二、建立和发展信息化风险管理的文化
高层领导支持和鼓励风险管理;政府组织支持创新和承担风险;有明确的风险管理的政策;有明确的风险管理的责任和责任机制;风险管理的政策和好处在所有的工作人员中得到充分的沟通和理解;风险管理充分地整合到组织管理的过程之中等。
三、做好国家信息化的薄弱环节识别,减少信息化系统中的问题
针对信息化风险的全球性和传染性等特征,政府主管部门尤其要做好国家信息化薄弱环节的识别、弥补和防范工作。第一,完善风险识别的机制,将检查定制为常规性工作,通过排查、采样、比较、演习、试点等方法,定期评估系统的风险应对能力,加强对薄弱环节的识别和认识。第二,及时纠正所发现的问题,减少现存问题导致灾害的可能性。第三,在条件允许的情况下,将旧系统更换为问题更少、技术更成熟的新系统。
四、通过有效的教育和培训提高和强化整个社会的信息化风险管理和安全意识与能力
通过宣传和教育计划提升社会公民、法人和其他组织的风险意识和安全意识;通过专门的教育和训练计划,培养风险管理、安全管理的专门人才以满足信息化发展的需要;通过教育和训练计划提高现有管理者的风险管理、安全管理的知识和能力;鼓励企业、社会组织开展风险管理、安全管理的专业人员的培训和资格认证。
五、强化信息化相关的立法,建立有效的管制机制,以防止和化解信息化的风险
从目前的情况来看,最迫切的工作便是加强以下方面的立法工作,《电子交易法和电子商务法》、《信息安全管理法》、《支付系统安全法》、《隐私法》、《网络犯罪法》、《重要和敏感性信息保护法》、《重要信息基础设施保护法》等的立法都与信息化的安全以及风险管理有着十分密切的关系。
六、建立健全国家信息化的技术安全平台,通过安全技术的发展保障信息化系统的安全
从国际经验而言,主要包括:访问控制(Access control),系统完整性控制(System integrity),密码控制(Cryptography),审计和监控(Audit and monitoring),配置管理和保证(Configuration management and assurance)等技术。
七、采取有效的措施,确保敏感性信息和国家重要信息基础设施的安全
政府要进行敏感性信息的分类,并加强管理,以防止敏感性信息被恶意者所利用。维护重要的信息基础设施的安全,应该成为信息化风险管理的重点所在。