应香港生产力促进局和香港电脑保安事故协调中心的邀请，中国信息安全产品测评认证中心于2004年11月11日至12日参加了在香港尖沙咀举办的题为“迎接挑战，在信息安全上建立有效的管治”的“2004信息安全高峰会”。
　　此次会议的主办单位包括香港生产力促进局、英国标准协会、香港计算机保安事故协调中心、国际信息系统审计协会香港分会等一些在信息安全领域有代表性的机构。来自中国、英国、新加坡、日本、澳大利亚、新西兰等国的政府部门、执法部门、信息安全公司和大学包括政府官员、信息安全专家学者、管理人员、信息安全咨询师和审计师等在内的150余名代表参加了会议。会议议题涉及计算机事故取证、网上应用的黑客入侵问题、危机处理、跨境网上犯罪和预防、内部信息保安水平和保安评估技术等内容，主题演讲包括：
　　1.克服障碍，达到有效的信息安全管理(英国)
　　2.在威胁瞬息万变的环境下专注并确立信息安全策略的优先级(新加坡)
　　3.雅典到北京：从中可以借鉴的信息安全经验(英国)
　　4.黑客入侵高危的应用程序漏洞(美国)
　　5.开展跨境合作，提升网络安全(澳大利亚)
　　6.无线网络安全的最新发展(新西兰)
　　7.为什么管理层必须坚持进行“穿透测试”(英国)
　　8.信息科技管治：你及格吗？(澳大利亚)
　　9.中国企业在信息科技管治上所面对的挑战(香港)
　　10.信息安全管治不是选择(澳大利亚)
　　11.开发有效的加密系统
　　12.产品识别的安全框架
　　会上，来自美国、英国、新加坡、澳大利亚、新西兰等经济发达国家的代表探讨了他们在信息安全管制方面的实践和经验。由于这些国家的社会政治、经济贸易往来很大程度上依赖基于信息网络技术的信息系统，他们更关注信息系统的安全与审计、风险评估与信息安全管制，为此，开发并制定了一系列标准和指南，如：
　　经济合作和发展组织在1992年发布的《信息系统安全指南》，用于协助国家和企业构建信息系统安全框架；
　　国际标准化组织在2000年发布《ISO 17799国际标准》，其中，把信息作为一种资产，像其它重要商业资产一样，这种资产对组织有价值，因此需要通过实施一套恰当的控制措施确保信息的保密性、完整性和可用性；
　　国际会计师联合会在1998年开发的《信息安全管理》；
　　美国注册会计师协会/加拿大特许会计师协会开发的《SysTrust系统可靠性原理和准则V3.0》。SysTrust系统边界由其所有者确定，但须包括基础设施、软件、人、程序和数据这几个关键部分，从可用性、安全性、完整性和可维护性四个基本方面评估和测试系统是否可靠。通过这种保证服务增强管理者、客户和商业伙伴树立对信息系统的信心；
　　信息系统审计和控制基金会与IT治理协会开发的《信息和相关技术的控制目标》（CoBIT）。CoBIT基于信息系统必须为组织实现业务目标而提供信息这个前提，以业务流程为中心，实行业务流程负责制，把IT分成计划和组织、获取和运用、传送和支持、控制这四个领域，共计34个IT业务流程，并为寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标，以及建立在这些目标上的广泛的行动指南。 l
　　2004年4月澳大利亚制定的DR01498的信息通信技术（ICT）管制标准(草案)。
　　这些国家在信息安全管制方面的作法是：信息安全治理是最高管理层用来监督管理层在信息安全战略上的过程、结构和联系，确保运营处于正确的轨道之上，建立在这样一个基础之上，他们主要从战略联盟、价值传递、风险管理和绩效测量四方面开展信息安全治理，同时还需要充分考虑组织文化。
　　国外在信息安全管制方面的一些策略和作法值得我们借鉴和参考：
　　1．建立专门的信息安全管理机构；
　　2．组织开发国家级的信息安全管制标准与框架；
　　3．信息安全管制需要管理层、信息安全专家和信息系统审计师的多方共同参与；
　　4．将信息系统安全审计纳入国家审计的范畴；
　　5．在需求强烈、较为成熟的领域，如电子政务和电子商务等地方试行信息安全治理的机制，达到预先防治、应急处理及事后复原的基本要求。
　　（本文摘自《国家信息安全测评认证》2004年第6期）