信息安全等级保护条例精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的信息安全等级保护条例主题范文，仅供参考，欢迎阅读并收藏。

第1篇：信息安全等级保护条例范文

关键词：信息系统安全 等级保护 福建

一、引言

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。我国实施的信息系统安全等级保护制度，根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统的安全保护等级划分为5个级别，从第一级到第五级逐级增高，对不同安全级别的信息系统实施不同的安全管理。

二、我国信息系统安全等级保护思想的形成

1994年，《中华人民共和国计算机信息系统安全保护条例 》（国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

20世纪80年代初，美国国防部制定了“国家计算机安全标准”等系列标准，包括《可信计算机系统评估准则》（TCSEC，即俗称的“桔皮书”）及其他近40个相关标准，合称“彩虹系列”。 TCSEC标准是国际上计算机系统安全评估的第一套大规模系统标准，具有划时代的意义。TCSEC将安全产品的安全功能和可信度综合在一起，设立了4类7级。

1999年，我国公安部组织制定了强制性国家标准――《计算机信息系统安全保护等级划分准则》。

2000年11月10日，国家计委批准公安部开展“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台项目”建设。

2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003］27号）明确指出“实行信息安全等级保护”，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。这标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位，以及“谁主管谁负责，谁运营谁负责”的信息安全保障责任制。

2004年9月，公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》（公通字［2004］66号），明确了信息安全等级保护制度的原则和基本内容，以及信息安全等级保护工作的职责分工、工作实施的要求等。

2006年1月，公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法（试行）》，并于2007年6月修订。

2007年6月，公安部会同国家保密局、国家密码管理局和国务院信息办联合颁布《信息安全等级保护管理办法》（公通字［2007］43号，以下简称《管理办法》），明确了信息安全等级保护制度的基本内容、流程及工作要求，进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务，为开展信息安全等级保护工作提供了规范保障。

三、开展信息系统安全等级保护工作的必要性和重要性

⒈开展信息系统安全等级保护工作的必要性

随着网络新技术的飞速发展和各类信息系统的广泛应用，网络与信息安全也相应出现了许多新情况、新问题，福建省网络与信息安全防护工作面临的形势十分严峻。这就使得开展信息系统安全等级保护工作成为必然。

一是网上斗争日趋复杂，不确定性增强。由于在互联网上传播信息具备快速便捷、低成本、无国界、易消除痕迹、技术变化快等特点，使互联网成为境内外敌对势力、敌对分子从事各种破坏活动的重要工具。我国将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。

二是网络违法犯罪活动迅速增多，造成的后果越来越严重。随着新技术、新应用的发展，暴露出来的网络与信息安全问题也日益增多。

三是漏洞数量居高不下，利用漏洞发起攻击仍是互联网最大的安全隐患。安全漏洞是指在网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误，攻击者利用这些缺陷和错误可以对网络系统进行非授权的访问或破坏。

四是计算机病毒传播和对网络非法入侵十分严重。据公安机关调查，2007年1-6月，我国平均每月截获计算机病毒6.6万个，累计感染计算机达1.18亿台次。2007年初在我国发生的“熊猫烧香”病毒案，短时间内就出现病毒变种700余个，感染了445万台计算机，大批网民的网上帐号、口令被窃取。

⒉开展信息系统安全等级保护工作的重要性

开展信息安全等级保护工作，就是要解决我国信息安全面临的威胁和存在的主要问题，按标准建设安全保护措施，建立安全保护制度，落实安全责任，加强监督检查，有效保护重要信息系统安全，有效提高我国信息和信息系统安全建设的整体水平。

建立信息安全等级保护制度，开展信息安全等级保护工作，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务；有利于优化信息安全资源的配置，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。

四、加快推进福建省重要信息系统安全等级保护工作

2007年7月20日，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”，部署在全国范围内开展重要信息系统安全等级保护定级工作。8月13日，福建省公安厅、省保密局、省委机要局、数字福建建设领导小组办公室等四家单位也联合召开“福建省重要信息系统安全等级保护定级工作电视电话会议”。这标志着福建省重要信息系统安全等级保护工作正式启动。

信息系统安全保护工作的首要环节是定级，定级工作是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准，系统建设、整改、备案、等级测评等后续工作都将失去针对性。此次福建省重要信息系统安全等级保护工作将分四个阶段进行。

1.突出重点，全面准确划定定级范围和定级对象

此次重要信息系统定级的范围是国家基础信息网络和重要信息系统，这些网络和系统广泛分布在各级党政机关和电信、广电、铁路、银行、民航、海关、税务、电力、证券、保险等数十个行业。将这些基础信息网络和重要信息系统纳入此次定级的重点范围，体现了统筹规划、突出重点、重点保障基础信息网络和重要信息系统安全的总体要求和原则。

2.依据《管理办法》，准确确定信息系统安全保护等级

福建省各运营使用单位和主管部门在全面分析各自信息网络和信息系统在国家安全、社会秩序、公共利益等方面的作用和影响的基础上，根据信息网络和信息系统被攻击破坏后对国家安全、社会秩序和公共利益等方面可能造成的危害程度等因素，依据《管理办法》，参照《定级指南》所提供的定级方法，综合确定信息系统的安全保护等级。在确定等级的过程中，要最大限度地避免定级的盲目性、随意性，力争做到定级准确、科学、合理。

3.及时备案，加强对定级工作的监督、检查和指导

为全面掌握基础信息网络和重要信息系统的单位和系统的基本情况，保护重点领域的重要信息网络和信息系统，凡是安全保护等级为第二级以上的信息系统运营使用单位或主管部门要按照《管理办法》的要求，到公安机关进行备案。公安机关受理备案后要对备案材料进行审核，加强对重要信息系统安全等级保护定级工作的监督、检查和指导；对定级不准的，要及时通知备案单位重新定级。

4.依据《管理办法》和技术标准，开展整改、测评等工作

信息系统的安全保护等级确定后，运营使用单位要按照信息安全等级保护管理规范和技术标准，使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作，建设符合等级要求的信息安全设施；参照信息安全等级保护管理规范，制定并落实安全管理制度；选择符合《管理办法》规定条件的测评机构，依据技术标准对信息系统安全等级状况开展等级测评，使其尽快达到等级要求的安全保护能力和水平。

五、加大力度，确保福省重要信息系统安全等级保护工作任务落到实处

随着北京奥运会的日益临近，特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点，信息安全等级保护的工作任务艰巨，责任重大。福建省公安、保密、密码工作和信息化等部门要密切配合，及时开展监督、检查，严格审查信息系统所定级别，积极开展备案、整改、测评等工作。同时，充分利用广播电视、报刊杂志、互联网等媒体，加大对国家信息安全等级保护制度的宣传力度，积极开展面向不同层次、不同对象的宣传、培训，以确保福建省重要信息系统安全等级保护工作落到实处。

1.明确职责，落实责任

各级公安机关要积极向当地党委、政府专门汇报，主动争取党委、政府对信息安全等级保护工作的重视和支持；或者成立专门的等级保护工作直辖市领导小组，加强对定级工作的领导，研究制定定级工作实施方案。各运营使用单位及其主管部门要按照“谁主管谁负责、谁运营谁负责”的要求，明确主管领导和责任部门。各信息系统主管部门要切实加强对定级工作的组织、领导，落实等级保护各项责任，督促、指导本行业、本系统开展定级、备案、建设整改等工作。

2.密切配合，通力协作

各级公安机关作为开展等级保护工作的牵头部门，要加强同保密、密码工作、信息办等其他信息安全职能部门的协调、配合，尽快建立健全信息安全等级保护监管工作的协调配合机制；要主动与信息系统主管部门交流沟通，督促配合其组织下属信息系统运营、使用单位建立信息安全责任制，建立并落实等级保护制度，从而确保等级保护工作的顺利、有效实施。

3.加强宣传，强化培训

第2篇：信息安全等级保护条例范文

某企业信息中心(以下简称信息中心)负责全国各机构的信息化总体工作，同时，也是信息安全等级保护的重点执行部门，通过多年建设，信息中心在IT资产管理、监控平台整合等方面已取得了较大成绩，基础平台已经投入运行。

随着信息中心信息安全管理成熟度的提升，风险评估、安全策略建设，信息安全等级保护实施等相关工作陆续开展，迫切需要一个处于管理层面的信息安全工作平台，满足信息中心各职能部门从信息安全要求、策略应答、到实施信息安全建设的需要，并且支持以风险为核心，通过评估、检查，审计提高信息中心信息安全的防御能力。

神州泰岳Ultra―SCM信息安全工作管理平台是一个构架于基础信息平台(服务台系统、集中监控系统)之上，满足信息安全职能管理要求，符合信息安全管理模型的一个信息化工作平台。

该平台在充分调研某信息中心安全管理现状的基础上，采取业务建模的方式完成平台的架构设计。根据业务模型，信息安全管理工作平台从业务功能上分解为五大模块：安全要求管理、策略管理、评估与审计，风险管理、信息安全知识库。

整个平台围绕一条主线来实现，通过策略应答的方式实现安全要求(需求)，以风险管理提高信息安全策略应答的针对性和目的性，以检测和审计验证安全策略实施效果。

为适应不同阶段管理成熟度的需求，平台需满足以下三类应用场景。首先它是一个学习平台。建立信息安全要求、标准、策略、实践参考等信息的知识库，供平台使用者学习用。

其次是基础工作平台。作为信息中心各专业部门的安全工作台，实现信息安全要求、标准引入管理，进行职责分工，实施策略应答，对安全策略执行情况进行评估和审计，检测安全检测效果。即支持信息安全的正向建设实施。

