(guān)鍵因素。

　　在澳大利亞信息化快速發(fā)展的同時(shí)，信息安全問題也不斷出現(xiàn)，澳大利亞政府把信息安全問題放在重要位置，從法律法規(guī)、管理體制、技術(shù)手段等方面采取了很多切實(shí)有效的措施。

　　(一)健全法制，完善信息安全有關(guān)法規(guī)標(biāo)準(zhǔn)

　　澳大利亞政府及各部門制定了一系列與信息安全有關(guān)的法律、標(biāo)準(zhǔn)和指南，包括《電信傳輸法》、《反垃圾郵件法》、《數(shù)字保護(hù)法》、《信息安全手冊(cè)》等。2000年，澳政府發(fā)布信息安全風(fēng)險(xiǎn)管理指南，2001年，發(fā)布“保護(hù)國(guó)家信息基礎(chǔ)設(shè)施政策”，即政府信息安全行動(dòng)計(jì)劃，對(duì)澳大利亞關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行保護(hù)。此外，澳大利亞標(biāo)準(zhǔn)局還制定和采納了一系列信息安全標(biāo)準(zhǔn)，主要包括信息安全管理體系標(biāo)準(zhǔn)、澳大利亞和新西蘭信息安全管理標(biāo)準(zhǔn)、澳大利亞聯(lián)邦政府IT安全手冊(cè)、IT安全管理的信息技術(shù)指南等。政府部門都被要求遵循這些標(biāo)準(zhǔn)，執(zhí)行情況由國(guó)家審計(jì)署進(jìn)行審查。

　　(二)理順體制，政府部門協(xié)調(diào)配合各有側(cè)重

　　司法部負(fù)責(zé)政府信息安全保護(hù)的政策制定，國(guó)防部負(fù)責(zé)政府信息通信安全技術(shù)層面上的指導(dǎo)，政府各部門負(fù)責(zé)人負(fù)責(zé)本部門信息安全的保護(hù)，國(guó)家審計(jì)署負(fù)責(zé)各部門信息安全保護(hù)的監(jiān)督和審計(jì)。在各司其職的同時(shí)，澳大利亞還成立一些跨部門的委員會(huì)進(jìn)行工作協(xié)調(diào)。在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面，由司法部下設(shè)的關(guān)鍵基礎(chǔ)設(shè)施咨詢委員會(huì)負(fù)責(zé)協(xié)調(diào)通信、銀行、金融、稅收、交通、能源、衛(wèi)生、食品、供水及應(yīng)急設(shè)施等基礎(chǔ)設(shè)施的信息安全防護(hù)；在防范網(wǎng)絡(luò)恐怖襲擊方面，澳大利亞成立了由聯(lián)邦警察局、安全情報(bào)局、國(guó)防部信號(hào)局和澳大利亞安全和投資委員會(huì)組成的國(guó)家反恐委員會(huì)，負(fù)責(zé)協(xié)調(diào)處理。

　　(三)突出重點(diǎn)，重視政府關(guān)鍵基礎(chǔ)信息保護(hù)

　　澳大利亞在信息安全工作中貫徹重點(diǎn)防護(hù)的原則，即通過政策標(biāo)準(zhǔn)和政府支持，做好政府部門和國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的信息安全保障。澳大利亞安全情報(bào)局確定了通信、銀行、金融、稅收、交通、能源、衛(wèi)生、食品、供水及應(yīng)急設(shè)施等為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施。澳大利亞的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施均是私營(yíng)的，關(guān)鍵基礎(chǔ)設(shè)施的安全由運(yùn)營(yíng)公司負(fù)責(zé)，澳大利亞在政府信息安全行動(dòng)計(jì)劃中提出依靠私營(yíng)部門來保護(hù)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的策略。

　　(四)加強(qiáng)教育，增強(qiáng)全民信息安全保護(hù)意識(shí)

　　澳政府重視全民信息安全意識(shí)的建立，將提高中小企業(yè)和家庭用戶信息安全防護(hù)能力列入政府信息安全行動(dòng)計(jì)劃，并在宣傳、培訓(xùn)方面予以經(jīng)費(fèi)支持。如通過培訓(xùn)提高安全意識(shí)，安裝反病毒軟件并進(jìn)行更新，安裝防火墻防止非法入侵，提醒企業(yè)和市民不要打開有害郵件等。

　　(五)培養(yǎng)人才，建立安全專門人才認(rèn)證體系

　　近年來，澳大利亞信息安全人才的需求不斷上升，但供給短缺。針對(duì)該問題，澳政府在IT教育學(xué)科中增加信息安全教育課程，協(xié)助建立信息安全專業(yè)人員認(rèn)證體系。目前，在澳大利亞普遍采用的主要有6種商業(yè)認(rèn)證項(xiàng)目，分別是信息系統(tǒng)安全專業(yè)人員認(rèn)證、系統(tǒng)安全專業(yè)認(rèn)證、全球信息保證認(rèn)證、信息安全認(rèn)證審計(jì)師、信息安全工程師和安全工程師。

　　(六)重視測(cè)評(píng)，完善信息產(chǎn)品測(cè)評(píng)認(rèn)證體系

　　澳大利亞堅(jiān)持預(yù)防為主的原則，認(rèn)為外國(guó)的軟件、硬件中可能留有“后門缺陷”，要求在購(gòu)買IT產(chǎn)品和安全系統(tǒng)時(shí)進(jìn)行嚴(yán)格審查。1994年，引入信息產(chǎn)品測(cè)評(píng)認(rèn)證制度。1995年前，信息產(chǎn)品的有關(guān)測(cè)評(píng)工作均由國(guó)防部信號(hào)局完成，1995年以后，該項(xiàng)工作委托給信息安全測(cè)評(píng)實(shí)驗(yàn)室(獨(dú)立第三方)，國(guó)防部對(duì)測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員進(jìn)行嚴(yán)格管理。