上個世紀90年代中期以后，國際互聯網在日本各行各業得到了廣泛的應用，同時信息安全的問題日益凸現出來。2000年11月29日通過的日本《高速信息通訊網絡社會形成基本法》（以下簡稱《IT基本法》）中明確規定了：“在制訂與高速信息通訊網絡社會形成相關的規則時，應當采取必要的措施，確保高速信息通訊網絡的安全性及可靠性，嚴密保護個人信息資料，使國民能夠放心的利用互聯網。”（第二十二條）（注）日本政府對信息安全問題給予了極大的重視。

一、 網絡信息安全對策體制的重要性

事實上，在《IT基本法》出臺之前，日本基于計算機網絡的實踐需求，成立了許多計算機網絡方面的行業研究會，如計算機信息安全研究會就是其中之一。該會經常邀請相關方面的專家，針對在互聯網網絡中出現的問題，特別是信息安全問題進行反復研討，不斷地提出解決方案。因此，計算機信息安全研究會積累了大量經驗、教訓，這對日本維護互聯網領域的信息安全，起到了重要的作用。

根據《IT基本法》及年度重點計劃、相關配套的法規的要求，日本最初預計在2003年建成電子政府，使中央政府、地方各級政府機構所承辦的主要行政事務，能夠在互聯網上在線進行辦理。自日本《IT基本法》頒布以來，在根據該法制訂的每一年重點發展計劃中，對電子政府以及電子政務相關具體的內容都做出了規定。為了達到這個目標，互聯網電子政務的信息安全問題就顯得尤為重要。因此，日本政府的主管部門的組織指導下制訂了電子政務互聯網信息安全方面的規則。該規則就政府關于電子政務的信息安全做出了明確具體的規定，本文僅就日本的電子政府、電子政務范圍內的互聯網信息安全方面的相關規則進行分析、介紹。

二、 對策體制整體模式的特點

日本針對計算機網絡信息安全對策的體制，專門制訂了一套相應的規則。即以制訂――引入――運用――評價――修正的模式進行運做，通過這樣循環周期，循環往復，針對風云變幻計算機信息安全領域出現的新問題，進行及時有效的對應，可以說是一個值得稱道的運作模式。

1、 制定：針對政府各個不同部委的行業特點，組織專家進行起草、論證、研討，制定方針、基準、規則及實施步驟。

2、 引入：將已制定出的規則予以頒布實施，在各個具體的部委、部門中進行相關計算機機器配置、引進技術人員以及進行相關規則的培訓。

3、 運用：在實施規則的過程中，可能會出現各種各樣的情況，因此需要進行記錄、對體系的實施監控、確認嚴格遵守程序、以及損害發生時緊急對應的程序和辦法等。

4、 評價修正：在規則運用一段時間之后，應當對規則的整體作出一個評價，對優點如何進一步優化，缺點和不足如何改進。

針對以上出現的具體問題，邀請相關的專家進行深入的研究、論證，提出具體的解決方案。

一個運行周期的結束，同時意味著又是一個新的周期的開始。但這決不是簡單的重復，而是一種螺旋式的上升，使計算機信息安全體制的內在的質的方面有了進一步的提高。

三、 日本對建立電子政府關于計算機信息安全方面的基本構想

1、 政府各個部委基于對電子政府的安全問題，要求結合本單位、本部門的具體的特點，考慮制定相應的規則、辦法。例如：在金融系統、國防、海關等各個部委有著區別與其他部委的自身特點，公開與不能公開的資料信息庫的訪問權限，以及對文件的管理等方面的安全措施的具體要求，在程度上是有很大不同的。

2、 政府各個部委對自己所管轄的范圍，應當采取積極促進的態度，不斷提高計算機信息安全方面的水平。

3、 作為日本政府總理府的辦公廳，是計算機信息安全方面的工作統一領導、協調機構。負責各部委之間、政府整體的計算機信息安全方面的工作，同時負責計算機系統遭到非法入侵的緊急事態的對應；計算機病毒的侵害；對計算機安全方面人才的培養；對各個部委提出相關的課題進行研究等幾個方面的領導和協調工作。

4、 政府的各個部委應當依法加強對計算機信息安全的管理與控制，防止利用政府的計算機系統對其他的計算機系統進行惡意攻擊事件的發生。

5、 為了進一步提高日本的計算機信息安全水平，政府應當不斷加強與民間團體、企業的研究機關之間的信息交換，建立官民緊密協作、聯動的合作體制。

6、 政府的各個部委應當定期對本單位計算機信息安全規則進行評價，如有必要，應當在規則制訂一年之后進行調研，以確定是否要對現行的規則進行修正。

另外，日本政府總理府辦公廳負責制訂計算機信息安全的指導方針，應當結合各個部委計算機信息安全具體規則實施的情況，對來自外部網絡的計算機技術性的威脅等情況，進行持續不間斷的研究、評價，在此基礎上制定相應的對策。

