政府网络安全推荐准则

国别：比利时

制定者：欧洲电子产业组织“数字欧洲”（DIGITALEUROPE）、美国信息技术行业协会（ITI）以及日本电子与信息技术行业协会（JEITA）

制定时间：2012年6月21日

相关图片：

网络安全管理说明

网址：http://www.cnii.com.cn/cio/content/2012-07/04/content_989602.htm

近年来，网络安全事件频发，给网络行为和网络经济的正常运行造成了越来越严重的影响。各国目前正在加紧制定相关法律，但由于网络技术突飞猛进，形式多样且所涉面广，因此，目前较为完善的网络安全法律框架并不多。近日，欧洲、美国、日本的几大ICT行业组织共同发表了《政府网络安全推荐准则》，从12个方面细数了网络安全国家立法的要点，值得关注。

2012年6月21日，欧洲电子产业组织“数字欧洲”（DIGITALEUROPE）、美国信息技术行业协会（ITI）以及日本电子与信息技术行业协会（JEITA）在比利时布鲁塞尔共同发布了名为《政府网络安全推荐准则》的声明，提出12条准则，力图向各国政府清晰地传达网络安全政策所应涵盖的内容。这些IT安全组织联盟在这一面向全球各国政府的新提案中呼吁，各国政府应与私营行业开展合作，进一步推进网络安全计划，而不要用复杂的规则阻碍计划进程。该联盟称，无论技术供应商来自哪个国家，世界各国都应当推行经过同行评审（peer review）的最佳技术。

声明全文如下：

网络安全是全球各国政府、社会和业界应当最优先考虑的问题。促进网络安全的政策方针必须满足安全的需求，同时保持互通性和开放性，保证全球市场不受影响，这样的政策才能增强网络安全性。在正确的政策环境下，我们可以在维持网络空间发展带来的社会效益的同时，增强其安全性。

我们敦促各国政府在贯彻执行网络安全相关的法律、法规和其他政策时坚持以下原则：

应以透明的方式制定网络安全政策，并使相应的利益相关者参与进来。各国政府应当确保网络安全相关的所有法律、法规及其他政策的制定均在公开透明的决策过程中进行，包括（但不限于）发布草案文本、允许公众查看和评论。

促成风险管理和创新。各国政府应当采用能够适应市场变化、便于企业和消费者正确理解的政策方针开展评估，采取风险管理措施。风险管理措施应承认私营行业参与者是管理和保护其网络、服务与资产的最适合人选，市场力量、企业责任和道德标准都会推动私营行业者参与到这项活动中。

 与私营行业共同制定和实施网络安全政策。ICT业界在网络安全的各个方面都拥有丰富的资源及领导经验，网络安全政策应当建立在业界的倡议和投入基础上，这样的政策才最为有效，有助于确保政策的适应性和有效性。

鼓励各国制定政策时使用全球公认的行业主导的自愿协商一致的安全标准、最佳做法、保障措施和符合性评估方案等机制。这些做法能提高安全性，因为：一、在全球标准体系中，最先进的同行评审程序可能比国家重点扶持更具优势。二、经过验证的有效安全措施应当部署在整个全球数字基础设施中。三、要想满足多个司法管辖区、相互冲突的安全要求和符合性评估（CA），就会增加企业的成本，并需要昂贵的安全资源。

确保使用全球标准化的测试和认证。各国政府应当允许基于风险评估的合规性要求，支持国际测试结果和证书的通用性。

 确保网络安全要求的技术中立性。如果要求特定的技术，比如优先考虑国产技术，那么安全性就会降低，因为这个国家将无法获得世界上其他地方制定的领先安全解决方案。

确保网络安全要求不限制技术采购来源国或者技术供应商的国籍。产品的安全性取决于产品的生产方式以及使用和维护情况，并非生产商和生产地。各国政府应当重新审视自己对网络供应链风险的认识，承认各ICT厂商最适合担当管理和保护其ICT供应链的责任，并与业界合作，建立沟通的桥梁而不是排他性的贸易壁垒，提出解决方案。

确保网络安全要求不会强制转让或审查知识产权（IP），例如源代码。这些知识产权是商业所有权信息，对提升企业的创新能力和保持经济竞争力至关重要。

将规定性要求限制在如政府情报网络和军事网络等高度敏感的经济领域。许多国家的政府在购买用于情报网络和军事网络的安全技术时有着非常严格的要求，这是合情合理的。政府对这些领域的采购要求不应扩展到其他政府网络、政府授权网络或者私人经营的基础设施或商业公司。

加强机构建设，制定应急方案和网络安全战略。为有效保证网络安全，各国政府应当拥有强大的独立机构，例如计算机应急响应小组（CERTs）。政府扮演着一个重要的角色，政府应尽可能地与私营行业合作，共同思索全国性的、区域性的和国际性的安全目标，共享防灾备灾，分析和应对突发事件，缩小教育和科研方面的差距。 关注网络犯罪及其威胁。各国政府应当尽力应对来自国内及国际上的网络参与者、威胁和事件，并在适当的时候、在可能的范围内开展跨境协作。

关注教育并提高安全意识。各国政府应当使所有利益相关者认识到他们在应对网络风险中的重要作用。各国政府的工作应当包括通过教育系统提高所有年龄段的公民的网络安全意识。

DIGITALEUROPE：数字欧洲，代表了欧洲数字技术产业。超过100家成员包括来自欧洲各国的世界上最大的IT、电信和消费电子公司和国家协会，代表了超过1万家、共雇用200万名员工、产生1万亿欧元收入的企业。

JEITA：日本电子和信息技术产业协会，其目的是促进制造业、国际贸易和消费电子产品及部件的消费健康发展，以促进IT、电子与信息技术产业的整体发展，从而进一步推动日本的经济发展和文化繁荣。

ITI：美国信息技术行业协会是为世界领先的创新公司服务的宣传和政策组织。ITI在不断变化的决策者、企业、非政府组织之间的关系方面开展工作，提供创造性的解决方案，推动世界各地的技术开发和使用。