最后是职能管理和全面风险管理。从外部信息安全要求、标准出发，实施差距性风险评估，以风险为核心实施管控，促进信息安全策略的完善，推动信息安全建设。

通过本平台的建设，为信息中心各职能部门提供了一个信息安全学习交流平台，用户可以获得大量信息安全知识，同时能够通过这个平台将工作中的经验和知识进行共享；通过对信息安全等级保护要求、信息中心内部信息安全制度的引入管理，安全策略的应答，制定和实施，保障了依赖于信息系统的业务安全有效运行。

通过引入风险评估和审计方法，规范了信息中心风险评估和审计活动，有效的识别了当前存在的和潜在可能存在的风险，并制定风险控制措施，降低了风险对业务系统可能产生的影响，同时，通过审计活动验证信息安全工作的落实情况，督促对不符合信息安全规定的内容进行改进，逐步提升信息中心信息安全建设的有序运行。

讯鸟，呼叫中心系统专家

北京讯鸟软件有限公司创立于2001年，是专业的呼叫中心系统和服务提供商。主要业务包括呼叫中心系统建设，呼叫中心在线托管与呼叫中心服务外包等。

通过技术和服务帮助企业实现与客户的互动式沟通，开发最大的价值潜能是讯鸟多年以来孜孜以求的目标。通过讯鸟的技术，呼叫中心这样一个原本只有政府及机构和大型企业才有实力采用的奢侈品也可为广大迫切需要提升与客服互动能力及服务水平的中小企业所采用。

在转型中成长

从2001年进入呼叫中心行业以来，讯鸟就秉承着创新开拓的精神，不断壮大自己的实力，调整行业定位，谋求更大的行业话语权和影响力，其自身角色也经历了几个转变。7年来，讯鸟从呼叫中心应用集成商到呼叫中心中间件提供商，再到呼叫中心运营商和软件供应商，不断拓展着新的发展空间，同时也在引领呼叫中心的一个个新时代。

2001年讯鸟公司成立之初，主做呼叫中心应用集成。但在整个呼叫中心解决方案生态链上，应用集成的核心价值太低，且缺乏掌控力。讯鸟需要一个更有挑战和控制力的角色。公司创始人吴益民果断做出决定：改走呼叫中心中间件这条路。讯鸟的第一次成功转型，为讯鸟今后的发展奠定了扎实的基础。2002年，讯鸟成功研发出CTI产品，并成功签约阿里巴巴、艺龙等客户，取得了不错的市场业绩。2006年公司历经2年多研发的Disco系统正式上线，成功应用于中国大都会人寿保险公司、广东烟草公司，获得客户充分肯定。

讯鸟公司将呼叫中心基本功能和多年成功经验融合在一起，创造出呼叫中心标准化组件。并通过少量的定制开发(包括界面交互展示、客户流程设计、业务接口配合)与其完美结合。在专注呼叫中心领域的同时，讯鸟更重视用户的应用体验和应用价值的开发。追求帮助客户实现最大范围的多元化交互方式，创造突破时空、可控可管的有效沟通工具。

呼叫中心的“多面手”

讯鸟拥有强大的自主研发能力，多主体协同技术、软交换技术、基于广域网的IP语音传输协议和压缩算法，基于关键字搜索的呼叫中心服务系统及方法，面向呼叫中心的电话信号音检测方法及其系统等多项技术都处于国际领先水平。

传统的呼叫中心集成式建设模式是建立在多个来自不同厂家的松散组合而形成的松散体系，难以做到整个体系在更深程度上的高效整合与紧密协同，而工程式的维护与服务模式也让呼叫中心用户吃尽了服务与维护的苦头。

创新一体化呼叫中心系统

讯鸟软件凭借多年呼叫中心行业的经验与技术积累，提出了“整体化呼叫中心系统”的建设模式。讯鸟认为呼叫中心是一个企业与客户保持紧密联系的互动沟通枢纽，它是一个将人员、过程、技术和战略统一协调的综合系统，是公司大规模组织内部资源，开展规模化服务的战略业务中枢，是一个能够随着公司业务柔性发展、灵活分布，高效运作的核心系统。

整体化呼叫中心系统不再是由多个厂家的产品拼凑而成，而是以通过完善的标准化软件模块，搭建在相应硬件上的一个整体，并根据客户的需求进行相应的定制开发。在此基础上，讯鸟软件为客户提供从选择到使用的全面服务。讯鸟呼叫中心的模块化功能是根据多年经验，将行业中不同客户的普遍需求进行整理研发而成。

发扬传统交换机呼叫中心系统

讯鸟软件基于交换机的呼叫中心系统，是为企业提供的一套独立运营的呼叫中心系统。运用先进的CTI技术，将电话程控交换机、CTI中间件与计算机系统有机 的结合在一起，通过最佳的设计器，生成器和客户信息系统，自始至终地对电子化的客户交互进行跟踪和管理，满日益复杂的客户交互需求。

阿里巴巴呼叫中心是由讯鸟公司参与建设的，其呼叫中心主要负责阿里巴巴旗下诚信通，淘宝、支付宝、口碑网等电子商务交易的主动销售和客户服务。该客服中心的规模在国内位居前列。整个呼叫中心以杭州作为中心点，已建成北京、杭州、上海、成都、广州，青岛六个地区共9个分支点。整个呼叫中心集中控制的方式实现中继分散接入，座席分散与集中相结合。该项目充分考虑了交换机、网络或其他故障。通过采用远端交换机再生功能和讯鸟产品独有的多机热备系统，保证了该客服中心7×24小时不间断运行的要求。

IP呼叫中心系统

讯鸟IP呼叫中心系统采用先进的互联网技术，颠覆传统呼叫中心的模式，给所有具备宽带上网的客户提供一个不受时间。空间限制的可控可管的新型呼叫中心系统。企业用户除享受传统呼叫中心的各种功能外，还可以根据自己的业务应用、办公地点，任意部署固定座席、移动座席、手机座席，并通过报表等手段集中管理座席。讯鸟IP呼叫中心系统即提供对Web用户的服务，用户不仅可通过电话拨打，也可以通过因特网呼叫，直接和座席进行文字、语音交流，全面拓宽了企业和客户之间的交流通道。

让呼叫中心进入“平民时代”

2008年年初，讯鸟软件正式推出命名为“启通宝”的呼叫中心租赁运营业务，面向电子商务类企业开展呼叫中心出租业务。针对网商客户的需求与特点，企通宝推出了全托管运营的模式，客户可以按月按座席来租用呼叫中心系统，只需要配备人员和电脑就可以快速组建自己的呼叫中心。

该产品是讯鸟自主研发的全球领先的集散服务统一通信系统。即利用P2P技术、多主体无中心点分布处理技术、无上限堆叠式服务器和无总线技术，攻克了针对因特网的语音质量技术难关，在实现传统lP联络中心所有功能的基础上，还具有无瓶颈规模扩容、在线容错容灾、基于Web的DIY配置，基于Web运营、异地部署灵活分布等特点，可满足用户的多种需求。简单说，讯鸟启通宝让昂贵的呼叫中心进入了“平民时代”，只要具备因特网，拥有普通电脑和耳麦，就可以实现呼叫中心的所有功能。

讯鸟的SaaS型呼叫中心座席数量没有上限，可以服务上亿级的客户群。启通宝座席可多可少、增减灵活，一处多点和异地分布办公，都可轻松应对。对广大中小企业而言，此产品更是带来了一次商业模式和运营管理上的变革，“电子商务＋呼叫中心”的商业模式为处在金融风暴风雨飘摇中的中小企业带去了度过难关的有效方案。

现在，启通宝已在全国拥有300多家企业用户。2009年1月，功能更加强大的启通宝2.0即将面世。

第3篇：信息安全等级保护条例范文

尽管针对信息系统的监理工作已经开展了多个年头，但是其主要的工作目标仍然集中在以系统集成为代表的信息基础设施建设以及以软件研发为代表的应用系统建设，对于认知度和重要性日益提高的信息安全，监理体系的发展尚有很长的路要走。

作为信息监理体系中的一个分支和必要组成部分，信息安全监理既保有信息监理的基本特征，同时又有很多个性特质，这主要是信息安全本身的特性使然。

在实践中，信息安全不但与通常的监理对象一样具有规划、实施、运营等等清晰的工作周期，而且由于信息安全工作在变更、响应、教育方面的高要求，使得信息安全监理在开展过程中需要关注更多的问题。处理好这些问题，信息安全才能真正保障。

认识篇：安全监理 并不遥远

基于多年对信息技术产业的关心和促进，我国已经形成一系列的法规、条例和标准用于信息领域相关工作的规范和管理。针对信息安全领域，于1994年2月18日的《中华人民共和国计算机信息系统安全保护条例》，是我国信息系统安全体系的核心法律依据；而作为GB17859-1999国家标准的《计算机信息系统安全等级保护划分准则》则为我国的信息安全工作提供了标准上的支持。特别是2006年上旬公安部的《信息安全等级保护管理办法(试行)》，也称7号文件，其中针对不同等级的信息系统明确的在监管和监管资质方面进行了规定。这些法规标准的出台和实施为信息安全的监理工作提供了有效的生长环境，同时也预示着信息安全监理的大幕正在拉开，通过第三方的监理手段提高信息安全工作有效性正成为产业中一股新的力量。

