一、前 言

   信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏观管理的重要依据，同时也是保护国家利益、促进产业发展的重要手段之一。我国从20世纪80年代开始，在全国信息技术标准化技术委员会信息安全分技术委员会和社会各界的努力下，本着积极采用国际标准的原则，转化了一批国际信息安全基础技术标准。我国一方面制定了一批信息技术设备和设施的安全标准，1985年发布了第一个标准：“GB4943 信息技术设备的安全”；另一方面制定了一批信息安全技术标准，于1994年发布了第一批标准。到2004年底，共制定、报批和发布有关信息安全技术、产品、测评和管理的国家标准76个，正在制定中的标准51个。同时，公安部、国家保密局、国家密码管理委员会等相继制定、颁布了一批信息安全的行业标准，为推动信息安全技术在各行业的应用和普及发挥了积极的作用。本文对我国信息安全标准的生成机制、标准制定和标准实施等方面所存在的问题进行探讨并提出了积极的建议。

    二、我国信息安全标准工作中存在的问题

    我国信息安全标准工作取得了瞩目的成绩，为我国信息安全保障工作奠定了坚实的基础。但与此同时，我们也要清醒地看到，当前我国信息安全标准制定工作中仍存在着若干需要改进的地方：

    1. 在标准的制定上缺少整体规划，存在着应急性和盲目性。我国在信息安全标准上缺乏适合我国国情的总体框架和工作路线。同时，在标准的采用过程中，存在比较混乱的现象，各个部门、各个行业齐抓共管，造成资源的重复和浪费，厂家和用户感觉无所适从。

    2. 标准的制定与实施之间存在一定的矛盾，很多标准的制定没有考虑我国的具体国情，或要求偏高，或要求不合理，或实现起来较困难。在标准的编制过程中，一定要重视理论联系实践，重视调查研究和使用情况，这样才能编制出符合实际的好标准。标准的制定过程中，必须与相关的用户、企业紧密结合。用户和企业参与标准制定能更好地促进产业的发展，满足市场快速发展的需要。

    3. 在标准的制定上忽视需求驱动理论。现在标准的制定不是根据国家的实际需求来确定标准的范围和内容，而是存在利益驱动、名气驱动、政绩驱动、权力驱动等现象。

    4. 我国目前在信息安全标准的实施与安全教育上存在脱节现象。一方面，需要在政府部门实施信息安全标准；另一方面，在政府部门工作的广大信息安全技术人员和管理人员却缺少专业的培训与资质认证机制。

    5. 与国外先进国家相比，我国的标准工作还存在较大差距，标准制定水平不高，尤其对于一些市场很大的技术而言，缺少相应的适合本国国情的国标，没有充分利用我国庞大的市场优势，制定相应的标准来促进我国民族产业的发展。

    6. 我国当前信息化建设中面临的一个急迫问题是：系统到底要建成什么级别，达到什么程度和要求才算是在安全方面合格。这个问题在绝大多数政府部门、重要行业和基础信息系统建设和管理部门都存在。这需要一系列标准（或要求）来回答这个问题。但现在还没有相应的标准和指标。

    三、关于信息安全标准制定工作的几点思考

    回顾我国信息安全标准制定的历程，我们认为，在信息安全标准制定方面需要坚持需求驱动原则，从以下四个方面来加强标准制定工作的质量：

    1. 规范标准制定流程

    标准制定流程包括标准的立项、标准制定过程管理等。标准制定流程应充分参照ISO等国际标准化组织的工作流程。要强调标准的服务功能，改变一次性申报的做法，可以特事特办。其它标准，国家应鼓励有条件的单位自筹资金参与研究和制定。单位申报国家标准，技术上由相关的技术委员会归口管理并组织审查。应该积极创造条件开展工作，利用各种社会资源，广开渠道支持标准化事业。比如，吸引企业参加标准的制定，甚至可以考虑实行招投标制度，或者利用各地的标准化研究机构、标准化协会、学会的资源和力量。

