前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網絡安全治理體系范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

網絡安全治理體系范文第1篇

【關鍵詞】網絡服務提供者；版權；侵權責任；責任限制

一、網絡服務提供者的侵權歸責原則

網絡服務提供者，即網絡服務提供商，泛指為網絡用戶提供硬件設施接入服務、主機存儲服務、信息定位服務和平臺管理服務的一切個體和組織。它主要包括兩類主體：網絡內容提供商和網絡中介服務商。網絡服務提供者是指“經過有關機構認可的、有目的地選擇信息（網絡版權法律關系中專指作品），并利用網絡向不特定對象提供的主體。”[1]網絡中介服務商又可以細分為網絡基礎通訊服務者、接入服務提供者、信息搜索工具提供者。

以當事人是否具有主觀過錯為區分標準，可以將網絡服務提供商的歸責原則分為：過錯責任和無過錯責任。網絡內容提供者對信息內容具有編輯和控制的能力，對其應該適用無過錯責任原則。

二、網絡服務提供者的侵權形態及案例評析

在版權理論中，一直存在著“直接侵權”和“間接侵權”的劃分。[2]“直接侵權“是指既未經版權人授權，也不符合”合理使用“或者”法定許可等法定情形，實施受版權人專有版權控制的直接涉及作品的行為，如復制、發行、表演和改編作品等。[3]間接侵權人的行為沒有直接涉及到受版權直接保護的作品或者受鄰接權直接保護的作品，而是因為其行為為版權直接侵權行為提供了便利條件，協助了他人的直接侵權，行為人有意或無意參與了版權侵權活動，從而侵害了版權人或者鄰接權人所謂合法權益。[4]網絡內容提供商往往需要承擔直接的侵權責任，而網絡中介服務商往往只承擔版權侵權的間接責任。

（一）網絡服務提供商承擔間接侵權責任的前提是“授權”侵權。

認定是否“授權”有三個要件：阻止版權侵權能力的大小；與侵權人之間的關系的性質；是否采取了合理措施來防止或避免版權侵權行為的發生。

2010年2月，被視為澳大利亞“向公眾傳播權侵權案里程碑”的羅德秀電影公司訴iiNet案一審作出判決。[5]好萊塢環球電影公司等34家電影公司于2008年11月向澳大利亞聯邦法院提訟，訴稱被告澳大利亞第三大網絡服務提供商iiNet未經原告許可授權復制及向公眾傳播被告享有版權的電影作品，沒有阻止用戶非法下載文件，從而侵犯了他們的電影版權。但澳大利亞聯邦法院認為網絡服務提供商只提供“合法傳播設備”，不構成“授權”侵權，無須對用戶的侵權行為承擔間接責任。

iiNet作為網絡服務提供商，發現了侵權行為并且沒有采取相應的措施阻止這一侵權行為的發生，但是這些證據不足以構成對它的侵權指控。諸如iiNet這樣的網絡服務提供商提供了合法的通信設備，而這并不是為了也沒有打算侵犯任何人或機構的版權。只有啟用了BitTorrent這類應用程序，侵權行為才有可能出現，而iiNet卻無法阻止客戶使用這一應用程序，也就是說，iiNet沒有能力阻止用戶的非法下載活動。盡管iiNet知道用戶的侵權活動，但這并不意味著iiNet授權用戶從事侵權活動，無須對此承擔責任。

（二）網絡中介服務商適用過錯責任順應網絡產業發展的趨勢，無論對其要求多么嚴格的責任，其前提是不能超越網絡服務提供者的實際監控能力，主觀上有侵權過錯是承擔侵權責任的條件之一。

國際唱片公司訴百度案。[6]2005年7月，百代、華納等七家國際唱片公司以百度在搜索頁面上提供了部分未授權的MP3下載鏈接為由，將百度告上法庭。法院認為，搜索引擎服務旨在幫助網民迅速地定位其所需要的信息，百度公司提供的MP3搜索引擎服務是以互聯網中的音樂數據格式文件為對象的，其搜索范圍遍及整個互聯網中未被禁鏈的每一個網點，并受控于上載作品的網站。本案中，原告并未盡到相應的通知義務，而且百度提供的MP3搜索服務并無侵權故意，即不存在侵權的主觀過錯。

2007年4月24日，北京市第二中級人民法院對11大唱片公司[7]訴北京阿里巴巴信息技術有限公司侵犯著作權鄰接權（信息網絡傳播權）一案作出一審判決，雅虎敗訴?！把呕浮币粚徟袥Q認為：“原告曾于2006年4月10日和7月4日分別向被告（雅虎）發函，告知其侵權事實的存在并提供相關內容。而被告僅刪除了原告提供了具體URL地址的三個侵權搜索鏈接，怠于行使刪除與涉案歌曲有關的其他侵權搜索鏈接的義務，放任涉案侵權結果的發生，其主觀上具有過錯，屬于通過網絡幫助他人實施侵權的行為，應當承擔相應侵權責任?！盵8]

