我国可借鉴什么 　　

　　我国在信息系统安全管理方面开展工作的时间不长，相关经验不多，许多应建立的规章制度还在摸索之中。2005年7月刚刚发布的《2005中国信息化发展报告》谈到信息安全的时候，提到蠕虫和病毒在网上传播十分猖獗、木马事件潜在威胁巨大、各类网络违法犯罪日益突出，但没有专门介绍电子政务的安全现状。

　　重视管理机制制度

　　《2005中国信息化发展报告》指出，要加强对信息安全工作的领导，建立健全信息安全领导责任机制，明确主管领导，落实责任部门，建立和完善信息安全监控体系，加强以密码技术为基础的信息保护和网络信任体系的建设。

　　重视管理机制制度这一方面，中美两国有相近之处。美国《联邦信息安全管理法案》认为，联邦政府存在信息安全隐患最根本原因是缺乏有效的信息安全管理规划。基于此，美国《联邦信息安全管理法案》要求政府建立一套全面的信息安全控制管理框架。不仅如此，考虑到各个机构在信息安全管理规划方面难免出现漏洞，美国《联邦信息安全管理法案》制定了一套完善的评估机制，包括部门定期自检以及管理和预算办公室、国家标准技术研究院以及其他独立机构的评估。

　　《联邦信息安全管理法案》要求美国联邦政府各个机构的信息安全报告包含如下信息：风险评估情况、政策和流程、个别系统的安全规划、相关培训情况、年度测试和评估情况、采取的对策、信息安全事件报告以及运行连续性。

　　美国的评估机制，保证了部门领导在意识上定期关注各自部门的信息安全，又使得他们有能力全面深入了解本部门信息安全的方方面面。这样，既提高了部门领导对信息安全的重视程度，又采用完善的制度来提高各个部门发现、报告和共享信息安全隐患的能力。与美国相比，我们还没有明确提出要建立全方位的评估体系。

　　完善标准法规体系

　　《2005中国信息化发展报告》指出，抓紧制定信息安全等级保护的管理办法和技术指南，建立信息安全等级保护制度，加强信息安全法制建设和标准化建设。

　　在标准法规、技术指南方面，我国政府主要精力集中在信息安全等级保护方面。比较而言，美国政府制订的标准法规、技术指南则更为全面。美国《联邦信息安全管理法案》规定，由美国国家标准技术研究院（NIST）负责为政府各个部门提供相关法规制度或技术援助，进行信息安全方面的研究，并且参与国家安全体系相关标准的开发。

　　安全不仅是技术问题，同时还是社会和法律问题。与美国相比，我国在标准的制定、认证、检测等方面有待于进一步的加强。信息安全标准方面，我国有国家信息安全产品测评认证中心、公安部、国家质量技术监督局等多个部门参与这方面的工作，而美国则在法案中明确表示由美国国家标准技术研究院一家来完成。还有一点值得注意的是，我国信息安全标准的培训、认证和检测机构中，有一些是赢利机构，这在某种程度上降低了其公证性。