重视实施

在信息安全工作体系当中，监理可以发挥极为重要的作用，有效的监理工作可以节约资源并保障信息安全工作的顺利开展。

在实施信息安全的过程中，监理机制可以保障安全特性与系统核心的工作目标适配，避免安全目标与系统目标之间发生冲突。即使对于信息安全本身，其保密性、完整性和可用性三大基本要求之间也存在着潜在的冲突，例如,在很多时候为了提高保密性的要求而可能会损害到信息的可用性，这些问题的权衡和建议体现了监理工作在整个系统体系设计层次的作用。

基于资源有限这一基本原理，在实施信息安全工作的过程中一个非常重要的问题在于使用合适的资源对不同类型的信息资产进行保护。很多信息安全工程或是没有分清保护的重点，或是对某些信息资产投放了过度的资源，这对于系统的安全乃至系统本身的运转都会造成不良影响。监理机制能够在资源调配上起到监管作用，从设计阶段就发现信息安全系统中潜藏的缺陷。

作为监理机制最重要的作用之一，监督信息安全的实施过程是信息安全监管的重中之重。即使拥有完善的信息安全系统设计也并不能保证信息安全工作的成功，保证实施方按照设计方案正确的进行实施与对设计方案的分析一样重要。在很多信息安全工程中存在着执行不利的问题，监理工作非常适合在执行过程中的发挥保障作用，在这类相对确定且可变性较低的层面可以充分发挥监理的标准化能力及管理能力。

从规范到管理

众所周知，在信息安全体系中管理制度和人员的因素与其它信息工程相比要占据更重要的地位。从信息安全制度规范的实施到安全意识技能培训，往往受制于企业内部的阻力。通过监理的形式促进这些工作的开展，除了可以有效的提高信息安全工作的质量，同时还可以推进整套工作的进展。

一个容易被忽视的信息安全问题是信息安全体系建设完成之后的管理，在一个信息安全系统建设完成之后并不代表着工作的结束，运营过程中的监管是不容忽视的。一个应用系统层面的变更带来的往往是生产力的促进和提高，而这种变更所带来的安全层面的变更往往会对信息安全体系造成巨大的破坏。所以在信息安全体系建设之后的生命周期当中，监理机制仍能够起到重要作用，保证信息安全工作的延续性。

对比篇：拨开安全监理与审计的迷雾

审计通常是指审计方在接受委托后，通过收集各种信息和证据从而对审计目标是否达到了预先设定的目标进行判断和指导，延伸到信息安全领域就是通过对计算机系统的数据进行记录和检验从而了解系统是否达到了要求的安全指标。而依照《信息系统工程监理暂行办法》，信息系统监理是指依法设立且具备相应资质的监理单位受托依据国家有关法规和标准对信息系统工程项目实施监督及管理。从概念上分析，这两种服务的目的都在于降低信息系统工程实施过程中的风险，从基本出发点上是完全相同的。

走出概念的误区

在实际的工作范畴以及作用等方面，监理和审计并不完全相同。

就一个信息安全体系来说，本身就需要记录充分的信息予以存档留待需要时分析，这也是审计机制中最核心的鉴证功能。但是一个成熟的信息审计过程并不仅仅如此，更重要的是通过第三方的力量对目标信息的真实性、完整性、可靠性进行验证，从而为决策行为提供充分有效的证明。从不同的视角对一个安全系统进行分析，可以更加真实的还原信息系统的安全现状，同时可以利用审计机构所具备的知识和经验，完善系统设计，以提高实施成功率。

从这一点来看，信息安全审计服务与信息安全监理服务的作用有一定的交叉性。而在此基础之上，信息安全监理还具有一些信息安全审计不具备的职能。首先信息安全监理需要履行监管的职责，也即不仅仅象信息安全审计过程一样要进行咨询、分析、建议，还要对整个安全体系的实施乃至运行采取强于审计工作的控制，以第三方的力量稳定项目发展的轨道。另外，信息安全监理还需要在项目开展过程中协调客户与实施方等多方之间的关系，保证参与方确实的履行合同条款，去除隐藏的欺诈行为。也就是说信息安全监理更侧重于项目成功的保障，而信息安全审计更侧重于信息的可信性。

值得一提的是，在针对项目范畴的信息审计在关注信息可信的基础上也包含了对信息系统有效性的审计，集中体现于对项目完成后系统运营状态的审计，在对于这一生命周期的关注上信息安全审计要强于信息安全监理。

正确实践

在实际的信息安全项目当中，信息安全监理与信息安全审计也有很多区别，集中体现于工作主体上的差异。

对于监理来说，必须由第三方完成相关工作，否则就失去了公正性和监管力。而对于审计来说，除了聘用外部机构对系统的安全性开展审计工作之外，很多情况下审计工作也可以由组织内部的信息安全团队完成。在通常情况下，基本的信息安全审计都是由内部人员定期执行并向管理层进行反馈，利用外部力量进行审计的情况相对较少，这也与国内用户对第三方审计的认知不够有关。

另外，审计和监理服务所面向的服务对象也有一定的差异。信息审计所具有的公证性目标，在执行信息安全审计时往往服务于类似管理层这样发起审计要求的局部对象。而信息安全监理则往往服务于用户和实施方两方，即使在特定情况下监理机制作用于组织内部的不同部门和层级，也具有作用多个对象的特征。

总体来看，在作用方面信息安全监理与信息安全审计处于相互融合、互相支撑的关系。在一个成功的信息安全项目当中，两者的作用都不容忽视，应该根据具体需要进行具体选择，并开展符合实际应用环境的具体应用。

实践篇：安全规划 重在督导

缺乏规划性是很多信息安全项目失败的主因，所以监理机构有责任向用户提出实施规划方面的建议。建议的方面有很多，而主要的原则面则基于成熟的信息安全项目操作经验。

安全原则不容忽视

首先我们要在规划制订过程中树立以人为本的意识，对计算机系统进行安全管理要充分结合对人的管理。授权最小化是安全管理的核心原则之一，保障权限授予的合理并减少冗余是任何安全体系成功的基础。

另外，在安全规划中不能忽视却常常被忽视的一个问题就是物理安全，协助用户分析如何管理各种存储介质，完善用户所在建筑物的安全管理，都是在监理工作过程中需要注意的问题。

对于安全事件的响应也是监理应该重点关心的方向，很多用户的信息安全体系具有完善的保护计划，但是在执行保护工作的过程中却常常因为缺乏健全的响应计划而导致信息资产的损失。特别是对于那些服务范围只涉及建设过程的监理，如果在规划阶段忽视了运营过程中的响应机制，就会给客户遗留一个缺乏后续保障的安全体系。

除此以外，还有很多问题值得关注，但相对来说有更多的范例可以借鉴，同时也更加容易通过规范来保障。信息安全监理应该在全局掌握的基础上，重点关注那些相对容易忽视、可变性较高、人员协调需要较强的范畴。

有效沟通是保障

规划的建立只是开始，在整个信息安全监理工作过程中，应该通过与用户的充分沟通，形成一套切实可行的安全管理制度。一般常见的安全管理制度包括了权限管理、操作规章、定期检测制度、信息分级、信息销毁、介质管理、响应计划、变更管理、员工培训等等。在形成制度的同时，一个更加不容忽视的问题在于制度的学习和实践，这也是监理机构发挥督管作用的重要阵地。

在实际工作过程中，制度的推行往往在客户方遇到一定的阻碍，而面对这种阻碍，往往会导致实施方降低项目的推进力。在这种情况下，监理方应该及时、确实的把握双方的思维动向，缓冲双方之间的矛盾，以便于达到项目协调的作用。

另外，监理方还应该对照双方确认完成的制度条款，通过检验手段保证安全管理工作能够顺利实施。这样既能够保证用户得到有效的安全保护系统，同时也是对实施方的工作成果负责，在此基础上监理方才能对双方的利益开展协调。在监理工作当中还有一个需要高度重视的问题，那就是监理方本身对于制度的遵守和执行。

作为用户与实施方的媒介，监理方必须严格依照实现制订的标准完成监理工作，这是获得信任的基础。同时监理方也应该尽力遵守用户和实施方之间的协议以及制订出的制度（例如进场制度），只有得到两方的尊重，才能顺利保证监理工作的开展。

教育在信息安全体系中的重要性已无需多言。信息安全所包含的知识跨越了很多领域，既有计算机技术，又覆盖了安防意识的范畴，而且还包含了诸如物理安全、社交工程学等很多与计算机科学没有直接联系的内容。

第4篇：信息安全等级保护条例范文

【关键词】 信息系统； 审计； 审计目标

2007年2月国务院国有资产监督管理委员会和国务院信息化工作办联合印发了《关于加强中央企业信息化工作的指导意见》，加快了国有企业信息化建设的步伐。国有企业审计是中国特色社会主义国家审计的重要组成部分。由于企业与公共部门在内部控制、管理和治理方面的差异，导致了企业信息系统审计与公共部门信息系统审计的不同特点。

一、增强国有企业信息系统的可信性

审计机关的审计目标取决于法定要求。根据《中华人民共和国审计法》的规定，审计机关对国有企业财务收支的真实、合法、效益，依法进行审计监督。显然，真实性是国有企业审计的目标之一。信息系统审计是国有企业审计的重要组成部分。国有企业审计的总体目标，决定了国有企业信息系统审计的目标。国有企业审计的真实性目标，必然要求国有企业信息系统提供真实性的信息，这意味着，审计机关的国有企业信息系统审计必须把真实性作为审计目标之一。