雅虎案涉及的法律問題與此前發生的“七大唱片公司訴百度案”基本相同，都是網絡服務商對侵權歌曲文件提供鏈接是否應當承擔侵權責任，但兩案的一審判決結果卻截然相反。這一差異的關鍵在于“雅虎案”中的原告應用了合理的訴訟策略――將被告提供鏈接的行為構成幫助侵權列為訴因之一。雅虎案的爭議焦點在于，雅虎中國網是否明知或應知服務對象提供的錄音錄像制品侵權。如果其不知道也沒有合理的理由應當知道服務對象提供的錄音錄像制品侵權，并且同時具備了信息網絡傳播權保護條例第二十二條規定的5項免責條件，就不承擔責任；反之，則必須承擔責任。而一審法院認定被告“應知”其網站中存在指向侵權歌曲文件的鏈接而不刪除，主觀上存在過錯，構成幫助侵權。本案的判決說明法院不但接受了“間接侵權”的基本規則，而且對其的應用已日趨成熟，對于在網絡環境中合理地保護著作權，并推動立法的發展具有重大意義。

（三）過錯認定中明知或應知的對象應當是對特定作品的特定侵權行為。

僅僅一般性地知道網站中普遍存在此類侵權行為是不足以認定“明知或應知”的。

Viacom International Inc訴youtube案。[9]YouTube是美國著名的視頻分享網站，許多用戶未經許可，將受版權保護的影視劇或音樂電視MV片斷上傳到該網站。視頻傳媒公司Viacom及其四家附屬公司于2007年，認為YouTube構成直接侵權、引誘侵權、幫助侵權和承擔替代責任。法院最終判決駁回原告的訴訟請求。

本案爭議的焦點在于，YouTube作為信息存儲空間服務提供者，能否根據《千禧年數字版權法》（以下簡稱DMCA）第512條規定的“避風港”免責。而判斷其能夠免責的關鍵，又在于對512條中有關過錯規定的理解。在本案中，原告發送了附有侵權視頻網址的大量通知（約10萬個），而YouTube對其都及時進行了刪除。但原告指稱YouTube只刪除了通知中指明的特定視頻片斷，而沒有將侵犯同一部作品版權的其他所有視頻片斷都進行刪除。由于法院認定YouTube并不明知或應知那些侵犯原告版權的行為，法院駁回了原告要求的訴訟請求。

在YouTube案中，網站中不存在“影視”頻道或各類影視分類或榜單，視頻不超過10分鐘，即使該視頻與影視劇同名，也有可能是權利人允許免費傳播的片花或宣傳片。如果YouTube要發現侵權視頻，除了使用專業過濾技術之外，唯一的方法就是進行逐一審核，其不但沒有法定的審核義務，而且這樣做也超出了其承受能力。YouTube案判決書中關于權利人的通知必須能夠使服務提供者準確定位侵權內容的要求也是合理的。如果權利人僅僅發送影視劇或MV名稱，而YouTube不加區別地全部刪除，則可能會將大量沒有侵權的宣傳片花、預告片刪除掉?？梢?，網站中客觀存在著大量侵權內容或鏈接，服務提供者也并不僅因此就應當主動查找侵權內容。只有在指示侵權內容的情形能夠明顯為服務提供者所見時，服務提供者才有義務及時采取措施，避免侵權內容的進一步傳播。

三、啟示

從以上幾個案例來看，網絡服務提供者在網絡版權侵權糾紛解決中地位應該是被動的和中介性的，原則上不具有監控義務，法律將發現網絡版權侵權的任務主要放在版權人身上，所以其通常是被動地接受版權人的通知，才制止版權侵權行為。正如前述案例中，如果權利人認為搜索引擎服務所涉及的錄音制品侵犯了其權利，可以向搜索引擎服務提供商提交書面通知，要求斷開與該制品的鏈接，通知中應當明確告知侵權網站的網址。

從有利于網絡業發展的角度出發，應當對網絡中介服務商的版權侵權責任進行限制，除此之外，還要考慮到上述被動性的特點，將主觀過錯以及對侵權行為的控制能力納入責任限制的考慮范圍當中。

參考文獻：

[1]叢立先.網絡版權問題研究[M].武漢大學出版社,2007.

[2]曹錚,傅文卿,黃蕊.互聯網流量成分及運營策略分析[J].中國新通信,2006(3).

[3]王遷.論版權“間接侵權”及其規則的法定化[J].法學,2005(12):66.

[4]楚永.P2P服務提供者版權侵權責任研究[D].吉林大學碩士學位論文.

[5]訪問時間:2011年1月28日22:13.

[7]十一家國際知名公司為環球音樂集團,華納音樂集團,EMI唱片集團,索尼博德曼音樂娛樂集團四大唱片集團旗下的11家唱片公司.

[8]北京市第二中級人民法院(2007)二中民初字第02621――02631號民事判決書.

