俗話說：無規(guī)矩不成方圓。歐美國家之所以保持如此高的信息安全標準，并以此抬高中國企業(yè)進入市場的門檻，與其全面嚴格的法律法規(guī)密切相關。

政府牽頭 法規(guī)成就高標準

美國是世界上最早建立和使用計算機網(wǎng)絡的國家，也是信息產(chǎn)業(yè)發(fā)展最為迅速的國家，信息安全一直居于美國國家安全戰(zhàn)略的高度。早在十年前美國便公布了《網(wǎng)絡安全國家戰(zhàn)略》以及《確保信息安全的國家戰(zhàn)略》，確定了3個戰(zhàn)略目標和5項優(yōu)先行動，并通過為信息安全立法，來完善保障信息安全法規(guī)體系。另外，近年來美國相繼制定了《信息自由法》、《總統(tǒng)檔案法》、《聯(lián)邦信息資源管理法》、《國家信息基礎設施保護法案》、《反電子盜竊法》、《計算機犯罪強制法》等一系列法律法規(guī)，以確保國家安全。

美國陸續(xù)發(fā)布的一系列戰(zhàn)略和規(guī)劃，大大加強了政府對網(wǎng)絡公司和通信設備公司的管制。值得一提的是，美國共和黨控制的眾議院于2012年4月通過了《網(wǎng)絡情報共享與保護法》，以防止網(wǎng)絡攻擊，保護網(wǎng)絡安全。

除美國外，歐盟今年也加大了信息安全工作力度，將其列入“歐洲數(shù)字化議程”，作為發(fā)展數(shù)字經(jīng)濟的重要保障。

據(jù)相關專家介紹：“在制訂實施信息安全宏觀政策方面，歐盟正在制定‘歐洲互聯(lián)網(wǎng)安全戰(zhàn)略’，計劃改進歐洲網(wǎng)絡與信息安全署的職能，并將其作為歐盟信息安全管理的核心機構；在網(wǎng)絡數(shù)據(jù)和隱私保護領域，歐盟在2012年年初修訂了《數(shù)據(jù)保護指令》，特別強調云計算和社交媒體等對消費者和銷售者信息的保護義務；在信息基礎設施安全保障方面，歐盟委員會2010年提出了《關于應對信息系統(tǒng)受攻擊的指令》的提案，這一提案正在討論修改之中，預計今后兩年內將獲通過并實施。”

具體到國家，在英國，政府建立了擁有獨立管理權的信息安全評估中心(CSEC)。CSEC獨立管理對中國企業(yè)在英國部署的電信基礎網(wǎng)絡設備和軟件的安全評估，并將評估的結果提供給英國的運營商和政府。這樣做的目的是試圖減少中國企業(yè)在英國關鍵的電信基礎網(wǎng)絡中部署產(chǎn)品的威脅。

政府、企業(yè)配合默契 提升信息安全標準

與美國和歐盟相比，雖然我國早就意識到了信息安全的重要性和迫切性，但一直沒有一整套行之有效的體系去保障信息安全。

“雖然每年在信息安全領域國家都投入大量的經(jīng)費來支持信息安全技術研究和產(chǎn)業(yè)化推廣工作，也制定了一些與信息安全相關的政策法規(guī)，但不能從根本上解決問題。強制性地把這個領域的市場交給中國的企業(yè)去發(fā)展是最行之有效的辦法，可實現(xiàn)政府與企業(yè)的合力。”某業(yè)內人士告訴記者。

例如，近期美國政府對中興與華為的調查，并不是由政府直接出面，而是眾議院下屬的情報委員會主導，而申請調查的則是思科等美國企業(yè)。這份報告本身沒有任何的法律約束力，但如果報告通過議會，則可能迅速演變?yōu)榱⒎?，從而形成一個堅固的壁壘，無形中提升了信息安全標準。

“在此過程中，美國從企業(yè)申請調查、立法到政府介入的各個環(huán)節(jié)，都已經(jīng)形成了一個通暢的體系，企業(yè)與政府達成了‘默契’。”某業(yè)內資深人士告訴記者。

“不僅在美國，在注重信息安全的歐盟，每次信息安全領域的調查也多是相關企業(yè)首先申請發(fā)起，政府相關部門會依照相關法規(guī)迅速跟進，如果針對某項調查缺乏相關法律依據(jù)，也會由此督促政府在法律上拾遺補缺，長此以往，其信息安全的標準也自然水漲船高。”該資深人士補充道。

綜合治理 企業(yè)把好頭道關

針對目前中國信息安全標準偏低的現(xiàn)實，中國IT治理研究中心相關人士建議：“應立足中國國情，建立健全具有中國特色的信息安全保障體系。包括信息安全法律保障機制、信息安全政治保障機制、信息安全管理機制、信息安全人才的培養(yǎng)和使用機制；參與進而主導制定國際信息網(wǎng)絡規(guī)則，通過外交活動為確保信息安全營造良好的國際環(huán)境，建立‘國際信息新秩序’；著力加強自主知識產(chǎn)權技術和產(chǎn)品的研制，從最核心的層面——標準為切入點，制定中國主導的標準；建立公平有序的招標采購市場環(huán)境；加大對在華國外網(wǎng)絡企業(yè)的安全審查、合規(guī)審計和監(jiān)管力度。”

“只有從法規(guī)、監(jiān)管、人才、宣傳等方面綜合治理，中國的信息安全標準才能得到根本性的提升，其中任何一個因素的偏廢，都可能繼續(xù)拉大我們與國外的差距。” 中國工程院院士、中科院計算所研究員倪光南對記者表示。

說到企業(yè)層面，互聯(lián)網(wǎng)專家方興東告訴記者：“相關企業(yè)可以采用源代碼托管和首席安全官制度。首先可以采用的辦法是源代碼托管，很多國家都在采用這種辦法對信息安全進行監(jiān)管。但在中國更方便借鑒的是首席安全官制度，在歐美很多國家的大企業(yè)都有這樣一個職位，首席安全官既是公司的員工，也受國家安全部門直接管理，在涉及到安全領域的大量采購時他擁有一票否決權。國內的一些央企或者大型企業(yè)也有必要設立這樣一個職位。”

據(jù)記者了解，早在10年前，IBM就宣布任命全球首任"首席安全官"。目前，越來越多的企業(yè)開始設置相關的職位。目前，設有"首席安全官"的國際企業(yè)除了IBM外，還有微軟、柯達、花旗、Facebook、寶潔等，相比之下，"首席安全官"對于中國企業(yè)而言，還是一個新鮮事物，尚需迎頭趕上。

“我國目前在信息安全標準及相關法規(guī)方面與歐美存在差距，中國企業(yè)理應首先從企業(yè)內部建立良好的信息安全監(jiān)測和評估機制，做到防患于未然，這對于能否充分發(fā)揮和改進我國相關法規(guī)，提升所在行業(yè)信息安全標準也至關重要。”業(yè)內人士呼吁。