制定了一系列必需的信息安全管理的法律法规。从20世纪90年代初起，为配合信息安全管理的需要，国家相关部门、行业和地方政府相继制定了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《电子签名法》等有关信息安全管理的法律法规文件。
    开展了信息安全风险评估工作，并作为信息安全管理的核心工作之一，由国家信息中心组织先后对四个地区(北京、广州、深圳和上海)，十几个行业的50 多家单位进行了深入细致的调查与研究，最终形成了《信息安全风险评估调查报告》、《信息安全风险评估研究报告》和《关于加强信息安全风险评估工作的建议》。制定了《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）。
    目前我国在信息安全方面存在的问题主要包括：
    Ø 信息安全管理比较混乱，缺乏国家层面上权威、统一的整体组织和策略，缺乏专门的组织、规划、管理和实施协调的立法管理机构，执法主体不明确，多头管理，规则冲突，可操作性差，执行难度较大。实际管理、政策执行和监督力度不够；
    Ø 具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和程序及相关资源等要素的信息安全管理体系尚未建立起来。为了推动等级保护工作的持续发展和深化落实，我们急需提出清晰的等级保护工作和标准体系，准备好评估检查的能力；
    Ø 具有我国特点的信息安全风险评估标准体系有待完善，信息安全的需求过于抽象，缺乏系统、全面的信息安全风险评估和评价体系，以及全面、完善的信息安全保障体系；
    Ø 信息安全意识缺乏，普遍存在重产品、轻服务，重技术、轻管理的思想；
    Ø 专项经费投入不足，管理人才缺乏，基础理论和关键技术研究、标准制定能力薄弱，严重依靠国外，在国际上缺乏话语权；
    Ø 整体安全防范技术水平低下，尤其是核心技术方面（如：CPU 和操作系统），技术创新不够，信息安全管理产品水平和质量不高；
    Ø 缺乏支撑信息安全管理标准落地的有效手段。
    总的来说，我国政府信息系统的安全现状不容乐观，政府信息系统存在很多安全隐患。与西方发达国家相比，我国的信息安全起步很晚，政府部门和民众对网络认识不深，政府部门对信息系统安全重视程度不够，安全意识淡薄，信息系统的网络与信息安全防护能力仍处于“初级阶段”，甚至许多外网网站处于“不设防”状态。

    四、 启示
    我国在政府信息系统安全管理方面开展工作的时间不长，相关经验不多，许多应建立的规章制度还在摸索之中。通过对美、俄、德、日以及我国信息安全现状特点及存在问题的分析，在我国政府信息系统信息安全体系建设中得到以下启示：
    Ø 重视管理机制和制度建设
    政府信息安全问题的解决，具有很强的综合性和系统性，它不仅是技术问题，还是管理问题。我们需要尽快建立国家层面上权威、统一的信息安全整体组织和策略，确定信息安全专门的组织、规划、管理和实施协调的立法管理机构，对信息安全进行有序管理，提高信息安全管理、政策执行和监督的力度。
    Ø 完善标准法规体系
    为了使政府信息安全管理工作规范化和制度化，应加强立法，制定国家信息安全保障战略计划，并建立具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和程序及相关资源等要素的信息安全管理体系，建立清晰的等级保护工作和标准体系，准备好评估检查的能力，推动等级保护工作的持续发展和深化落实。
    Ø 加强信息安全意识培训
    建立政府信息安全意识及其培训系统：制定广泛的安全意识项目来促使相关人员注意保护各自的信息安全，提供足够的培训和教育项目以支持政府信息安全的需要，提高信息安全培训项目的效率。
    Ø 加强自主创新
    在安全体系结构研究的基础上走符合我国国情的发展道路，加大专项经费投入，积极开展技术创新，开发具有我国自主知识产权的CPU 、操作系统和数据库管理系统，形成自己的核心技术，摆脱被牵着鼻子走的状况。
    提高管理人员水平，加强基础理论和关键技术研究，形成我国自主知识产权的相关标准，包括：通用软件和设备相关的安全规范和标准，以及专用应用软件和系统从功能、防护机制、防护手段、安全配制等方面的详细标准，以便安全标准进一步地落地，争取我国信息安全在国际上的话语权。
    借鉴美国FISMA落地的经验，尽快组织研究开发适合我国国情的自动化工具和标准支撑库，提高政府信息系统信息安全工作的执行力，形成政府信息系统信息安全工作的常态化。

参考文献
[1] 张术松，信息化时代的美国政府信息系统[J]．理论建设，2007
[2] 汤利利，电子政务信息安全探析[J]．电脑知识与技术（学术交流），2007,（08）
[3] 沈昌祥，俄罗斯信息安全概况及启示．计算机安全
[4] 杨颖，电子政务的信息安全如何实现[J]．网络安全技术与应用，2006，（04）
[5] 孙宁，日本国家信息安全体制现状．网络安全技术与应用，2004
[6] 李冬冬　童新海　王雄，构建电子政务信息安全保障体系的研究[J]．微型机与应用，2007
[7] NIST SP 800-70. Revision 1 (Draft) National Checklist Program for IT Products—Guidelines for Checklist Users and Developers (Draft)，September 2008

(责任编辑：adminadmin2008)