網絡安全治理體系范文第2篇

一、網絡安全人才隊伍建設的重要性

（一）網絡安全人才是保障經濟安全的基礎

由于信息網絡技術的迅速普及， 經濟發展與信息技術的發展息息相關， 在生產、分配、消費的每一個環節中都伴隨著信息的獲取、加工、傳輸、儲存。世界各地的企業利用網絡來發現新市場，開拓新產業，在全球范圍內加速了商品和服務貿易，有力地促進了全球經濟發展。我國各行各業對信息網絡系統的依賴程度越來越高， 越來越多的公共服務、商業和經濟活動基礎設施與互聯網相連，這種高度依賴性將使經濟變得十分“脆弱”。一旦信息網絡系統受到攻擊， 不能正常運行或陷入癱瘓時， 就會使整個經濟運行陷入危機。而且網絡犯罪對各國經濟安全造成的危害難以估量，規模龐大的全球黑客產業鏈和地下經濟吞食著各國經濟利益。保障經濟安全需要加強安全管理，安全管理的關鍵是網絡安全人才的培養和儲備。

（二）我國網絡空間安全形勢非常嚴峻

根據國家互聯網應急中心的數據，中國遭受境外網絡攻擊的情況日趨嚴重，主要體現在兩個方面：一是網站被境外入侵篡改，二是網站被境外入侵并安插后門。2012年網站被植入后門等隱蔽性攻擊事件呈增長態勢，網站用戶信息成為黑客竊取重點。2012年，國家互聯網應急中心共監測發現我國境內52324個網站被植入后門，較2011年月均分別增長213.7%和93.1%。2013年前兩個月，境外6747臺木馬或僵尸網絡控制服務器控制了中國境內190萬余臺主機，境外5324臺主機通過植入后門對中國境內11421個網站實施遠程控制，我國網絡銀行和工業控制系統安全受到的威脅顯著上升。發起網絡攻擊的既可能是國家，也可能是、網絡犯罪集團、商業機構、個體網民等“非國家行為體”，網絡安全威脅日益增加，需要大量的網絡信息安全人才應對威脅。

（三）全球已經進入網絡戰爭時代

網絡空間正在成為軍事戰略的重要資源，伴隨著世界軍事網絡的發展步伐，網絡技術的軍事運用呈現“井噴”之勢，“網軍”已經整裝待命。2009年，網絡安全公司麥克菲報告稱，全球已經進入網絡戰爭時代。在信息戰的大背景下，數千年沿襲下來的“短兵相接”戰爭局面將不再重要，網絡成為實現國家安全利益的重要利器，爆發網絡空間沖突的可能性在加大。2010年底，名為“震網”的蠕蟲病毒曾襲擊了伊朗核設施的電腦網絡，這被認為是美國開展網絡戰的重要實踐。2012年伊朗遭受名為“火焰”的網絡病毒襲擊后，以色列國防部長巴拉克高調宣布將“網絡戰”作為攻擊手段，以色列的證交所、銀行也曾多次遭遇來自阿拉伯國家的網絡襲擊。各國政府迫切需要受過專門訓練的人才，對抗網絡軍事入侵，并維護國家網絡安全。

二、我國互聯網安全人才隊伍建設存在的問題和原因

（一）問題

1、精通信息安全理論和核心技術的尖端人才缺乏

目前，我國網民數量超過5億，互聯網應用規模達到世界第二位，已成為互聯網大國。但整體上看，我國難以稱得上是互聯網強國，在互聯網產業的硬件、軟件、網絡模式等方面均處于劣勢，主流產品依賴國外進口，基礎信息骨干網絡70%—80%設備來自于思科，幾乎所有超級核心節點、國際交換節點、國際匯聚節點和互聯互通節點都由思科掌握。主流核心產品提供商中，外資企業或外資控制的企業占據主導地位，特別是第一代互聯網（IPv4）的13臺根服務器主要由美、日、英等國家管理，中國沒有自己的根服務器，網絡信息安全面臨著嚴重威脅。我國主導信息安全問題較為困難，互聯網信息安全防范能力，遠低于歐美等發達國家。主流產品對國外公司的依賴源于我國自主研發能力弱，缺乏掌握核心技術的高端互聯網產業人才。

2、互聯網信息安全人才供需不平衡

國際數據公司的報告顯示，到2013年，全球新增的IT工作職位將達到580萬個，僅在亞太地區就將新增280萬個崗位，其中安全方面的投入和人才需求占有較大的比例。2012年11月底，工信部中國電子信息產業發展研究院數據顯示，我國共培養信息安全專業人才約4萬多人，與各行業對信息安全人才的實際需求量之間存在50萬人的差距。與全球對信息安全人才的需求相比，我國面臨著巨大的缺口，網絡安全人才需求更為緊迫。高等院校中優秀的信息安全師資力量缺乏，高校對于信息安全教學人才非常渴求，這些現狀都反映社會需求與人才供給間還存在著巨大差距，人才問題已經成為當前制約信息安全產業發展的主要瓶頸。

