美国信息安全保障立法体系介绍及思考

中国信息安全认证中心 宋扬

美国的国家信息安全保障体系由来已久，从“二战”期间对国家信息的保护，到“冷战”期间与前苏联之间的信息战，再到“911”事件发生之后，对信息安全保障的重视进入到一个新的阶段，时至今日美国的信息安全的保障体系已经逐步健全。美国信息安全保障框架形成了由安全技术、安全管理与政策法规三个层次统一协调的立体化框架。三个层次之间形成了一个有机整体。总体而言，美国现在的信息安全战略属于“扩张型”的信息安全战略，在关键基础设施、信息安全等级保护等相关领域制定了一系列的相关立法，形成了比较完善的信息安全保障体系。本文对美国信息安全保障立法体系进行介绍，并根据我国情况提出几点思考。

一、美国保护政府信息安全立法情况

美国对计算机网络高度依赖，从联邦政府到州政府，再到公民个人的大量信息几乎全部存储在计算机系统中，由于政府信息安全事关国家安全及政治稳定，一旦遭到破坏，产生的后果将更为深远和不可逆。因此，美国极为重视对政府信息的保护。

目前，美国有关政府信息安全方面的法律主要有：

1966年，美国制定《信息自由法》，并且分别于1974年、1986年和1996年进行了修订，主要内容涉及对政府信息的获取、公开方式、可分割性，以及相关的诉讼事宜等。

1987年制定的《计算机安全法》，规定NIST负责开发联邦计算机系统的安全标准。除了国家安全系统被用于国防和情报任务外，商务部负责公布安全标准，加强联邦计算机系统安全保护的培训的责任，以提高联邦计算机系统的安全性和保密性。

1991年发布的《高性能计算法》，规定建立满足安全需求的联邦高性能计算程序，此程序应当提供跨部门之间协调并向国会递交年度执行报告。此外，此法还要求NIST为联邦系统建立高性能计算的安全与隐私标准。

1996年发布的《克林格-科恩法》，又名《信息技术管理改革法》，规定设立首席信息官(CIO)职位;授予商务部发布安全标准的权利，要求各个机构开发和维护信息技术架构;要求政府预算办公室(OMB)监督主要信息技术的收购，并且与国土安全部长协商，公布国家标准与技术研究院(NIST)制定的强制性联邦计算机安全标准。

2000年发布的《政府信息安全改革法》，规定联邦政府部门在保护信息安全方面的责任, 此法明确了商务部、国防部、司法部、总务管理局、人事管理局等部门维护信息安全的具体职责，建立了联邦政府部门信息安全监督机制。

2002年发布的《联邦信息安全管理法》，为联邦信息系统创建了一个安全框架。该法案强调风险管理，规定了OMB、NIST、CIOs、CISOs(首席信息安全官)、IGs(联邦机构监察长)的具体责任。倡导建立由OMB监督的中央联邦事件中心，负责分析安全事件并且提供技术帮助，通知机构运营商当前和潜在的安全威胁及漏洞。

2009年奥巴马总统签署《网络空间政策评估报告》，强调保障美国政府的网络系统安全。