为保证信息的安全发展,英国先后制定了一系列的法律规范,为信息管理提供了法律保障。1998年的《数据保护法案》确定了公民具有获得个人全部信息、数据的合法权利;1999年英国出台了《通信管理条例》;2000年有关部门提交了《调查权法案》;2003年12月11日,英国更新了对《通信管理条例》和《调查权法案》具有指导意义的《通信数据保护指导原则》,将法规适用范围从电话、传真扩展到电子邮件和其他信息服务形式;此外英国内政部公布了《垃圾邮件法案》,加强对个人通信的管理;2004年初,英国政府出台了应对网络诈骗、网络色情、电脑病毒传播、黑客攻击等“电子犯罪”的战略,要求搜集整理英国官方的多家犯罪调查、研究机构的信息,对现有法律进行评估,展望和研究未来电子犯罪的本质,为政府、执法部门和工商企业应对网络犯罪提供宏观指导。为了使这些法律的规定落到实处,贸工部(The Department of Trade and Industry,简称,DTI)制定了一系列的指导文件。包括:《信息安全:保护单位自查》(Information security: Protecting your business assets)、《2000年电子通信法案的指导》(Guide to Electronic Communications Act 2000)等。
贸工部在2004年4月份做了一份题为《信息安全----单位的网络使用指南》(Information Security :A business guide to using the internet)的报告。在该报告中,他们按照危机管理的原则,分五个步骤对信息化的风险及风险管理进行了说明。该报告提出的保证单位信息安全的五个步骤:1,需求分析。首先分析需不需要上网,然后分析所需上网的功能,再选择服务供给者。2,评估风险。首先需要了解你的计算机和信息的潜在威胁;确定你的单位的事务的公开程度;评估其潜在的风险。3,制定安全政策。说明:①可以使用的服务;②谁批准建立网络连接;③谁为安全负责;④应当遵循什么样的标准、指南和实践;⑤用户的责任。要明确安全负责,虽然所有的用户都有一定的责任,但最终要确保实施和保持适当的安全措施将是管理高层的责任。4,实施安全措施。需要一定的程序、技术和人员方面的控制措施,其复杂性取决于组织所选择的服务的类型。5,管理、监控并维持有效的安全。不断进行循环,需要采取的步骤如下:①修改工作计划以适应变化的事务需求;②评估风险;③根据风险程度的变化及时修改安全政策④实施满足政策要求的安全控制措施;⑤监控并保持安全控制措施的有效性。
在英国的信息化风险管理过程中,以下两个认证体系是典型的经验。第一,BS7799安全标准,颁发于1999年,定义了在信息安全管理方面的最佳实践。近年来,BS7799获得了越来越多的关注,越来越多的单位采用BS7799作为安全管理方面的最佳实践参考,使用它来进行安全审计和风险评估,进而建立自己的信息安全管理系统(ISMS),最终通过BS7799认证。第二,TickIT (Tick Information Technologies)计划,是英国贸工部(DTI)和英国计算机协会(BCS)为了适应软件业的特殊需要,而在ISO 9001和ISO 9000-3基础上制定的一项软件认证计划。目前,TickIT已得到英国政府部门和世界上主要软件商的承认;除英国外,瑞典、法国等国家也采纳了TickIT认证模式。
及时颁布各种法规和相应的指导性文件来规范和指导信息化的风险管理是英国的成功经验之一。除了上面提到的《信息安全:保护单位资产》和《2000年电子通信法案的指导》之外,DTI还制定了许多指导性的文件,包括:《物理安全列表》(Physical security checklist)、《如何制定信息安全政策》(How To write an Information Security policy)、《系统失败的预防》(Systems failure prevention)、《人力资源管理条例》(HR dismissal discipline)、《ISO/IEC 17799用户组》(ISO/IEC 17799 Users" Group)以及《ISO/IEC 17799用户组指南》(Guide to the UK ISO/IEC 17799 users’ group)等等。这些都具有相当程度的可操作性,为英国信息化风险的管理提供了保障。