四、 計算機信息安全規則的制訂

（一）組織機構

為了制訂計算機信息安全的規則，應當確立相應的組織機構。如日本最高的計算機信息安全組織，即信息安全委員會的人員是由下列各級組織的負責人構成：

 委員長，日本政府總理府辦公廳長官

 辦公廳信息系統部門負責人

 辦公廳總務科負責人

 辦公廳文書科負責人

 辦公廳秘書科負責人

 辦公廳會計科負責人

 辦公廳宣傳科負責人

而且，政府全部的各個部委的信息安全工作的負責人，作為國家信息安全委員會的組成人員，信息安全委員會具有決策權。

（二） 基本方針的設定

為了確保各個部委的計算機系統的信息安全，以各個部委所確定的對策為基本方針，其中應當包括：信息安全對策的目的、范圍，各個部委結合本部門自身的特點對信息安全的基本認識以及具體的措施。還需要強調的是，這個基本方針屬于綱領性、指針性的文件，要注意其穩定性。

（三） 風險的預測

1、要點：

所謂風險預測是針對要進行保護的信息資產所做的預測、評估。具體的方法可能是多種多樣的，下面是其中的方法之一。具體的步驟如下：

（1） 各個部委清查的信息資產，進行分類，基于結果，確定具體的信息安全標準等級。

（2） 各個部委調查所面臨的可能遇到的信息安全方面的威脅，根據被害發生的頻率以及被害的程度，預測風險的大小。

（3） 制訂對策標準應當高于預測風險的程度，進行切實、適當的風險管理。

需要注意的是，在信息資產變更、信息資產風險因素發生變化之際，需要重新進行風險評估，在必要時應當修訂信息安全規則，同時如果在風險評估過程中發現了問題，應當及時、迅速地采取對應措施，加以解決。

2、信息資產的調查

應當明確所需要保護的目標，信息在哪里？誰在管理？處在怎樣一種管理狀態？針對這些問題進行調查。

3、 重要性的分類

對調查的信息資料可以從機密性、完全性、可用性這三個方面進行分析、予以分類。基于此種分類來確定信息安全的標準（4級）：

Ⅰ：計算機信息安全的侵害對國民的生活、財產、隱私權造成重大影響；

Ⅱ：計算機信息安全的侵害對政府行政事務的執行產生的重大影響；

Ⅲ：計算機信息安全的侵害對政府行政事務的執行產生輕微影響；

Ⅳ：幾乎沒有影響。

4、 風險評估

對調查的信息資產實施風險評估。

（1） 對來自各個方面的危險進行調查：

a、 物理方面的：無許可進入、破壞、故障、停電、災害等；

b、 技術方面的：非法入侵、竊聽、計算機病毒、篡改、刪除、DOS進攻、隱名攻擊；

c、 人為方面的：誤操作、帶出、非授權行為、密碼管理混亂。

（2） 針對信息資產面臨威脅的風險大小進行調查：

a、 威脅發生的頻率

b、 被害的程度的大小

5、 防范風險所采取的對策

依據風險評估的結果來確定風險的對策，即采取何種措施進行應對。首先，要制訂滿足信息安全需要的標準，降低風險；其次，還要考慮在實際發生被害的情況下，如何保存信息資料不丟失、不被篡改，如何繼續使用信息資料，以及如何進行容錯、復原等因素，在對策中應也當予以關注。