    2.慎重考虑标准制定时机

    标准制定的时间因素包含两个方面：一是何时制定标准，另一个是制定标准需要花费的时间。与其它技术相比，信息技术发展更为迅猛，变化更大。标准制定者对于标准制定的时机如果把握不好，不仅会严重影响到标准的质量和可行性，甚至还会起到阻碍技术发展的反作用。标准制定周期同样是一把双刃剑：标准制定周期过长，会影响到标准的可行性、增大实施的难度；标准制定周期过短，则会影响标准的质量。标准制定的时间应定在技术相对成熟之后，规模市场形成之前。过早，技术本身的变化会很快导致标准的过时和不可行。过晚，由于大量的产品已经生产，导致标准无人采用，大大降低了标准的可用性。 目前我国政府信息化开展得如火如荼，如何保证电子政务和电子商务有标准可依是当务之急，因此，可以考虑把一些政府信息化急需的标准定为暂行标准，例如参考国际上的RFC等，在试用一段时间后可以分期分批地转为国标。

   3.重视标准制定者的素质

    标准化工作从本质来说是一项技术性工作。因此，建设一支专业过硬、技术精良，在国内具有领先水平并能紧紧跟踪国际前沿的技术队伍是十分必要的。同时，许多标准的制定还需要实践的检验。除了调动和组织全社会各方面的力量外，对于从事标准制定工作的技术人员培训，实行人员和知识的更新也是必不可少的。 标准制定者的经验和素质对标准制定的成功与否影响极大。标准制定者对于标准所涉及的技术和实际经验的掌握程度，决定了标准本身的质量以及采标的难度。为此，在制定标准时，需要根据标准制定者的知识和工作背景与标准内容相关的原则，仔细斟酌标准制定者尤其是标准制定负责人，推行标准制定专家负责制。

     4.综合考虑采标问题

    目前国际上有许多标准制定组织，其工作各有特点，制定标准的层次也不同。我们应在全面、系统地分析和研究的基础上，结合我国实际情况，综合考虑我国的信息技术标准化工作。 我国产业乃至整个信息行业的现状是，绝大部分先进和原创技术都掌握在国外先进国家手中，标准方面尤其如此。因此，我们要大力鼓励企业和用户采用国际标准和国外先进标准。但必须指出，现在信息领域的先进技术大都被那些控制体系标准的跨国公司所控制。我国的问题在于，民族企业规模小、技术水平低，无法从跨国公司手中夺取技术和标准的控制权。因此，制定新标准就成为在不改变竞争游戏条件前提下改变游戏规则的一种手段。在这一点上，必须依靠国家权力的帮助，同时，与中国特有的市场优势、业已积累的技术能力和日益积极的研发政策等其他资源相配合，使中国基于标准战略的产业政策比任何其他挑战跨国集团垄断地位的国家都更具实力。

   为了提高我国信息安全标准制定的质量，还应在以下几个方面进行改进：

   (1)针对我国在标准的制定上缺少整体规划，存在应急性和盲目性的缺点，我们建议，国家应首先制定政府部门信息安全标准总体框架，在总体框架的指导下，定义每个标准的适用范围和具体要求，并科学地将它们分配到专业对口且具有相当实力的专业部门进行编制，避免重复投资和盲目跟进。

    (2)针对我国在标准制定上忽视需求驱动理论的问题，我们建议，政府部门在制定信息安全标准时，一定要根据政府部门的实际需求来确定标准的范围和内容，杜绝利益驱动、名气驱动、权力驱动等现象。应该根据“提出需求→需求分析→编制标准→实践检验”的顺序来制定信息安全标准。

    (3)为了减弱信息安全标准组织运行机制上存在的“行政协调”色彩，加强其技术权威性，我们认为，我国在信息安全标准的制定上应更多地聘请独立专家来开展信息安全标准制定和评审工作。

    (4)针对我国信息安全标准制定没有统一管理，比较混乱的问题，我们建议，国家应统一管理，避免重复投资；对于关系国计民生的重要标准，最好采用国家标准的形式，而不宜使用行业标准。国家标准主要适宜制定大的、原则性的框架，不宜涉及具体细节，细节方面宜用行业标准来做补充。而且，在制定国家标准时，一定要考虑和国际标准接轨的问题，宜多参考ISO等国际标准。

