2004年9月到2005年5月，为了评估政府各个部门在信息安全方面政策法规的全面性、有效性，美国联邦政府审计署分析回顾了从2003财年到2005年5月的相关报告、各个政府机构总检察长的相关报告、管理预算办公室的《联邦信息安全管理法案》指南，以及国家标准技术研究院的相关标准、指南以及年度报告。2005年7月，美国出台《信息安全年度报告》。中国在政务安全方面有什么可以借鉴的？

　　2005年7月，美国联邦政府审计署向美国国会提交了《信息安全年度报告》（以下简称美国报告），其题目是《信息安全：相关法规执行方面有所成就，但是仍然存在薄弱之处》。美国报告指出，联邦政府各个分支机构以及众多事关国计民生的部门，包括能源、供水、电信、国防以及应急服务部门，他们的日常工作已经广泛依赖计算机信息系统以及电子数据。这些信息系统、数据的安全非常重要，信息安全措施要防止数据篡改，保证核心业务连续性，预防数据欺骗以及阻止敏感信息泄漏。

　　美国政务的五大安全隐患 　　

　　美国审计署发现，美国联邦政府24个部门信息系统普遍存在安全隐患，主要体现在以下5个方面：访问控制并未有效实施、软件变更控制并非总是有效、职责划分没有始终如一地执行、业务持续性计划经常是不充分的、部门信息安全规划没有全面地应用。

　　访问控制

　　它保证只有经过授权的用户才可以阅读、修改或者删除数据。访问控制包括电子方式以及物理方式，前者包括账号控制、密码控制以及用户权限控制，后者包括门卫、门锁等方式。24个部门中有23个部门在访问控制方面存在隐患。例如，有的信息系统允许用户使用非常简单的词语做密码，这使得黑客很容易破解密码。物理控制方面，有的部门并未有效采用门锁、门卡等手段。

　　软件变更控制

　　软件变更控制确保只有经过授权的软件程序才可以被安装，软件变更控制也会监控敏感程序、数据的使用情况。24个部门中有22个存在这方面的漏洞，例如软件系统没有采用正确流程进行升级。此外，有的信息系统在程序调整方面的批准、测试以及实施的文档记录没有良好维护，以至于出错的或者有预谋的程序将会严重威胁到系统安全。

　　职责划分

　　职责划分降低个人进行错误操作而没有被发现的风险。24个部门中有14个存在这方面的隐患，主要体现在系统管理和系统安全管理没有很好地分清。例如，有的部门用户可以在系统中添加并不存在的账号并获得很高的权限，用这个账号从事的活动没人监管。

　　业务连续计划

　　确保计算机相关的业务在紧急情况下不出现严重中断，例如出现地震、火灾等破坏活动的时候。20个部门存在这一方面的隐患。在审计署2005年4月提交的报告中已经指出，不到一半的部门有应急指挥通讯录，很少的部门记录了重要文件分布情况，大多数机构没有测试、检验、演习他们的业务连续计划以确保灾难发生时可以应用这些计划。

　　部门级别的安全规划

　　上述问题的存在，主要是因为各个部门没有强有力的信息安全管理规划。部门级别的安全规划提供工作框架，确保全部门能够理解风险并且有效控制、合理采取措施。这个方面，所有的部门都存在隐患，他们都没有制定全面的信息安全规划，尤其是新型的安全威胁方面，包括垃圾邮件、钓鱼以及间谍程序。