3、信息安全人員綜合素質有待提高

任何一種安全產品所能提供的服務都是有限的，也是不全面的，要有效發揮操作系統、應用軟件和信息安全產品的安全功能，需要專業信息安全人員的參與，并發揮主要作用。但目前信息安全人員多數為其他崗位人員兼任，且非信息安全專業人才，通常是在進入崗位后根據職能要求，逐步熟悉、掌握信息安全技術知識，雖然具備了一定的信息安全技術與管理能力，但普遍存在安全知識零散、管理不成體系等先天性不足。在當今飛速發展的信息安全領域，非專職信息安全人員在忙于眾多事務管理的同時，難以持續關注、跟蹤最新的信息安全技術發展趨勢和國家、行業的政策、規范、標準等最新要求及實施情況，缺乏知識儲備和經驗積累，造成缺乏懂技術、會管理和熟悉業務的信息安全人才。

（二）原因

1、信息安全學科人才培養體系還不完善

我國已把信息安全人才培養作為信息安全保障體系的重要支撐部分，尤其把培養高等級人才、擴大碩士博士教學放在重要方面。教育部共批準全國70所高校設置了80個信息安全類本科專業。但是信息安全專業起步較晚，培養體系跟別的學科和行業還有差距，人才培養計劃、課程體系和教育體系還不完善，實驗條件落后，專業課程內容稍顯滯后，專業教師隊伍知識結構需不斷更新，信息安全人才缺少能力培養。急迫需要國家政策支持信息安全師資隊伍、專業院系、學科體系、重點實驗室建設。

2、網絡信息安全人才認證培訓不規范

我國對網絡安全人才的培養主要是通過學歷教育和認證培訓兩種方法，網絡安全技術人才的培訓和認證主要有IT行業的CISP認證、NCSE認證等，培養網絡安全員和網絡安全工程師。這對彌補基礎網絡安全人才不足，培養應用型人才較為實用，但IT行業培訓和認證常缺乏必要的計算機理論基礎和系統性知識，小批量、短期的培訓往往形不成規模，仍無法填補網絡安全人才的巨大缺口。

3、信息安全組織架構不健全

信息安全是在信息化進程中快速發展起來的，但在信息技術快速發展與信息安全知識快速更新的情況下，由于在政府部門、企事業單位中信息安全組織架構不健全，未能完成信息安全人才的培養與儲備。造成當前信息安全人才與實際信息安全工作技能要求的脫節，以及部分領域信息安全人才的缺失，信息安全保障工作難以落地。

4、信息安全人才缺乏激勵機制

信息安全保障工作的后臺性使信息安全管理人員的工作績效得不到完整的體現，在實際工作中甚至遇到其他業務管理人員的不理解或不配合，造成真正的人才反而評價不高。由于缺乏有效的激勵機制與人才評價機制，挫傷了人才的積極性。

三、網絡信息安全人才隊伍建設政策建議

（一）制定網絡空間安全人才規劃

國家制定《互聯網空間安全人才戰略規劃》，明確戰略目標和戰術目標，增強公眾網絡行為風險意識，擴大支持國家網絡安全人才儲備，開發和培養一支國際頂尖的網絡安全工作隊伍，建立一個安全的數字化中國；啟動《國家網絡空間安全教育計劃》，期望通過國家的整體布局和行動，在信息安全常識普及、正規學歷教育、職業化培訓和認證三方面開展系統化、規范化的強化工作，來全面提高我國信息安全能力；制定《網絡空間安全人才隊伍框架》，統一規范網絡空間安全人才專業范疇、職業路徑，及其崗位能力和資格認證等。

（二）健全網絡信息安全組織架構

網絡信息安全涉及網絡、主機、應用、數據等多方面，管理要素多、專業性強，組織開展信息安全保障工作需要建立一套完整的信息安全組織架構體系。在各級政府機關、企事業單位組織架構中應成立專職的信息安全主管部門，負責編制信息安全規劃，指導信息安全建設，制定信息安全總體策略，監督檢查信息安全管理與技術防護情況。各業務部門應配備兼職或專職信息安全員，負責本部門業務應用中的信息安全保障工作。同時還應根據不同崗位要求著力培養信息安全人才，特別是懂業務、經驗豐富的高端技術與管理人才。

（三）構建網絡安全治理體系

構建網絡安全治理體系是確保各項規范、標準和制度落地的重要保障。網絡安全治理體系包括安全管理體系和安全技術體系。安全管理體系明確各部門在網絡安全規劃、建設、運行維護和改進完善等階段的工作任務、要求和責任。安全技術體系根據網絡安全涉及的不同環節從網絡、主機、數據、應用等方面實施相應的安全技術措施。針對不同崗位要求選擇合適的人才，在確保合規性的基礎上，根據需求，引入外部力量提供專業化的安全技術支撐，彌補現有人才數量與結構的不足。

（四）推動產學研相結合培養網絡安全人才模式

以企業需求為導向，大力推動產學研相結合的培養模式。借助企業中的國家級和部級重點實驗室、國家級科研項目等科研平臺，使得優秀學生能夠隨時隨地直接參與各類科研項目；讓本科生和研究生進入實習實訓基地，為培養動手能力很強的一流信息安全人才提供良好條件；將教學任務融入到科研工作之中，以科研項目的形式來建設信息安全本科教育專業實驗室。在信息安全實踐過程中培養技術人才，培養學生具有較強的綜合業務素質、創新與實踐能力、法律意識、奉獻精神、社會適應能力，形成能夠滿足各方面需求的信息安全人才就業體系。