具體的講，依據信息財產的重要程度來決定信息安全標準，信息安全標準越高，就會將風險降低。

符合信息安全標準降低風險的具體方法有以下幾種：

（1） 限制人員進入網站的不同內容領域的訪問權限；

（2） 僅允許從指定的入口進入網絡；

（3） 檢測篡改計算機體系的方法；

（4） 引入補丁程序；

（5） 監控、記錄接入網絡的實況。

通過上述的具體方法的使用，可以降低風險程度。

（四） 對策基準的制定

依據對信息資產的風險分析所得到的結果，而分別制訂出對策，在此基礎上而制訂出對策的基準。

1、 構成（對策基準由下列內容構成）

（1） 組織體制

（2） 信息的分類和管理

① 信息的管理責任

② 信息的分類及管理方法

（3） 來自物理（計算機機器方面）的安全隱患

（4） 來自人員方面的安全隱患

① 作用、責任及免責事項

② 教育、培訓

③ 對于事故、被害發生的報告機制

④ 密碼的管理

⑤ 對臨時人員的雇傭及勞動合同的簽訂

（5） 技術的安全隱患

① 對計算機及網絡的管理

② 接入網絡的管理

③ 對系統的開發、使用、保養等方面

④ 對計算機病毒的防范對策

⑤ 注重全球信息安全情報的收集

（6） 運用

① 監控計算機信息系統，以及對信息安全規則的遵守情況

② 運用過程中管理方面的注意事項

③ 遭到外部攻擊時的應對措施

④ 委托外部專業機構運作系統時，注意委托合同的簽訂

（7） 遵守政府頒布的法律、法規

（8） 對現行的信息安全規則的評價、修正

2、 組織體系

關于為了確保計算機信息安全系統的組織體系，作為干部層面應當給予足夠的重視，確定最高信息安全組織的負責人，明確規定具體的權限、責任。具體的講，建立以這個最高負責人為首長的信息安全委員會，確定信息安全規則予以確認的體制，調查在實施信息安全規則時出現的不適合之點，并加以改正。并且，擔負起計算機信息安全教育、啟蒙的責任。

3、 信息的分類及管理

（1） 信息的管理責任

針對各種各樣的信息，確定誰來負管理責任。針對信息管理者，信息利用者，有必要規定具體的規則。而且，信息管理責任者以及確定誰做成的信息，誰負責任；另外尚在制作中的信息，電子郵件等，沒有具體確定由誰管理的信息，決定應當由該人進行恰當的管理。

（2） 信息的分類及管理方法

關于各個部委掌握的信息資源，基于風險評估的分類結果，確定具體的分類及管理方法。

具體的講，除信息的分類及信息分類的標識外，作為信息管理方法的進入網絡系統權限的設定，密碼化，媒體的管理，信息的變更及廢棄的管理，分類的有效期限等方面都應當做出具體的規定。

另外，對已經分類的信息的復制、傳送之際，應依據該分類的方法、程序進行管理。

4、 物理的信息安全隱患

在設置計算機信息系統的場所，對無許可進入、損壞保護裝置、出入管理、電腦的失竊等物理方面的安全隱患，應當采取相應的措施。

針對便攜式電腦快速普及的狀況，為了防止使用筆記本電腦等便攜機器的泄漏信息，應當認真研究切實可行的對策。

5、 人為因素的信息安全隱患

提高信息安全的程度有時會與方便性發生沖突，會產生使用者難于理解的一些情況。因此，應當采取相應的教育、啟蒙工作的對策。

（1） 在基本方針規定的對象范圍內，確定各個對象的對信息安全的職責、作用，以及與外部的關系（包括委托外部的開發人員）。

確定免責事項，例如對由于自身的責任引起的信息安全隱患，積極、及時地報告情況的可以免責。以及一些使信息安全規則更便于執行的必要事項，出現意想不到的問題，也可以免責。

① 最高信息安全責任人

具有所有與信息安全有關的最高權限及責任。而且，在實際運作中享有重大事項的決定權等權限。

② 信息安全擔當官（部門負責人等）

各部委的各級機構設置安全信息擔當官，規定具有針對各級組織指示、收集意見，承擔責任的職權。例如，規定各部門職員如果違反信息安全規則時，應當及時聯系信息安全擔當官，聽取建議、指示。另外，在何種情況下，向最高信息安全責任人匯報等事項，也應當做出規定。

③ 系統管理者

系統管理者對日常運轉的計算機系統來講，是必不可少的。同時因其管理職責所賦予的管理權限，對信息安全產生重大的影響。因此，不但要明確規定系統管理者的責任、作用，還要規定避免不正當利用職權的情況發生，建立由復數系統管理者操作，及操作相互確認的監督體制。

④ 對于職員等的要求

a、 信息安全規則的遵守義務

遵守信息安全規則明確記載的操作程續，鼓勵職員提出合理的建議

b、 對外部信息安全委托的管理

各個部委對外部專業機構的委托（包括開發、運行、管理等業務）應當明確規定，使其認識到遵守信息安全規則的重要，以及違反信息安全規則的損害賠償等，主要的內容應當記入委托合同。

