美国信息安全保障立法体系介绍及思考
中国信息安全认证中心 宋扬
美国的国家信息安全保障体系由来已久,从“二战”期间对国家信息的保护,到“冷战”期间与前苏联之间的信息战,再到“911”事件发生之后,对信息安全保障的重视进入到一个新的阶段,时至今日美国的信息安全的保障体系已经逐步健全。美国信息安全保障框架形成了由安全技术、安全管理与政策法规三个层次统一协调的立体化框架。三个层次之间形成了一个有机整体。总体而言,美国现在的信息安全战略属于“扩张型”的信息安全战略,在关键基础设施、信息安全等级保护等相关领域制定了一系列的相关立法,形成了比较完善的信息安全保障体系。本文对美国信息安全保障立法体系进行介绍,并根据我国情况提出几点思考。
一、美国保护政府信息安全立法情况
美国对计算机网络高度依赖,从联邦政府到州政府,再到公民个人的大量信息几乎全部存储在计算机系统中,由于政府信息安全事关国家安全及政治稳定,一旦遭到破坏,产生的后果将更为深远和不可逆。因此,美国极为重视对政府信息的保护。
目前,美国有关政府信息安全方面的法律主要有:
1966年,美国制定《信息自由法》,并且分别于1974年、1986年和1996年进行了修订,主要内容涉及对政府信息的获取、公开方式、可分割性,以及相关的诉讼事宜等。
1987年制定的《计算机安全法》,规定NIST负责开发联邦计算机系统的安全标准。除了国家安全系统被用于国防和情报任务外,商务部负责公布安全标准,加强联邦计算机系统安全保护的培训的责任,以提高联邦计算机系统的安全性和保密性。
1991年发布的《高性能计算法》,规定建立满足安全需求的联邦高性能计算程序,此程序应当提供跨部门之间协调并向国会递交年度执行报告。此外,此法还要求NIST为联邦系统建立高性能计算的安全与隐私标准。
1996年发布的《克林格-科恩法》,又名《信息技术管理改革法》,规定设立首席信息官(CIO)职位;授予商务部发布安全标准的权利,要求各个机构开发和维护信息技术架构;要求政府预算办公室(OMB)监督主要信息技术的收购,并且与国土安全部长协商,公布国家标准与技术研究院(NIST)制定的强制性联邦计算机安全标准。
2000年发布的《政府信息安全改革法》,规定联邦政府部门在保护信息安全方面的责任, 此法明确了商务部、国防部、司法部、总务管理局、人事管理局等部门维护信息安全的具体职责,建立了联邦政府部门信息安全监督机制。
2002年发布的《联邦信息安全管理法》,为联邦信息系统创建了一个安全框架。该法案强调风险管理,规定了OMB、NIST、CIOs、CISOs(首席信息安全官)、IGs(联邦机构监察长)的具体责任。倡导建立由OMB监督的中央联邦事件中心,负责分析安全事件并且提供技术帮助,通知机构运营商当前和潜在的安全威胁及漏洞。
2009年奥巴马总统签署《网络空间政策评估报告》,强调保障美国政府的网络系统安全。