根据相关法律的规定，注册会计师也可以对国有企业进行审计。根据我国公司法第165条的规定，“公司应当在每一会计年度终了时编制财务会计报告，并依法经会计师事务所审计。”而且，2008年10月通过的《中华人民共和国企业国有资产法》第六十七条明确规定，“履行出资人职责的机构根据需要，可以委托会计师事务所对国有独资企业、国有独资公司的年度财务会计报告进行审计，或者通过国有资本控股公司的股东会、股东大会决议，由国有资本控股公司聘请会计师事务所对公司的年度财务会计报告进行审计，维护出资人权益。”大家知道，依据注册会计师执业审计准则的规定，会计师事务所对企业财务报表审计的目的是“提高财务报表预期使用者对财务报表的信赖程度。”①这说明，注册会计师国有企业审计的目标是要求财务报表提供的信息具有可信性。注册会计师所审计的国有企业财务报表中的信息是由国有企业的信息系统产生形成的，因而必须对信息系统进行审计。注册会计师对国有企业财务报表审计的可信性目标，决定了注册会计师对国有企业信息系统审计的可信性目标。

同样的审计对象，不同的审计主体，导致了两种不同的国有企业信息系统审计目标。从上述分析不难发现，无论是审计机关还是注册会计师对国有企业进行审计，其中对企业信息系统的审计都是不可或缺的重要组成部分。根据审计法的规定，审计机关对国有企业信息系统审计的目标是真实性。而根据注册会计师执业审计准则，对国有企业信息系统审计的目标是可信性。那么，什么是真实性？什么是可信性？这两种目标之间有什么样的联系和区别？为什么说审计机关应当把增强国有企业信息系统可信性作为审计目标呢？

（一）真实性与可信性的基本涵义

我国审计法强调真实性，根据2010年9月颁布的中华人民共和国国家审计准则（以下简称国家审计准则）的规定，“真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度。”那么，什么是真实性呢？真实性只是对财政财务收支及有关经济活动信息质量的最低要求。如果会计信息是真实的，但是不够完整或者披露不及时，仍然不能满足信息使用者的需要，甚至会导致错误的投资决策。事实上，就真实性本身而言，由于会计估计、核算方法等因素的影响，会计信息的真实性也只是相对的，而不是绝对的。所以，把真实性作为审计目标，具有一定的局限性。所谓可信性，从国际审计准则第200号（ISA200）可以看出，当编制的财务报表公允表达（presented fairly）或真实公允（true and fair）时，它才是可信性的。从字面上讲，公允（fair）或公平的要求，强调了财务报表各种使用者之间的利益平衡。从理论上讲，公允表达或真实公允的概念比真实性概念具有更多的内涵，涉及会计适当性、适当披露及审计责任等概念。在国际审计准则第200号（ISA200）中，公允表达是指财务报表是否在所有重大方面按照适用的财务报告框架编制，“公允”还意味着超出财务报告框架所要求披露范围的必要性，以及在极端情况下必须偏离财务报告框架的可能性。适用的财务报告框架，主要是指适用的会计法律法规、会计准则、会计制度等。大家知道，我国会计法强调“保证会计资料真实、完整”。根据会计法的要求，我国的财务报表不仅要具有真实性，而且还要具有完整性。总的来说，可信性并不否认真实性，真实性是可信性的必要前提之一，但真实的并不一定是可信的，可信性的内涵更加丰富，真实性是对财务信息质量的最低要求，可信性反映了对财务信息质量更高的要求。

（二）可信性目标反映了注册会计师审计发展的新阶段

一般认为，受社会需求变化、自身技术手段及审计风险等因素的影响，注册会计师审计目标的发展演变至今经历了四个阶段，即20世纪30年代之前的查错纠弊阶段、30年代中期至80年代验证会计报表真实公允阶段、80年代至90年代中期真实公允与查错纠弊并重阶段，及90年代后期以来的增强信息可信性阶段。虽然同为注册会计师审计的目标，然而从历史发展演变的角度看，真实性只是注册会计师审计的早期目标，当前注册会计师审计准则中的可信性目标反映了注册会计师审计的最新发展，是更高级发展阶段的目标。

（三）可信性目标比“真实公允”具有更加广泛的适用性

20世纪90年代后期，传统的财务报表审计成为更为广义的概念――“保证业务”（Assurance Service）的一个组成部分。我国注册会计师协会译为“鉴证业务”②。2004年国际会计师联合会了《国际保证业务框架》，2005年1月1日生效。2006年我国制定了《中国注册会计师鉴证业务基本准则》，2007年1月1日起施行。鉴证业务是指注册会计师对鉴证对象信息提出结论，以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象与鉴证对象信息具有多种形式，主要包括：当鉴证对象为财务业绩或状况时（如历史或预测的财务状况、经营成果和现金流量），鉴证对象信息是财务报表；当鉴证对象为非财务业绩或状况时（如企业的运营情况），鉴证对象信息可能是反映效率或效果的关键指标；当鉴证对象为物理特征时（如设备的生产能力），鉴证对象信息可能是有关鉴证对象物理特征的说明文件；当鉴证对象为某种系统和过程时（如企业的内部控制或信息技术系统），鉴证对象信息可能是关于其有效性的认定；当鉴证对象为一种行为时（如遵守法律法规的情况），鉴证对象信息可能是对法律法规遵守情况或执行效果的声明。不难看出，传统的财务报表审计只是鉴证业务中的一种。鉴证标准随着鉴证对象的不同，也从财务报表审计中按照适用的财务报表编制框架，如编制财务报表所使用的会计准则和相关会计制度，扩展到单位内部制定的行为准则、绩效水平等方面。从其定义看，鉴证业务的目的在于增强除责任方之外的预期使用者对鉴证对象信息的信任程度。真实公允目标是针对财务报表审计的审计目标，可信性目标在概念外延上具有更加广泛的适用性。可信性目标不仅适用于对财务信息的可信性，而且还适用于非财务信息（绩效信息）的可信性。对财务报表来说，如果它是真实公允的，即在所有重大方面是按照适用的财务报表框架编制的，它就是可信性；对于其他鉴证信息来说，如果它是符合适用的鉴证标准，就是可信性的。企业内部的信息系统，现在已不仅仅是财务信息系统，还包括各种业务和管理信息系统。与此同时，为满足企业的业务需求，信息系统所提供的信息也不局限于财务信息，而且还包括许多非财务信息。所以，在国有企业信息系统审计中，把可信性作为国有企业信息系统审计的目标比真实性目标更加符合企业信息化发展的客观要求。

（四）可信性目标反映了审计理论的深化和发展

可信性不是一个孤立的术语，它是新审计理论（或一组新的相互联系的审计概念）中的一个关键性概念。随着注册会计师的业务从传统的财务报表审计发展到鉴证业务，传统的审计理论也得到了深化和发展。大家知道，审计三方关系是指审计人、被审计人、审计授权或委托人之间的关系。传统的受托责任论，即审计动因论，是建立在传统的审计三方关系之上的。然而，在我国现行的《注册会计师鉴证业务基本准则》中给出了一种新的审计三方关系，即注册会计师、责任方和预期使用者。在新的审计三方关系中，被审计人与审计授权或委托人之间责任关系的含义更加丰富，除传统的受托责任关系外还有其他种类不带委托性质的责任关系③。在新的审计三方关系中，预期使用者应包括企业所有的利益相关者，除了传统受托责任关系中的股东外，还应包括经营者、员工、顾客、供应商、债权人、潜在的投资者、监管层、竞争者等。聘请注册会计师的通常是预期使用者或其代表，但也可能是责任方。责任方、预期使用者和注册会计师三方之间的关系，可以看作是信息提供者、信息使用者和信息可信性的保证者之间的关系④。增强信息的可信性，实际上是减少了信息提供者与预期使用者之间的信息不对称，鉴于预期使用者的广泛性，在市场经济条件下，将有利于完善市场机制，提高市场资源配置效率，从而拓展了审计的社会功能。可信性不是一个空洞的概念，鉴证对象信息是否具有可信性，需要执行一定的业务程序。审计师在收集证据的基础上，依据一定的标准，检查责任方的鉴证对象信息在所有重大方面是否符合适当的标准后，才能为鉴证对象信息的可信性提供一定程度的保证，从而提供给预期使用者。鉴证业务的保证程度被细分为合理保证和有限保证，鉴证对象信息被划分为财务信息和非财务信息，其中财务信息被进一步细分为历史财务信息和预测性财务信息。可信性概念是这些新审计理论中的关键性概念之一，相比之下，真实性概念在新的审计理论中却没有相应的理论地位。

（五）可信性目标反映了国家审计的发展趋势

在世界审计组织（INTOSAI）的道德准则（Code of Ethics）中，强调了信赖（trust）、信任（confidence）、信誉（credibility）对于审计机关的至关重要性。在南非审计署1911至2011年百年纪念的纪念品和网站首页上有一句格言：“Auditing to build public confidence”，即“审计旨在建立公共信任”。我国审计署2011年7月15日印发的《审计署关于深化经济责任审计工作的指导意见》中提出，要确保经济责任审计结果的可信、可靠和可用。刘家义审计长提出，国家审计是国家治理的一个组成部分。孔子曰：“足食，足兵，民信之矣”，“民无信不立”，说明了信任、守信在国家治理中的重要性。我们知道，“诚信友爱”是构建社会主义和谐社会的基本要求之一。国家审计可以增强政府的公信力，增强整个社会的诚信。从国家治理的角度看，可信性目标比真实性目标更好地体现了国家审计在国家治理中的作用。