（五）形成完整網絡安全人才培育體系

要建立并完善以高等學歷教育為主，以中等職業教育、業余培訓、職業培訓和各種認證培訓為輔的網絡安全人才培養體系。加強信息安全學科的重要性是保障人才培養的第一步，應該把信息安全學科提升為一級學科。政府在認證培訓方面加強立法，立法內容應該涉及到認證培訓的教學體系和內容，培訓時間和考試管理辦法，還應該規定哪些崗位的人員必須持什么樣的證書，以及接受培訓人員的管理等。

（六）加大網絡安全人才培養項目投入

1、推動各種網絡安全人才計劃

從2010年開始，教育部就啟動了“卓越工程師教育培養計劃”，旨在造就一大批創新能力強、適應經濟社會發展需要的高質量各類型工程技術人才。應繼續加大在這方面人才計劃的投入力度和支持范圍。

2、擴大獎學金資助范圍

推動“信息安全保障獎學金計劃”，選拔優秀網絡安全人才納入資助培養計劃，資助信息安全專業的本科生與研究生，并在其畢業后安排至關鍵崗位工作。建立網絡安全“生態系統”概念，人才從娃娃抓起，網絡安全要進入中小學教學課程，積極向中小學拓展信息網絡安全教育，提升中學生對于網絡安全的認知，為選拔網絡人才打下堅實基礎。

3、營造網絡競爭與對抗氛圍

政府聯合地方部門或企業，舉辦網絡攻防競賽與對抗演習，通過實戰化競爭來甄選、培養、鍛煉未來的網絡安全精英。主要有4種方式：直接組織的網絡公開賽，企業出資贊助的高校網絡聯賽，軍方直接組織網絡演習，推出網絡快速追蹤計劃，甄選民間優秀網絡人才，以簽訂商業合同的方式，讓網絡攻防技能出色的小企業和個人參與其短期項目，從而將民間網絡黑客力量也納入其網絡人才隊伍。

4、加大互聯網安全基礎研究投入

目前信息產業正處于技術變革的前沿，大數據時代即將到來，并可能帶來新的經濟繁榮周期。我國應該加大對信息產業的投入，特別是增加相關基礎研究的投入，大力培養互聯網信息安全人才，發展具有自主知識產權的軟件與計算機硬件研發，創新機制支持新技術應用，為確保我國未來網絡信息安全提供技術支撐。

（七）完善激勵和培訓制度，激發工作積極性

網絡安全治理體系范文第3篇

關鍵詞：證券行業信息安全網絡安全體系

近年來，我國資本市場發展迅速，市場規模不斷擴大，社會影響力不斷增強．成為國民經濟巾的重要組成部分，也成為老百姓重要的投資理財渠道。資本市場的穩定健康發展，關系著億萬投資者的切身利益，關系著社會穩定和國家金融安全的大局。證券行業作為金融服務業，高度依賴信息技術，而信息安全是維護資本市場穩定的前提和基礎。沒有信息安全就沒有資本市場的穩定。

目前．國內外網絡信息安全問題日益突出。從資本市場看，近年來，隨著市場快速發展，改革創新深入推進，市場交易模式日趨集巾化，業務處理邏輯日益復雜化，網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強，交易時問內一刻也不能中斷。加強信息安全應急丁作，積極采取預防、預警措施，快速、穩妥地處置信息安全事件，盡力減少事故損失，全力維護交易正常，對于資本市場來說至關重要。

1證券行業倍息安全現狀和存在的問題

1．1行業信息安全法規和標準體系方面

健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行，中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成，推動了行業信息化建設和信息安全工作向規范化、標準化邁進。

雖然我國涉及信息安全的規范性文件眾多，但在現行的法律法規中。立法主體較多，法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要，行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后，缺乏總體規劃；二是規范和標準互通性和協調性不強，部分規范和標準的可執行性差；三是部分規范和標準已不適應，無法應對某些新型信息安全的威脅；四是部分信息安全規范和標準在行業內難以得到落實。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術手段都離不開人員的組織和實施，組織體系是信息安全保障工作的核心。目前，證券行業采用“統一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執行層。

為加強證券期貨業信息安全保障工作的組織協調，建立健全信息安全管理制度和運行機制，切實提高行業信息安全保障工作水平，根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》，參照ISO／IEC27001：2005，提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構．頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性)，正面是行業組織結構．側面是各個機構為實現信息安全保障目標所采取的措施和方式。

1．3IT治理方面

整個證券業處于高度信息化的背景下，IT治理已直接影響到行業各公司實現戰略目標的可能性，良好的IT治理有助于增強公司靈活性和創新能力，規避IT風險。通過建立IT治理機制，可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理IT問題，自我評估IT管理效果．可以加強對信息化項目的有效管理，保證信息化項目建設的質量和應用效果，使有限的投入取得更大的績效。