    四、关于信息安全标准生成机制的建议

    在总结国、内外在制定标准方面经验的基础上，我们就我国信息安全标准生成机制提出以下建议：

    1. 在信息安全标准计划阶段，发挥政府部门宏观调控能力的优势，全盘把握，科学布局，统一协调。将重点放在目前急需的，能够解决实际问题的标准，同时也要重视那些具有战略性意义的，能够全面提高我国信息安全水平的前沿性标准的制定工作。

    2. 在标准立项方面，要引入竞争机制，标准承担者必须具有一定的实践经验、理论水平和标准制定能力，要充分发挥立项评审机制的作用，避免出现谁申报就由谁定标准的情况。

    3. 在信息安全标准制定阶段，政府不应过多地直接参与标准制定工作，而应更好地发挥产业界，尤其是在本领域具有技术领先地位的企业的优势，以这些企业的专家为核心力量，并吸引相关科研机构的人员广泛参与。标准制定不能不考虑现有的主流技术和产品，或者不考虑我国国情，将未经实践检验、或难以实施的标准作为国标。标准应具有实践性，来自于实践，反过来又指导实践。因此，在标准制定过程中要引入实践机制，通过实践来检验标准的正确性、合理性和可行性。

    4. 我国在信息安全标准制定中，应充分发挥各方面人才的优势。标准起草通常由政府部门人员牵头，由大专院校和科研院所人员为主导，由厂家的代表为补充。政府部门人员把握政策能力很强，大专院校和科研院所人员的理论基础很扎实，厂家人员来自于研究开发的第一线，其中不乏既有扎实的理论基础，又有丰富实践经验的专家。因此，我们应很好地发挥各方人才的作用，做到优势互补。

    5. 在信息安全标准评审阶段，不应过分依赖于专家评审会方式，目前这种方式存在一些弊病。国家应建立专业的标准验证机构，公正、客观和科学地评定标准。

    6. 标准的选用要引入市场机制，优胜劣汰，在同类标准的选用方面，优先选用得到大多数厂商支持和用户认可的标准。

    五、关于信息安全标准实施的政策建议

    1. 增强标准培训，提高标准化意识

    国家应该将此项培训列入每年的培训计划之中，利用各种形式加强标准培训和宣传工作，提高国家各级干部和全体人员的标准化意识和贯彻执行标准的自觉性，特别是强化国家干部和信息化负责人的标准意识。同时，还可采取多层面、多形式的标准宣贯活动，增强各级政府部门的标准化意识。如围绕“标准化与政府信息化进程”、“标准化促进电子政务的建设”和“政府标准化与工程监理”等专题举办知识讲座、信息化负责人研讨班或理论提高班等各种标准化活动。

    2. 标准与实践相结合，在实际工程中完善和提高

    采取“标准实施与政府信息化建设同步进行”的策略，在国家信息系统的规划、设计、实现、评估、认可这五个阶段中，运用标准化的原理和方法，对信息系统工程过程的各个环节进行规范管理和技术指导，力争做到具体工程与相应标准同规划、同落实、同实施，使标准能够经受工程的实践检验。 此外，还可结合政府信息化的重点，针对一些关键基础设施和信息系统，积极开展示范工程的建设。通过严格实施与工程监理，科学评估与示范，以点带面扩大工程示范推广范围，指导信息系统工程实施者按照标准建设信息系统。

    3. 结合信息系统的认证认可，监督检查信息安全标准的实施

    对标准实施情况进行监督，是确保标准贯彻执行的一项重要措施。这需要发挥国家各级信息化主管部门、工程监理的作用，及时纠正不符合标准的现象发生，把一切非标准因素消灭在信息系统的工程过程之中，确保最终信息系统、工程质量、服务质量符合标准的要求。

    目前，国际上普遍通过认证认可制度来检验标准的实施效果。信息系统的认证主要是通过独立的第三方认证机构，按照标准的要求，对信息系统的技术、工程与管理三方面进行测试评估，从而客观地评价信息系统的实施情况。国家是在第三方认证的基础上，认可并批准信息系统的实际运营。通过国际通行的认证认可方式，可极大地降低信息系统安全工程的各项风险，推进国家的信息化进程。