经过上述真实性和可信性两种审计目标含义的对比，不难发现，虽然真实性目标是国有企业审计的传统目标之一，但是可信性比真实性的涵义更为丰富，可信性目标中不但包含了真实性目标，而且可信性目标要求信息系统提供更高质量的信息。两种目标都对信息系统提供的信息质量提出了要求，国家审计对信息质量的要求不应低于注册会计师审计。因此，笔者认为，尽管现行的审计法规定了国有企业信息系统审计的真实性目标，但是，从理论上讲以及从未来发展趋势看，审计机关应当选择可信性作为国有企业信息系统审计的目标，即国有企业信息系统审计应当促进企业信息系统提供可信的信息。

二、促进国有企业信息系统的遵循性

最高审计机关国际组织（INTOSAI）在审计基本原则（ISSAI-100）中，把政府审计业务分为两大类，即合规审计（regularity audit）和绩效审计（performance audit），并制定了相应的审计执行指南，即财务审计执行指南（Implementation Guidelines on Financial Audit）、遵循审计执行指南（implementation guidelines on compliance audit）和绩效审计执行指南（Implementation Guidelines on Performance Audit）。在这个准则指南框架中，合规性审计包括了财务审计和遵循性审计。遵循性审计是指对公共部门实体的活动是否与相关法律法规及授权要求相一致的审计。在《国际审计准则第250号――财务报表审计中对法律法规的考虑》（ISA250）中，非遵循（non-compliance），是指被审计单位不履行法律法规责任或者违反法律法规的犯罪，故意地或者非故意地，与执行的法律或法规对立的行为。在COSO内部控制框架中，遵循性（compliance）作为内部控制的目标之一，是指符合适用的法律法规。由此看来，在上述准则指南中，遵循性，就是我国国家审计中的合法性。但是，在本文中，作为国有企业信息系统审计的目标之一，遵循性与合法性不同。

为满足业务需求，对信息系统提供的信息有一般性的要求，在IT治理框架COBIT4.1中，这些要求也被称之为信息标准（information criteria）。遵循性（compliance）作为其中的标准之一，是指“涉及业务流程与所需遵守的法律、法规及合同约定之间的符合程度的属性，即外部的强制要求和内部政策的遵循性。”⑤在本文中，遵循性作为国有企业信息系统审计的目标之一，采用COBIT4.1中遵循性的概念，即国有企业信息系统的设计、建设、运行和监控不仅要符合来自企业外部的强制性要求（合法性），而且还应符合国有企业内部制定的各种规定的要求。

我国审计机关对国有企业的财务收支的真实、合法和效益，依法进行审计监督。合法性是国有企业审计的审计目标之一。作为国有企业审计的重要内容，信息系统审计应当促进国有企业信息系统的合法性。那么，为什么我们要把国有企业内部制定的各种规定同时也纳入国有企业信息系统审计的目标呢？企业内部如何制定关于其信息系统的规定是企业自己的事情，似乎审计机关不应干预，但是，效益性也是国有企业审计的审计目标之一。当信息系统不符合国有企业某些内部规定的要求时就会影响到企业效益，这些内部规定，如内部控制、管理和治理等，也应纳入国有企业信息系统审计的遵循性目标范围。

三、改善国有企业信息系统的绩效性

绩效性目标是企业信息化不断发展的产物。我国企业信息化建设已经发展到了关注绩效性的阶段。绩效性目标也是IT管理和IT治理的重要内容。IT管理和IT治理的国际标准或良好实务，为开展信息系统绩效审计提供了审计标准。

（一）企业信息系统绩效性的概念

当企业信息化发展水平达到一定程度后，信息系统的绩效问题逐渐引起了人们的关注。在企业信息化的早期阶段，信息系统主要应用于企业的财务会计领域，这时人们对信息系统关注的焦点主要是信息系统的可信性和遵循性问题，相应的措施主要集中在内部控制方面，强调信息系统的一般控制和应用控制。随着企业信息化水平的不断提高，信息系统在企业中的应用范围逐渐从财务会计领域扩展到整个业务领域和管理领域，与此同时，信息系统的建设投入和运行成本显著提高。这时人们发现，大量的信息化投入并不一定能够带来预期的收益，而且还带来巨大的潜在风险，个别企业甚至因高投入造成利润下降或财务危机，有的企业因业务流程改造滞后，还会导致管理混乱。在这种情况下，人们对信息系统关注的焦点，逐渐从“投入”转向“产出”，从技术和内部控制问题转向管理和治理问题，在企业内部出现了专门的IT管理部门，IT管理和IT治理逐渐从企业的一般管理和治理中独立出来，而“绩效”是描述信息系统投入产出、管理和治理的核心概念。

信息系统的绩效性是指利用IT资源提供企业信息服务的经济性、效率性和效果性。为它的利益相关者提供价值是企业存在的基本前提。企业信息系统的目的在于利用IT资源，通过IT流程，提供企业信息服务，以满足业务需求。信息系统要实现的绩效目标必须与企业的业务需求或业务目标相一致。

（二）绩效性目标的可行性

从我国企业信息化发展阶段看，目前信息系统的绩效问题已经成为关注的焦点。2011年2月，工信部电子一所和用友软件股份有限公司联合了《2010年中国企业信息化指数调研报告》。该报告将中国企业的信息技术应用分为四个阶段，分别为基础应用阶段、关键应用阶段、扩展整合及优化升级应用阶段以及战略应用阶段，如图1所示。

该报告认为，目前我国企业信息化总体上处于由基础应用和关键应用向扩展整合与优化升级过渡阶段。报告的主要结论之一是，2010年“信息技术应用范围的变化主要体现在应用广度和深度两方面，企业基本完成了信息技术在各业务领域的应用覆盖，已逐渐开始深度关注企业业务发展需求，着力提升信息技术的应用价值。”提高信息系统的绩效，也已经成为我国企业信息化深度发展的方向。把绩效性作为国有企业信息系统审计的目标，符合我国企业信息化发展的现状，在现实中具有可行性。

（三）绩效性是IT管理和IT治理的重要内容

IT管理目的在于如何降低成本，以更好的弹性及更快的响应速度，向组织内外部顾客提供高质量的IT服务，提供顾客的满意度。IT管理的目标就是要追求信息系统的绩效性，即经济性、效率性和效果性。

信息系统的绩效性也是IT治理追求的目标之一。在IT治理国际标准ISO/IEC38500（组织的信息技术治理）中规定了“绩效”原则，即IT应适合于支持组织的目的并提供服务，服务等级和服务质量应满足当前和将来的业务要求。IT治理框架COBIT4.1有四个基本特征：以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动。在该框架中，绩效测评是IT治理的关键，并且指出，“多项调研已经表明，IT成本、价值和风险管理缺乏透明是驱动IT治理最重要的一个因素。相对于其他关注的领域，提高透明度主要通过绩效测评来实现。”⑥

（四）绩效审计的参照标准

IT管理和IT治理从企业管理和治理中独立出来，为开展单独立项的信息系统绩效审计创造了条件。就像企业审计要关注被审计单位的管理和治理那样，企业信息系统审计要关注被审计单位的IT管理和IT治理情况。IT管理和IT治理的国际标准或良好实务，则为开展信息系统绩效审计提供了审计标准，也可以作为向被审计单位提出改进建议的参照标准。常见的IT管理和IT治理国际标准有：ISO/1EC20000（信息技术――服务管理）、ITIL（信息技术基础库）、ISO/IEC38500（组织的信息技术治理）、COBIT4.1（信息及其相关技术控制目标）等。

四、维护国有企业信息系统的安全性

维护国有企业信息系统的安全，对于维护国家经济安全至关重要。随着信息技术的发展和应用，人们对信息系统安全性的认识也不断深化。正确理解信息安全的涵义，对于开展信息系统安全性审计具有重要的意义。

（一）安全性目标的重要性

根据1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》，维护计算机信息系统的安全性，就是要保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行⑦。从这里可以看出，信息系统的安全包括：信息本身的安全、系统设施设备的安全和系统运行环境的安全三个层面。就三个层面的关系而言，信息是核心，系统设施设备及其运行环境是保障，信息本身的安全是目的，系统设施设备的安全及其运行环境的安全是手段。

国有企业信息系统安全是国家信息安全和经济安全的重要组成部分。为了保护中央企业信息系统的安全稳定运行，2010年12月，公安部和国务院国有资产监督管理委员会联合颁布了《关于进一步推进中央企业信息安全等级保护工作的通知》。据统计，截至2010年5月，已有89.6%的中央企业开展了信息安全等级保护工作，中央企业总计建成投入使用的信息系统有16 092个，已定级14 539个，占比90.3%；应向公安机关备案的系统（二级及以上）有11 370个，已备案8 113个，占应备案系统的71.4%；列入2010年定级计划的有1 598个。中央企业在公安机关备案的信息系统总数约占全国信息系统备案总数的21%，第三、四级重要系统约占全国重要信息系统备案总数的30%⑧。这些数据表明，国有企业信息系统已成为国家信息安全的重要组成部分。《中华人民共和国企业国有资产法》第七条规定，“国家采取措施，推动国有资本向关系国民经济命脉和国家安全的重要行业和关键领域集中，优化国有经济布局和结构，推进国有企业的改革和发展，提高国有经济的整体素质，增强国有经济的控制力、影响力。”由于国有企业集中在国民经济命脉和国家安全的重要行业和关键领域，如电信、电力、石油、石化等重要行业，其重要信息系统已成为国家关键基础设施，是国民经济命脉之命脉，保护国有企业信息系统的安全稳定运行，对于维护国家经济安全和社会稳定具有重要的意义。

（二）信息安全概念的演变

根据我国计算机信息系统安全保护条例中的定义，计算机信息系统的安全性，包括信息本身的安全、系统设施设备的安全和支撑环境的安全。其中，信息本身的安全，即信息安全，是信息系统安全的核心和目的。那么，究竟什么是信息安全呢？