2003年lT治理理念引入到我國證券行業，當前我國證券業企業的IT治理存在的問題：一是IT資源在公司的戰略資產中的地位受到高層重視，但具體情況不清楚；二是IT治理缺乏明確的概念描述和參數指標；是lT治理的責任與職能不清晰。

1．4網絡安全和數據安全方面

隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性，網上交易正逐漸成為證券投資者交易的主流模式。據統計，2008年我同證券網上交易量比重已超過總交易量的80％。雖然交易系統與互聯網的連接，方便了投資者。但由于互聯網的開放性，來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件，都時刻威脅著行業的信息系統安全，成為制約行業平穩、安全發展的障礙。此，維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來，證券行業各機構采取了一系列措施，建立了相對安全的網絡安全防護體系和災舴備份系統，基木保障了信息系統的安全運行。但細追究起來，我國證券行業的網絡安全防護體系及災備系統建設還不夠完善，還存存以下幾方面的問題：一是網絡安全防護體系缺乏統一的規劃；二是網絡訪問控制措施有待完善；三是網上交易防護能力有待加強；四是對數據安全重視不夠，數據備份措施有待改進；五是技術人員的專業能力和信息安全意識有待提高。

1．5IT人才資源建設方面

近20年的發展歷程巾，證券行業對信息系統日益依賴，行業IT隊伍此不斷發展壯大。據統計，2008年初，在整個證券行業中，103家證券公司共有IT人員7325人，占證券行業從業總人數73990人的9．90％，總體上達到了行業協會的IT治理工作指引中“IT工作人員總數原則上應不少于公司員工總人數的6％”的最低要求。目前，證券行業的IT隊伍肩負著信息系統安全、平穩、高效運行的重任，IT隊伍建設是行業信息安全IT作的根本保障。但是，IT人才隊伍依然存在著結構不合理、后續教育不足等問題，此行業的人才培養有待加強。

2采取的對策和措施

2．1進一步完善法規和標準體系

首先，在法規規劃上，要統籌兼顧，制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃；二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層：第一層是管理辦法等巾同證監會部門規章；第二層是證監會相關部門制定的管理規范等規范性文件；第三層是技術指引等自律規則，一般由交易所、行業協會在證監會總體協調下組織制定。其次，在法規制定上．要兼顧規范和發展，重視法規的可行性。最后，在法規實施上．要堅持規范和指引相結合，重視監督檢查和責任落實。

2．2深入開展證券行業IT治理工作

2．2．1提高IT治理意識

中國證券業協會要進一步加強IT治理理念的教育宣傳工作，特別是對會員單位高層領導的IT治理培訓，將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的IT治理意識，提高他們IT治理的積極性。

2．2．2通過設立IT治理試點形成以點帶面的示范效應

根據IT治理模型的不同特點，建議證券公司在決策層使用CISR模型，通過成立lT治理委員會，建立各部門之間的協調配合、監督制衡的責權體系；在執行層以COBIT模型、ITFL模型等其他模型為補充，規范信息技術部門的各項控制和管理流程。同時，證監會指定一批證券公司和基金公司作為lT試點單位，進行IT治理模型選擇、剪裁以及組合的實踐探索，形成一批成功實施IT治理的優秀范例，以點帶面地提升全行業的治理水平。

2．3通過制定行業標準積極落實信息安全等級保護

行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵．應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制，統一部署、組織行業的等級保護丁作，為該項丁作的順利開展提供組織保證。行業各機構應采取自主貫徹信息系統等級保護的行業要求，對照標準逐條落實。同時，應對各單位實施信息系統安全等級保護情況進行測評，在測評環節一旦發現信息系統的不足，被測評單位應立即制定相應的整改方案并實施．且南相芙的監督機構進行督促。

2．4加強網絡安全體系規劃以提升網絡安全防護水平

2．4．1以等級保護為依據進行統籌規劃

等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度，通過將等級化的方法和安全體系規劃有效結合，統籌規劃證券網絡安全體系的建設，建立一套信息安全保障體系，將是系統化地解決證券行業網絡安全問題的一個非常有效的方法。

2．4．2通過加強網絡訪問控制提高網絡防護能力

對向證券行業提供設備、技術和服務的IT公司的資質和誠信加強管理，確保其符合國家、行業技術標準。根據網絡隔離要求，要逐步建立業務網與辦公網、業務網與互聯網、網上交易各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分Vlan或者采用網閘設備進行隔離；對主要的網絡邊界和各外部進口進行滲透測試，進行系統和設備的安全加固．降低系統漏洞帶來的安全風險；在網上交易方面，采取電子簽名或數字認證等高強度認證方式，加強訪問控制；針對現存惡意攻擊網站的事件越來越多的情況，要采取措施加強網站保護，提高對惡意代碼的防護能力，同時采用技術手段，提高網上交易客戶端軟件使朋的安全性。

2．4．3提高從業人員安全意識和專業水平

目前在證券行業內，從業人員的網絡安全意識比較薄弱．必要時可定期對從業人員進行安全意識考核，從行業內部強化網絡安全工作。要加強網絡安全技術人員的管理能力和專業技能培訓，提高行業網絡安全的管理水平和專業技術水平。