另外，受托的專業機構應當具有處理信息安全方面的知識技能。因此，要從這方面的能力、可靠性加以考察。

c、 對臨時雇員的管理

按照對普通職員的規定予以對待。

d、 其它

與計算機信息資料有機會接觸的職員，在離職、調動之際，應當采取相應的措施防止本部門信息的泄漏，例如簽訂保密協議。

（2） 教育、培訓

信息安全規則的實施，部分是由于技術的設置自動實施的。但大多數是基于管理者、使用者的判斷與行動來實現的。因此，為了保持對信息安全的重要性認識程度，有必要制訂相應的培訓計劃。其主要內容，如防止無許可進入網絡、病毒入侵、內部人員情報泄漏及外部攻擊等。

具體的可以采取研討會、說明會以及其他啟發性的講座，并且對新職員要進行上崗前的培訓。

（3） 對事故、漏洞的報告機制

職員在發現系統出現信息安全方面的事故、漏洞的時候，不應當擅自解決問題，而應當迅速及時地報告信息安全擔當官，并按其指示行事。為了防止該事故、漏洞產生的損害擴大，應當規定報告義務及程序。

（4） 密碼管理

為防止外部無許可者入侵本系統網絡，系統的全體使用者必須嚴格遵守密碼管理的規定。另外，密碼不僅是為了保護網絡、同時也是為了保護信息資源而使用的。因此，不僅應當制定進入網絡的密碼管理對策，同時應當對各個終端機的文檔進行恰如其分的密碼管理。具體的：

① 對密碼進行秘密保管。

② 密碼不做記錄。但確信能夠保存在安全場所的除外。

③ 當信息系統及密碼可能面臨危險之際，應當更改密碼。

④ 選擇適當的密碼長度，密碼應讓他人難以推測。

⑤ 定期更改密碼，根據使用次數進行變更，舊的不再重復使用。管理者的密碼要加大更改的頻率。

⑥ 不允許他人使用密碼。

⑦ 使終端接入機器沒有記憶密碼功能。

（5） 臨時雇員必須遵守的事項及雇傭合同的簽訂

對臨時雇員，從確保信息安全的角度，有必要讓其徹底理解、遵守信息安全規則。特別是讓其在進行電腦操作之際，應當明確規定對該電腦的管理職責，及該職員進入信息網絡系統的權限，以防止其無許可進入網絡系統。

因此，在雇傭臨時雇員之際，讓其徹底了解信息安全規則，并應當簽訂保密條款（在雇傭合同中）。

6、 技術方面的安全隱患

（1） 對計算機信息安全及網絡系統的管理

制訂關于信息系統運行管理的程序，對網絡系統的管理規則，對錄入信息的介質的保護規則，以及在與外部進行信息交流時的注意事項。例如：

① 定期保存接入網絡系統的記錄

② 信息系統的更新，應當預先提出計劃，寫清必要性，并應獲得主管部門的批準。更新之際，要保持能夠及時復原的狀態，并應當在系統非工作時間進行更新作業。

③ 為了應對突發性的緊急狀態，對重要的系統應當預設備用系統。

④ 對于非常事態使用的備用系統，應當每季度檢查一次，并保持能夠隨時可以使用的狀態。

⑤ 定期對管理人員進行計算機信息安全的培訓。

⑥ 定期對信息系統進行備份。

另外，應當制訂系統使用者的注意事項，例如：

① 禁止在業務之外使用計算機信息安全系統。

② 禁止將業務數據帶出工作場所，經上級批準的除外。

③ 禁止擅自安裝使用未經許可使用的軟件。

④ 禁止擅自改變各自使用的計算機配置。

（2） 對接入網絡信息系統的控制

接入網絡信息系統，應根據業務的要求而獲得許可，并規定使用者的訪問的權限及責任。對信息系統的管理者，要規定密碼的管理規則及管理者的職權范圍。對重要的系統，應當制訂特殊認證個人身份的方法，限制訪問的級別、權限。

（3） 信息系統的開發、引進、維護等

在新的計算機信息安全系統開發、引入、更新之際，遵照信息安全規則進行風險評估，制訂信息安全對策方面的必要事項，以及對外部專業機構委托開發的必要事項，應當予以明確的規定。

對于引進的新型計算機，需要從信息安全的角度加以考察。

對因故障、更新而廢棄的計算機，應當防止機器中留存的信息資料外泄，例如規定采取措施對廢棄舊硬盤進行破壞性處理，使之無法讀取其中的信息。

為了維護信息系統的正常使用，應當建立24小時監視體制，規定引入補丁程序的程序、方法。

（4） 計算機病毒的對策

制訂防止計算機病毒感染的規定。如對信息系統進行防毒、查毒、殺毒的措施、職員守則等。例如：

① 禁止使用無許可軟件；

② 設置防火墻，對來自外部的可疑郵件、軟件進行阻隔處理；

③ 對服務器、終端機器保持最新版本的殺毒軟件并隨時進行更新；

④ 對重要軟件、信息系統以及信息，需要定期的進行檢查。

（5） 信息安全的情報的收集

計算機軟件的安全漏洞，常常在不經意時被發現。因此，應當時刻注意收集信息安全方面的情報。為此，應當規定信息收集體制，分析程序，信息收集來源出處等規則，并能夠在發現重要的安全隱患時，立即妥善處理。