人们对信息系统安全性的认识经历了一个不断深化的发展过程。20世纪80年代美国国防部制定的《可信计算机系统评估准则TCSEC》把保密性当作信息安全的重点。20世纪90年代初由英、法、德、荷四国制定的《信息技术安全评估准则ITSEC》开始把完整性、可用性与保密性作为同等重要的因素。自此，信息安全的概念，即信息的保密性、完整性和可用性，逐渐被普遍接受。在2002年的国际标准ISO/IEC17799：2000《信息技术――信息安全管理业务规范》中明确规定，信息安全，是指保护：“保密性（confidentiality），即确保信息只能够由获得授权的人访问；完整性（integrity），即保护信息的正确性和完整性以及信息处理方法；可用性（availability），即保证经授权的用户可以访问到信息，如果需要的话，还能够访问相关资产。”然而，在2005年的该国际标准修订版即ISO/IEC17799：2005中，信息安全的定义，包括了七种安全特性：信息的保密性（confidentiality）、完整性（integrity）、可用性（availability）及其他属性，如真实性（authenticity）、责任性（accountability）、不可抵赖性（non-repudiation）、可靠性（reliability）等，而且，这种修订后的信息安全定义，被2007年的国际标准ISO/IEC27001（《信息安全管理体系――规范与使用指南》）引用。在学术界，有人认为，信息安全的特性还应进一步包括可控性（controllability）、可预测性（predictability）、可审计性（auditability）、遵循性（compliance）等。

随着信息技术的发展与应用，信息安全的内涵越来越丰富，从最初的信息保密性发展到保密性、完整性和可用性，进而又发展到相关的真实性、责任性、抗抵赖性、可靠性等。相应地，对企业信息安全的考虑，也从最初关注企业信息安全技术层面，发展到关注企业信息安全控制、管理和治理等层面。

（三）正确理解信息安全涵义需要注意的几个问题

1.信息安全与信息保密不同。从信息安全概念的涵义可以看出，信息保密与信息安全是两个不同的概念，信息安全比信息保密的涵义更加丰富。尽管我国新修订的保密法对信息系统的保密问题作出了规定，但是保密法不能代替信息安全法。目前，我国对信息安全的立法仍然比较滞后，尚无专门的信息安全法。信息安全法是国家信息安全保障体系不可或缺的组成部分。

2.微观信息安全与宏观信息安全的联系。企业信息系统的安全离不开系统运行环境的支撑，系统环境包括物理环境和社会环境。从社会环境看，主要是指有关信息安全法律法规、安全意识、人才培养等。这就是说，微观层面单个组织的信息系统安全，还离不开宏观层面国家信息安全保障体系的构建。与此同时，微观层面的信息安全是基础，没有微观层面的信息安全，也就没有宏观层面的信息安全。

3.授权管理的重要性。信息安全的概念有三个核心涵义：保密性、完整性和可用性。这三个核心涵义都涉及一个共同的要素，即“授权”。保密性意味着只有获得授权才能访问；完整性意味着没有授权不得对信息进行删除或修改；可用性意味着拥有授权者随时可以使用。这表明，授权管理是信息安全管理的一项关键内容。信息系统是一种人机系统，授权管理主要涉及对人员行为的安全管理。

4.安全性目标与遵循性、绩效性、可信性目标的联系。从信息安全的涵义可以看出，信息系统的安全性目标不同于其遵循性、绩效性和可信性目标，但是，安全性与它们之间又是相互联系的。首先，安全性必须满足遵循性的要求，信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下，特别是各种信息安全法律法规、保密法，以及知识产权、个人隐私权方面的法律法规；其次，信息安全没有绝对的安全，所有的信息安全都是风险可接受条件下的安全，高水平的安全保护需要大量的投入成本，因而需要在成本、收益、风险和安全之间进行权衡，即安全性与绩效性的联系；最后，在信息安全技术层面，可信计算技术是信息安全技术的一个重要研究领域，从而表明安全性与可信性之间也有内在的联系。

笔者认为，目前国际上制定的有关信息安全等级评估、信息安全风险评估、信息安全管理体系等方面的国际标准，无论是在理论概念还是在操作实务方面，对于我国审计机关开展信息系统审计都具有重要的借鉴价值。这些国际标准或良好实务可以作为审计的参照标准，同时也可以作为审计机关向被审计单位提出改进信息系统安全性建议的依据。同时，在对国有企业信息系统的安全性进行审计时，还要立足我国实际，由于我国国有企业信息系统是国民经济命脉之命脉，事关国家经济安全和社会稳定，在重视企业本身信息系统安全的同时，还应当从宏观上揭示国有企业信息系统的安全风险，维护国家经济安全。

最后应当指出的是，在审计实践中，根据具体情况，单个审计项目可以选取上述可信性、绩效性和安全性目标中的一个或多个作为审计目标。

第5篇：信息安全等级保护条例范文

已有虚拟财产法律学说讨论的主要问题是，“虚拟财产”是否具有财产性。对此，虚拟财产法律学说呈现出学说上的多歧样态。这些学说并未清晰地阐述“虚拟财产”之社会实然、有效规则及联结两者的证成理由，反而借助抽象的法律术语，将与“虚拟财产”相关的利益倾向，隐藏于研究路径的抽象论争、社会实然的选择性描述、既存规则或判例的引申性解释之中。在描述实然规则的意义上，“虚拟财产”相关的现存规则不具有财产性；“‘虚拟财产’是否具有财产性”这一问题的误导性作用大于其引导性作用。在寻求应然规则的意义上，虚拟财产法律学说可以财产理念为基础进行论证，但应结合具体的社会实然进行更为深入的精细化、类型化研究。关键词：

虚拟财产；财产；物权；主观权利

中图分类号：O923

文献标识码：A

文章编号：16738268（2013）05002707

互联网信息服务产业中的网络游戏装备、级数、点数、账号等虚拟元素通常被称为“虚拟财产”。相应地，“‘虚拟财产’是否具有财产性”这一问题，也随着该术语的扩展而占据了虚拟财产法律学说的核心，似乎“虚拟财产”相关的实然规则与应然规则都应在财产规则的框架内予以阐述，并且只有财产理念方能为这些规则提供证成理由。然而，历经十余年之努力，对于“虚拟财产”的财产性问题，学界业已形成的财产否认说[1]、物权说[24]、债权说[56]、知识产权说[7]、特殊财产权说（或新型财产权说）[810]、分阶段权利说[11]、分类型权利说[12]等七种不同虚拟财产法律学说尚无法给出相对清晰、日趋一致的回应，整体上呈现出学说上的多歧样态。虚拟财产法律学说已经陷入进一步深化和扩展的瓶颈。

从表面看，这些学说间的分歧主要集中于“财产”、“物权”等法律概念的界定，并未直接、明确地触及与“虚拟财产”相关的利益纷争或价值抉择；似乎只有等到财产理论、物权理论等传统法律学说达成共识以后，虚拟财产法律学说方有逐步形成共识的可能。若如此，时下与“虚拟财产”相关的法律实践便很难获得虚拟财产法律学说的智识支撑。当虚拟财产法律学说如此这般丧失实践价值时，其要么沦为学者间封闭的文字游戏，要么被逐步边缘化，甚至销声匿迹。最后的结果便是法学共同体在“虚拟财产”领域内的地位遭到贬损。

本文认为，已有虚拟财产法律学说之所以表面上被财产理论等法律学说所困扰，而未能就现实冲突的实质展开直白、理性的讨论，是因为它们借助复杂的法律术语，将与“虚拟财产”相关的价值抉择或利益倾向，隐藏于研究路径的抽象论争、社会实然的选择性描述、既存规则或判例的引申性解释之中。为了澄清那些与“虚拟财产”相关的处于抗衡中的各种利益或价值，提升个案处理的可操作性及其理性程度，推进“虚拟财产”相关规范的转型或发展，虚拟财产法律学说应认清并回归私法学最基本的任务，直白、清晰地阐述“虚拟财产”之社会实然、有效规则以及联结两者的证成理由。下文将根据已有虚拟财产法律学说的主要分歧，依次澄清这些分歧的实质及其不足，并结合虚拟财产法律学说的基本任务，分别给出具体解决方案，以期有助于突破虚拟财产法律学说目前所面临的困境。

一、“虚拟财产”财产性分析路径的分歧及其解决

分析“虚拟财产”的财产性，首先应明确何为私法上的财产，以此确立财产性分析的框架或路径。在已有虚拟财产法律学说中，存在两种不同的财产界定方式及各自相应的分析路径：一是通过抽象概括的方式界定财产，并采自上而下的演绎法认定财产性。美国Westbrook博士[13]和Fairfield助理教授[10]都主张，财产是人身权利以外的对物性权利；“虚拟财产”因具有对世性和可转让性而属于财产。我国林旭霞教授主张，财产必须具有使用价值、稀缺性、可支配性、合法性（下简称“四性说”）；“虚拟财产”因满足该四性要求而属于财产[4]。财产否认说主张，“虚拟财产”因具有虚拟性、不可回收、其并非来源于经济学意义上的价值劳动、其对社会财富的增加或减少并无影响，故其不具有价值，也不应视为财产[1]。二是通过列举类型的方式界定财产，并采自下而上的归纳法认定财产性。此类观点主张应先有具体规则（“虚拟财产”应被视为物权、债权、知识产权抑或其他），后将其归入一般概念（是否具有财产性）。主张采此路径的美国Lastowka助理教授认为，“虚拟财产”纠纷的解决，应首先不要犯错，而那种自上而下的演绎法用醒目的口号遮蔽了理性的思考[14]；Farber教授批评那种演绎法试图用简单的规则回应复杂的现实[15]。

