如何制定計算機安全計劃

處理核材料或其他放射性物質以及開展相關活動的設施是需要高度安全和安保的關鍵基礎設施。通過對計算機安全采取全面和積極主動的方案，各組織可以保護這些設施中的敏感信息資產和計算機化系統不受損害。原子能機構建議的計算機安全方案的基礎在于各國制定有關國家戰略或政策的要求，并能夠對實物保護、核安全以及核材料衡算和控制相關敏感信息和計算機系統進行保密和保護。這些要求也可以采取國家法規的形式，對制定和實施“ 計算機安全計劃”*作出規定。

“計算機安全計劃”是一個總體框架，包括實施計算機安全政策和程序有效計劃的關鍵要素，計算機安全政策和程序將在核設施或放射源設施的整個壽期內采用。“計算機安全計劃”的目的是保護敏感信息資產和對維護安全和安保功能至關重要的計算機化系統免受網絡威脅，以減輕網絡攻擊的影響。

全面而有效的計算機安全戰略需要系統性方案，其中整合各種要素，包括維護國家核安保制度的法規、計劃、安全保護措施和應急能力。

有效的法規能為保護敏感計算機化系統提供法律框架，并確保各組織制定和適當實施“計算機安全計劃”*。

作用和責任

具有問責制的組織作用和責任對于有效管理至關重要，特別是涉及關鍵基礎設施的情況下。必須認識到組織層次結構以及權力劃分和報告結構，以便在“計算機安全計劃”內灌輸高效和有效的協作和協同作用。

風險、脆弱性和合規管理

計算機安全風險管理涉及對敏感數字資產和計算機化系統的脆弱性和潛在后果的評價，利用分級方案實施計算機安全控制，抵御網絡攻擊。所采用的安保措施水平應與受保護的信息和（或）計算機化系統相關的風險水平相稱。通過考慮脆弱性或威脅的后果，各組織可以確定減輕風險所需的安保措施水平。

安保設計和管理

計算機安全設計是防范網絡威脅的一個關鍵方面。基本設計原則包括分級方案和縱深防御，即實施多層分區安保控制，以防止和減輕攻擊。對安保的要求也必須納入整個系統開發周期，包括通過明確的政策和協議約束第三方組織，以確保安保措施的一致性和有效性。

數字資產管理

計算機安全的有效性取決于通過系統的過程列出所有設施功能、資產和系統的全面清單，包括對保護核業務或保持核材料和其他放射性物質安全可靠使用至關重要的敏感數字資產。這類清單還要提供對組織支持訪問控制、備份和其他安保措施至關重要的數據流和相互依賴關系，以保護這些資產免遭破壞或盜竊。

安保程序

執行的核安保政策和程序為防止盜竊、破壞或未經授權使用核材料和設施提供方向和責任。這些政策確保對敏感信息和資產的訪問受到嚴格控制，并確保對有訪問權限的個人進行適當的篩查和培訓。

人員管理

誠信、意識和培訓對核工業的人員管理至關重要。應進行誠信評價，以確保人員可靠、能夠勝任，并且沒有任何可能損害安全或安保的利益沖突。保持合格和值得信賴的人員對于確保核安全和核安保至關重要。

* 更多細節載于原子能機構《核安保叢書》第17-T（Rev.1）號《核設施的計算機安全技術》。