7、 運用

（1） 信息系統的監控及信息安全規則遵守狀況的確認（下稱運用管理）

為了確保信息安全規則的落實，防止無許可進入、非法入侵網絡以及各種各樣的攻擊，對信息系統的使用者的狀況，以及接入互聯網時信息系統的運行狀況等，必須進行經常性的嚴密監控。各部門進行自我確認，以及由信息安全擔當部門設置全天候自動監控裝置。這不僅為了確保信息安全規則的實施，同時也可以對規則存在的疏漏加以檢驗，便于以后及時修訂。

對于網絡的接入記錄的分析，應當規定切實進行。對接入的時間、時長等內容保證準確性，以及防止篡改、抹消等行為的發生，采取適當地保存措施。

（2） 運用管理的注意事項

必須嚴格禁止利用信息安全系統的軟件偷窺網絡使用者的電子郵件，以及利用系統信息安全軟件侵害他人的隱私的行為。同時，在實施計算機信息安全對策時，應當注意不要對職員的隱私權產生不良影響。為此，應當規定使用上述軟件的條件、要求。

（3） 遭受侵害時的應對措施

為防范信息安全系統遭受侵害或可能的侵害，有必要制訂出現緊急事態應對計劃。

在緊急事態應對計劃中應當規定：侵害發生時的聯系方法，證據保全，防止被害擴大，復原等措施，做到能夠及時而迅速地應對，以及防止緊急事態再度發生的措施。

特別是針對查明被害原因的對策，為了事后的處理而進行的證據保全，迅速復原的措施等，應當做出明確的規定。

同時，除了防止自身信息資產的被害擴大之外，在可能給外部造成損害的情況下，應當及時采取相應措施。特別是注意對可能遭受損害的相關部門及時地發出警告。

除上述之外，還應當制訂面向管理者、使用者的在緊急事態下，簡明易懂的操作規程。

※ 具體的講，緊急事態對應計劃的主要內容應當包括以下幾點：

① 緊急聯絡事項

規定聯系人、聯系住址、聯系方法。

例如信息安全負責人、上級負責人、部委信息安全負責人、總理府辦公廳信息安全對策委員會負責人、警方等。

② 案件的調查

為了把握侵害案件的真實情況，規定必要的調查辦法、項目。

例如：對狀況的分類、查明原因、記錄受害的范圍、影響。

③ 對突發案件的應對

規定應對的措施、負責人、操作者、操作程序等。

例如：聯系、斷絕網絡的聯接，停止信息系統運行，取得接入網絡的記錄以及應對記錄，復原、監視事態再發生。

④ 防止緊急事態再次發作的措施

對案件進行分析，決定防止緊急事態再發生的措施。

例如：向信息安全委員會報告，對該案的風險分析，制訂防止再發生的計劃。

（4） 與外包業務公司的合同

對于委托外部公司運行、管理信息系統所簽訂的合同，應當條款明確，并且建立確認制度。例如，當國家法律、法規規定的情況出現，必須與信息安全擔當部門聯系。以及確認接入記錄、從危害程度的角度劃分類別等，通過備用的緊急聯絡網絡與外包公司聯網，確立信息系統運行、管理的體制。

8、 法令的遵守

規定遵守相關的法律、法規。作為應當遵守的法律、法規，要明確地列舉，其目的就是不要違反。例如：著作權法，防止不正當接入法，個人隱私保護法等法律中，都有明文規定。

9、 違反信息安全行為的應對措施

對于違反信息安全規則的相關人員及監督負責人，視其情節的嚴重性，按《國家公務員法》的規定予以處置。

另外，對在業務中存在違反信息安全行為情形，有必要建立依據上級的指示、直接命令其停止使用網絡終端機器的體制。

以上介紹了日本在構建電子政府，進行電子政務時關于信息安全方面的一些做法，對于構建電子政府，進行電子政務的各個國家來講，信息安全都是非常重要的一個方面，無論對哪個部委，哪級政府，同樣是至關重要的。因此，中國電子政務進行普及、開展之初，就應該注重加強這個方面工作，這對中國的電子政務的開展將起到重要的作用。