在这两种分析路径中，前者的价值倾向是，尽管传统财产法之价值标准及基本规则所依附的社会实然与“虚拟财产”相应的社会实然并不相同，但这些传统价值标准或基本规则应当扩展至“新”的“虚拟财产”领域。后者的价值倾向是，与传统财产法所依附的社会实然相比，“虚拟财产”相应的社会实然已发生改变，应当结合个案争议来反思传统财产法基本理念或规则的合理性。

对于界定“财产”的如是分歧，我国立法“没有财产的内涵规定，甚至其外延也没有一般性列举，只是在少数法律中针对特定主体的财产有外延规定”[16]。法学理论对于财产的界定目前也存在争论。一种观点主张应采英美法中的“财产”，“财产法”的“财产权”应被定位为不包括债权的对世权，而不是被掏空内涵的所谓总括性的权利[17]；另一观点则主张采德国法和荷兰法中的“财产”，将其视为具有金钱价值的权利的总和[18]；第三种观点认为，财产必须具备四个要件：具有使用价值、稀缺性、可支配和合法性。如此，虚拟财产法律学说应如何界定“财产”？

法律概念的界定无所谓正确或错误，只有合目的性与不合目的性[19]。在虚拟财产法律学说中，“财产”的界定应符合其自身的基本任务或目的。作为私法学的一部分，虚拟财产法律学说的主要任务应为：第一，为与之相关纠纷的解决提供分析框架，以寻找合理的适用规则；第二，发现适用规则后，将其融入到法律体系当中，使私法学更加如实地掌握社会现实；第三，寻求虚拟财产领域核心的共同价值（或无疑的一般法律意识）[20]。为此，虚拟财产法律学说对待财产理论的应有态度是：一方面，在寻求具体适用规则时，应采列举类型式的财产理论及其对应的自下而上的分析路径。因为抽象概括式的财产理论试图形成整全、精确的财产理论，注重财产背后的证成理由或理念，但忽视财产所连接的具体法律规则。在该理论中，传统财产法基本理念或规则被视为理所当然，立法者对于“虚拟财产”相关之利益衡平的大部分权力被权利话语模式所架空，具体问题的理性考量被醒目的口号所遮蔽。同时，在抽象概括式的财产理论的推理过程中，论证的逻辑起点是处于争论之中的、没有形成共识的某种财产理论；若以此为论证起点，无论论证过程如何完美，批评者都可以跨过具体的论证过程而对其结论予以批判。比如，若采“四性说”为前提假设，不论对“虚拟财产”之使用价值、可支配性、稀缺性、合法性的论证如何清晰，都会受到“其不是权利”的责难；毕竟对某一利益仅赋予法律保护本身，还不足以使一个主观权利得以承认[21]。而若以各方观点的共识为逻辑起点则可避免此类基于“大前提”的攻击，将争论聚焦于具体问题的解决方案，而非抽象的理论前提，进而有利于促进不同观点走向共识。另一方面，在阐明“虚拟财产”领域之适用规则的共同价值并将其纳入私法体系时，应强调抽象概括式财产理论中的规范性，采自上而下的分析路径。因为列举类型式的财产理论仅试图提供一种持续改变财产规则的方法，而非直接提供解决问题的方案；其注重对相应法律规则的简练阐述，但忽视财产所蕴含的核心价值。该财产理论很难阐明虚拟财产领域与相关领域之间的异同，无法提供对既有规则的概览，也更不利于日后对既有规则的反思。

因此，“虚拟财产”财产性分析的路径应为：首先，将“虚拟财产”与物权、债权和知识产权等相类比，寻求合理的适用规则；其次，再以某种财产理论为基础，确立“虚拟财产”在财产体系或私法体系中的位置，以促进虚拟财产制度的持续转型。

二、寻求“虚拟财产”适用规则之前提的争论及其应对

在如上分析框架内寻求“虚拟财产”的适用规则时，已有虚拟财产法律学说又被物权理论的分歧所阻滞。诸说多将“虚拟财产”之应然规则的规范性主张隐藏于物权理论的描述性阐述，而这种（虚拟财产应然规则之）证成与（物权理论之）描述的混淆导致诸说之间很难就“虚拟财产”之应然规则这一核心问题进行直接、通畅的交流，更不用说达成共识了。为此，似乎可在霍菲尔德之基本法律概念的框架内构建虚拟财产制度，进而摆脱物权理论所造成的障碍，但为防止一败涂地，较务实的做法仍是通过类推适用已有规则来逐步寻求虚拟财产的适用规则。这样，为了清晰地界定已有规则的内涵，还是需要面对那棘手的物权理论。

在已有的七种虚拟财产法律学说中，主要存在两种不同的物权理论。物权说以效力为标准认定物权（下简称“效力标准”）。如杨立新教授认为，只要具有法律上的排他支配或管理的可能性及独立的经济性，就可以被认定为法律上的“物”。网络虚拟财产在法律上具有排他支配和管理的可能性、网络虚拟财产与物都具有独立的经济价值、网络虚拟财产的存在需要一定的空间，因此应将网络虚拟财产作为一种特殊物，适用现有法律对物权的有关规定，同时综合采用其他方式，对虚拟财产进行法律保护[2]。而反对物权说的观点则主张以客体为标准认定物权（下简称“客体标准”），认为物权仅限于有体标的。如刘德良教授认为，物权说虽然是目前大多数人所持的观点，但其缺陷是显而易见的。因为传统物权法中的物权是以有体物为标的的一种支配权；而虚拟物品在本质上属于电子数据，并不属于有体物。因此，将不属于物权法上物权客体的虚拟物品纳入物权的范畴的观点显然是不当的[8]。

显然，效力标准借助对于“物”的扩张解释，主张“虚拟财产”应类推适用传统物法的规则；而客体标准借助对于“物”的限缩解释，主张“虚拟财产”不应类推适用传统物法的规则，“具有排他支配和管理可能性、具有独立经济价值的网络虚拟财产”不应被赋予物法上的排他性权利。

对于如何界定“物”的如是争论，我国《物权法》第二条“本法所称物，包括不动产和动产”的规定不适当地保持了沉默。在此前提下选择物权理论时，虚拟财产法律学说同样应结合其自身的任务或目的。一方面，为清晰地阐释已有规则的内涵，以方便“虚拟财产”适用规则的寻求，应选择客体标准。客体标准主张应对完整纯粹抽象之所有权予以承认与限制：为了反对封建特权，需要一个完全纯粹抽象的所有权，所有权的主体不得分割；但所有权又必须受到市民社会必然性的限制，这种限制主要体现在客体上，即只有有体标的才能成为所有权的客体，其他客体原则上适用债法[22]。如此，客体标准可以阐明已有规则的全部内涵：一部分规则是有体标的上成立的所有权，这些客体可被直接支配，并且应被完全个人主义化；一部分规则是具有非竞争性和可复制性之无体标的上成立的知识产权，这些客体可被直接支配，但基于效率的考虑不应被完全个人主义化；一部分规则是行为上成立的债权，行为不能被直接支配，脱离了主体，行为并不存在。而效力标准则主张传统物法的静止气息与当下社会现实并不相符，应当取消完整纯粹抽象的所有权，即要么修正所有权的概念，限制其权能并扩张其范围[2223]，要么构建双重所有权或与其相类似的制度[24]。这样，效力标准便成了一个空盒子，可以容纳任何我们想要的东西[25]，很难简练地阐明相关规则中的社会实然、具体效力及其背后理念。另一方面，若为将虚拟财产的适用规则纳入私法体系，客体标准与效力标准的选择则并非虚拟财产法律学说的核心任务，也便超出了本文的讨论范围目前，从法史学的角度看，萨维尼和德国《民法典》都主张客体标准，并明确反对效力标准（参见：参考文献[26]，[27]，[28]）。从如实描述社会实然的角度看，客体标准优于效力标准（参见：参考文献[22]）。但从促进欧洲共同财产法之形成的角度看，似乎效力标准优于客体标准（参见：参考文献[25]）。我国应如何选择，仍需深入思考。[2628]。

但是，将“物”限定于“有体标的”，其意义仅在于更加清晰地呈现已有规则，以方便“虚拟财产”应然适用规则的思考。该限定并不意味着由于“虚拟财产”不是“有体标的”，其就不应当适用传统物法的规则。“虚拟财产”应适用何种规则，应当结合其对应的社会实然，借助既有规则的引导与类比予以慎重考量。

三、“虚拟财产”之内涵的多样性及其原因

在明确了已有规则的内涵之后，我们便无须再去争论“虚拟财产”之实然到底是不是“物”，只需借助类比推理来思考在“虚拟财产”之社会实然上适用某规则的合目的性，阐明虚拟财产所连接的社会实然、有效规则及背后理念（或连接两者的证成理由）即可[29]。然而，已有虚拟财产法律学说多将规范性的证成理由隐藏于社会实然的选择性描述或有效规则的引申性解释之中，由此导致学说上的多歧样态，且很难形成共识。