2．5扎實推進行業災難備份建設

數據的安全對證券行業是至關重要的，數據一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件，還是我國2008年南方冰雪災害和四川汶川大地震，都敲響了災難備份的警鐘。證券業要在學習借鑒國際經驗的基礎上，針對自身需要，對重要系統開展災難備份建設。要繼續推進證券、基金公司同城災難備份建設，以及證券交易所、結算公司等市場核心機構的異地災難備份系統的規劃和建設。制定各類相關的災難應急預案，并加強應急預案的演練，確保災難備份系統應急有效．使應急工作與日常工作有機結合。

2．6抓好人才隊伍建設

證券行業要采取切實可行的措施，建立吸引人才、留住人才、培養人才、發展人才的用人制度和機制。積極吸引有技術專長的人才到行業巾來，加強lT人員的崗位技能培訓和業務培訓，注重培養既懂得技術義懂業務和管理的復合型人才。要促進從業人員提高水平、轉變觀念，行業各機構應采取采取請進來、派出去以及內部講座等多種培訓方式。通過建立規范有效的人才評價體系，對信息技術人員進行科學有效的考評，提升行業人才資源的優化配置和使用效率，促進技術人才結構的涮整和完善。

網絡安全治理體系范文第4篇

這些情況，充分說明了一個基本問題：由廣義的電信網（包括電信網、廣播電視網與互聯網）構成的網絡空間，已成為人類社會的“第二類生存空間”，網絡與信息安全問題更亟須妥善有效的應對，國家的管轄權必須要延伸到網絡空間，并確立安全可靠的國家網絡空間。

當前，中國通信、互聯網及銀行使用的大部分軟硬件產品，大都來自西方發達國家。與此同時，互聯網的出現，促使網絡成為受眾超過任何媒體、影響力迅速增長的巨大新媒體。根據統計，中國網民已接近6億，其中手機網民4.64億，他們已成為與網絡互動的自媒體。但同時，互聯網也成為以訛傳訛的謠言溫床，并因為流傳速度快，影響面廣，對社會秩序造成的影響也越來越大。

此外，全球市場環境正發生重大變革，中國經濟發展模式也正由出口外向型轉向更多依靠內需，為此，中國正在積極推動信息消費與兩化融合，以此拉動國內有效需求，推動產業結構和社會經濟轉型升級，這也需要更加安全、高效的信息通信網絡作為基礎支撐。

在這樣的形勢下，深化電信改革，打造一個高效可靠的國家網絡空間治理體系，已經刻不容緩。一是加強政府對通信信息的管理體系是當務之急。

站在國家利益全局的高度，統籌國家優勢資源，設計和構建國家統一的網絡空間治理體系，強化網絡空間的管控能力、網絡產業的推動能力、網絡國防的支撐能力和網絡文化的引導能力等四項能力，應該成為這個治理體系的四項最重要職能。目前，美國電信業是由對國會負責的獨立政府機構FCC（美國聯邦通訊委員會）管理。相比之下，中國通信信息的管理體系亟待充實。

二是必須實施網業分離，深化國有電信公司改革。

國家控股的電信公司是為各行各業提供基礎保障的具有公益特點的部門，應該通過網絡、網絡基礎平臺（包括應用基礎平臺）和電信基礎數據，向政府、企業與民眾提供安全可靠又廉價的基礎服務。但由于同時擔負了更多的大眾常規通信服務職能，所以電信公司一直不得不在基礎服務和市場盈利之間進行艱難平衡。這既增加了管理難度，也讓電信公司面臨越來越大的挑戰。

要解決這個問題，可以著力推動網業分離，電信變身為像水、電、氣一樣的民生服務提供者，提供電信網絡支撐。其他競爭性或服務性的業務，則原則上支持由民企及國有中小企業開拓發展。

此外，基礎網絡建設應逐步國產化，以華為、中興等國內企業的硬件設備和國內軟件公司研發的國產軟件為主，以此為基礎打好網絡基礎設施的安全戰。同時加強網絡安全的研究與投資，并建立與之配套的扶持政策體系和市場環境。值得注意的是，必須改變電信公司以完成銷售收入與利潤為中心的運營現狀，將電信的基礎服務保障作用及安全保障作用，作為企業考核的主要內容。

三是需要在深化電信改革的統一部署下，實現三網融合。

隨著互聯網技術的飛速進步，傳統的電信網與廣播電視網將逐步融入新一代的互聯網，廣播電視系統不應另建一個專用互聯網。三網融合的困難是部門利益的分割之爭。只有對國家網絡空間治理體系進行科學的頂層設計，才能實現在統一網絡基礎上的職責與業務的合理分工，完成三網融合的重大改革之舉。

四是必須在避免重復建設的原則基礎上，開展第四代移動通信系統建設。

以第三代移動通信系統投資為參考，若三大電信公司各建一個4G網，總計將投資近萬億人民幣。如果廣播電視系統從頭開始再建一個4G網，則要再增加數千億。對這樣大的投資，應花大力氣進行符合科學發展的總體可行性研究。

網絡安全治理體系范文第5篇

 

關鍵詞：證券行業　信息安全　網絡安全體系

近年來，我國資本市場發展迅速，市場規模不斷擴大，社會影響力不斷增強．成為國民經濟巾的重要組成部分，也成為老百姓重要的投資理財渠道。資本市場的穩定健康發展，關系著億萬投資者的切身利益，關系著社會穩定和國家金融安全的大局。證券行業作為金融服務業，高度依賴信息技術，而信息安全是維護資本市場穩定的前提和基礎。沒有信息安全就沒有資本市場的穩定。

目前．國內外網絡信息安全問題日益突出。從資本市場看，近年來，隨著市場快速發展，改革創新深入推進，市場交易模式日趨集巾化，業務處理邏輯日益復雜化，網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強，交易時問內一刻也不能中斷。加強信息安全應急丁作，積極采取預防、預警措施，快速、穩妥地處置信息安全事件，盡力減少事故損失，全力維護交易正常，對于資本市場來說至關重要。

1　證券行業倍息安全現狀和存在的問題

1．1行業信息安全法規和標準體系方面

健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行，中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成，推動了行業信息化建設和信息安全工作向規范化、標準化邁進。

雖然我國涉及信息安全的規范性文件眾多，但在現行的法律法規中。立法主體較多，法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要，行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后，缺乏總體規劃；二是規范和標準互通性和協調性不強，部分規范和標準的可執行性差；三是部分規范和標準已不適應，無法應對某些新型信息安全的威脅；四是部分信息安全規范和標準在行業內難以得到落實。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術手段都離不開人員的組織和實施，組織體系是信息安全保障工作的核心。目前，證券行業采用“統一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執行層。

為加強證券期貨業信息安全保障工作的組織協調，建立健全信息安全管理制度和運行機制，切實提高行業信息安全保障工作水平，根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》，參照ISO／IEC27001：2005，提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構．頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性)，正面是行業組織結構．側面是各個機構為實現信息安全保障目標所采取的措施和方式。

1．3 IT治理方面

整個證券業處于高度信息化的背景下，IT治理已直接影響到行業各公司實現戰略目標的可能性，良好的IT治理有助于增強公司靈活性和創新能力，規避IT風險。通過建立IT治理機制，可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理IT問題，自我評估IT管理效果．可以加強對信息化項目的有效管理，保證信息化項目建設的質量和應用效果，使有限的投入取得更大的績效。

2003年lT治理理念引入到我國證券行業，當前我國證券業企業的IT治理存在的問題：一是IT資源在公司的戰略資產中的地位受到高層重視，但具體情況不清楚；二是IT治理缺乏明確的概念描述和參數指標；是lT治理的責任與職能不清晰。

1．4網絡安全和數據安全方面

隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性，網上交易正逐漸成為證券投資者交易的主流模式。據統計，2008年我同證券網上交易量比重已超過總交易量的80％。雖然交易系統與互聯網的連接，方便了投資者。但由于互聯網的開放性，來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件，都時刻威脅著行業的信息系統安全，成為制約行業平穩、安全發展的障礙。此，維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來，證券行業各機構采取了一系列措施，建立了相對安全的網絡安全防護體系和災舴備份系統，基木保障了信息系統的安全運行。但細追究起來，我國證券行業的網絡安全防護體系及災備系統建設還不夠完善，還存存以下幾方面的問題：一是網絡安全防護體系缺乏統一的規劃；二是網絡訪問控制措施有待完善；三是網上交易防護能力有待加強；四是對數據安全重視不夠，數據備份措施有待改進；五是技術人員的專業能力和信息安全意識有待提高。

1．5 IT人才資源建設方面

近20年的發展歷程巾，證券行業對信息系統日益依賴，行業IT隊伍此不斷發展壯大。據統計，2008年初，在整個證券行業中，103家證券公司共有IT人員7325人，占證券行業從業總人數73990人的9．90％，總體上達到了行業協會的IT治理工作指引中“IT工作人員總數原則上應不少于公司員工總人數的6％”的最低要求。目前，證券行業的IT隊伍肩負著信息系統安全、平穩、高效運行的重任，IT隊伍建設是行業信息安全IT作的根本保障。但是，IT人才隊伍依然存在著結構不合理、后續教育不足等問題，此行業的人才培養有待加強。

2　采取的對策和措施

2．1進一步完善法規和標準體系

首先，在法規規劃上，要統籌兼顧，制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃；二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層：第一層是管理辦法等巾同證監會部門規章；第二層是證監會相關部門制定的管理規范等規范性文件；第三層是技術指引等自律規則，一般由交易所、行業協會在證監會總體協調下組織制定。其次，在法規制定上．要兼顧規范和發展，重視法規的可行性。最后，在法規實施上．要堅持規范和指引相結合，重視監督檢查和責任落實。

2．2深入開展證券行業IT治理工作

2．2．1提高IT治理意識

中國證券業協會要進一步加強IT治理理念的教育宣傳工作，特別是對會員單位高層領導的IT治理培訓，將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的IT治理意識，提高他們IT治理的積極性。