其中，由于证成理由被社会实然的选择性描述所遮蔽而导致的分歧主要表现为：知识产权说强调虚拟物品的感知形式，主张虚拟物品是玩家的智力成果，尽管游戏商已经通过软件编程创造出潜在的角色、物品等，但这并不意味着虚拟物品必然会在游戏中出现，仍需要玩家投入大量的时间和智慧去克服游戏障碍，从而使潜在的物品成为现实[7]。债权说强调虚拟物品的效用形式，主张“对于玩家来说，虚拟物的意义不在于其存储形式，甚至也不在其感知形式，而是在其效用形式”[6]。而物权说、新型财产权说与它们的主要分歧在于，电磁记录这种存储形式是否应为虚拟财产法律学说讨论的重点。在这种分歧的基础上，衍生出了“分类型权利说”和“分阶段权利说”这两种仅试图简单综合债权说、物权说、知识产权说，但并未触及各说间主要差异及其实质的观点。仅以债权说与物权说的分歧为例，即使我们赞同“效用形式”之虚拟物上应成立债权，“存储形式”之虚拟物上应成立物权，但还存在另一个问题，当“存储形式”之虚拟物随着“效用形式”之虚拟物发生移转时，是应当适用物权的移转规则，还是应当适用债权的移转规则。对此，债权说、物权说借助对“效用形式”或“存储形式”虚拟物这种社会实然的强调，分别主张应适用债法或物法，但未明确阐述两种不同规则所对应的社会效果及其评价，而“分类型权利说”和“分阶段权利说”则对此保持沉默。显然，这种源于社会实然之选择性描述的分歧及论争，遮蔽了各观点间利益倾向的不同，阻碍了各观点之间的碰撞与融合。

相比之下，通过有效规则的引申性解释来遮蔽证成理由的论证则更为普遍，后果也更为严重。学界大多援引美国1996年ThriftyTel案54 Cal. Rptr. 2d 468 （Ct. App. 1996）.、2001年Oyster Software案No. CV000724JCS， 2001 U.S. Dist. LEXIS 22520， 43 （N.D. Cal. Dec. 6， 2001）.、2003年Hamidi案71 P.3d 296 （Cal. 2003）.和2006年Bragg案Civil Action No.064925.来论证“虚拟财产”应适用财产法。但这些判例所处理的具体问题都与“虚拟财产”的财产性问题并无直接相关性。ThriftyTel案、Oyster Software案和Hamidi案所处理的具体争议是：在认定与计算机网络设备相关的动产侵害时，是否要求证明存在实际损害。ThriftyTel案中，原告主张被告的行为（连续拨号）构成对其动产（服务器）的侵害。法院支持了原告的观点，但Thomas Crosby法官在法官意见中多此一举地又说明被告无体行为也构成侵害。事实上，对动产的侵害只需要有实际损害，而不要求侵害行为的形式。Oyster Software案中，原告主张被告未经许可进入其网站，构成了对其动产的侵害。但被告宣称其行为并未构成实际损害，故不构成对动产的侵害。法院认为，认定动产侵害已不需要实际损害。Hamidi案中，原告Intel公司认为被告Hamidi向其服务器发大量邮件，构成对其动产（服务器）的侵害。被告宣称其行为并未造成实际损害。上诉法院认为无需证明实际损害，但加利福尼亚最高法院认为需要证明。Hamidi案以后，其他法院的态度仍处不确定之中[14]。而2006年Bragg案争议的焦点是，网络游戏服务条款中“纠纷只能通过仲裁解决”的约定是否具有可执行力，该焦点与“虚拟财产”财产性问题的距离更为遥远。

而我国多被援引用来证成“虚拟财产”之财产性的判例是2004年李宏晨案李宏晨诉北京北极冰科技发展有限公司案，（2004）二中民终字第02877号。。该案法院认定被告没有履行服务合同关系中必要的注意义务，应承担网络安全保障不利的责任，判决被告回复原状并赔偿原告损失。该案中的损害赔偿请求权多被不适当地引申为原告应享有电磁记录上的某种财产权利（或主观权利）。事实上，损害赔偿请求权所保护的利益不应完全等同于主观权利：对于前者，原则上若存在利益损失与主观上的“应归责”，则成立损害赔偿请求权，但不得强制被告以绝对安全的方式履行相应的注意义务[22][30]；其并不强调对被告本身的某种控制。而对于主观权利，原则上只要权利遭侵害即可主张不作为请求权；其强调“对他人自由的一种合法限制”[23]。李宏晨案的判决仅涉及损害赔偿请求权，并未涉及注意义务（即网络安全保障义务）的强制履行及其程度或方式在我国，网络游戏运营商应如何履行网络安全保障义务的问题，主要由以《计算机信息系统安全保护条例》（国务院令第147号）为核心，包括《计算机病毒防治管理办法》（公安部令第51号）、《信息安全等级保护管理办法》（公通字〔2007〕43号）等在内的规范群所规定。；主观权利的核心理念并未突显。如此，电磁记录上应适用物权之规定的规范性主张并未得以正面、明确的证成，其实质上仅是“原权—救济权”[31]之描述性权利体系下逻辑反推的结果，而与现实的利益博弈及价值抉择无关。此类虚拟财产之内涵的阐述便仅仅是法学概念天国中缺乏论证之观点的表达，很难与其他观点进行较深入的论争；各观点间便只能是各自说话，缺乏交流，更无理性之共识。

为此，作为法律学说的虚拟财产理论，唯有直白、清晰地阐述虚拟财产之社会实然、有效规则以及联结两者的证成理由，方能较好地履行其对虚拟财产法律材料进行分析评价性阐释，进而引导人们就虚拟财产领域内正义之具体化进行讨论与反思的职责，而不至于再招致实务部门或网络法课堂上学生们那无奈的一笑了之。

四、结论与建议

就目前而言，与“虚拟财产”相关之立法、判例及学说的大致情况如表1所示。

在描述实然规则的意义上，仅从已有立法和判例来看，“虚拟财产”领域内的已有规则不具有财产性；或者说，“‘虚拟财产’是否具有财产性”这一问题，其消极的误导性作用大于其积极的引导性作用。这些已有法律素材直接强调的是“各方主体应为之事”，并非“某人所拥有的有益事物”或“某主体对自己应有事物的道德权力”。一方面，这些涉及“各方主体应为之事”的规则依靠公平原则、保护消费者原则、公共政策等便足以获得正当性，而无需借助财产理念下“某人所拥有的有益事物”遭受损害而寻求正当性。正义的具体方案不必非要经过“物化”或“财产化”而得以证成。并且，财产理念与公平原则、保护消费者原则等在个案中也可能发生冲突例如，财产理念与保护消费者理念发生冲突的情况（参见：参考文献[31]）。[32]，将它们等同或将公平原则等依附于财产理念，无助于规则描述与个案裁决。另一方面，这些“各方主体应为之事”的具体内容，更接近于垃圾邮件、网络安全、网络格式条款等规制制度，而非财产规则中不作为请求权或损害赔偿请求权的履行。在不作为请求权或损害赔偿请求权之构成要件与具体内容的引导下，很难认知关于网络安全保障义务之履行、垃圾邮件等不正当行为之规制等更为细化的要求。与其将已有这些法律素材解释为财产规则，不如将其解释为垃圾邮件、网络安全等规制制度的萌芽或个案。

在寻求应然规则的意义上，“‘虚拟财产’是否具有财产性”这一问题，具有积极的引导性作用。该问题不仅可引导我们思考“虚拟财产”移转规则等可能出现的问题，也可在公平原则、保护消费者原则等之外，为“虚拟财产”相关之规制问题提供财产理念的独特理解。但应注意的是，在法学共同体内，财产理念的独特理解不应隐藏于相关法律概念（财产、物权）的分歧或社会实然的不同选择之中，不应借助晦涩难懂的概念或极富煽动性的说辞来抽象地表达，而应结合具体的社会实然直白地表明其利益或价值倾向，以供立法者选择。鉴于互联网信息服务产业中复杂的经营模式及其利益纷争，“虚拟财产”相关之应然规则的寻求将是一个复杂的过程，仍有待更加深入的精细化、类型化研究以及立法政策的逐步考量。

参考文献：

[1] 吴晓华，张海燕.论网络虚拟财产的法律保护——以宪法为中心[J].成都理工大学学报：社会科学版，2005（2）：99.

[2] 杨立新，王中合.论网络虚拟财产的物权属性及其基本规则[J].国家检察官学院学报，2004（6）：7.

[3] 钱颖萍，彭霞.关于网络虚拟财产的法律探讨[J].云南行政学院学报，2005（5）：111.

[4] 林旭霞.虚拟财产权研究[M].北京：法律出版社，2010：3133.

[5] 邓张伟.论网络游戏中虚拟财产的法律属性及变动规则[D].厦门：厦门大学，2006：6.

[6] 寿步.网络游戏法律政策研究2009——网络虚拟物研究[M].上海：上海交通大学出版社，2009：169.

[7] STEPHENS M. Sales of InGame Assets： An illustration of the Continuing Failure of Intellectual Property Law to Protect DigitalContent Creator[J].Texas Law Review，2002，80（6）：1530.

[8] 刘德良.论虚拟物品财产权[J].内蒙古社会科学：汉文版，2004（6）：32.

[9] 刘惠荣.虚拟财产法律保护体系的构建[M].北京：法律出版社，2008：83.

[10]FAIRFIELD A. Virtual Property[J]. Borton University Law Review， 2005（85）：1047.

[11]寿步，陈跃华.网络游戏法律政策研究[M].上海：上海交通大学出版社，2005：4042.

[12]张楚.电子商务法[M].第2版.北京：中国人民大学出版社，2007：258259.

[13]WESTBROOK T J. Owned： Finding a Place for Virtual World Property Rights[J]. Michigan State Law Rewiew， 2006：779812.

[14]LASTORKA G. Decoding Cyberproperty[J]. Indiana Law Review， 2007（40）：2627.

[15]FARBER D A. Access and Exclusion Rights in Electronic Media：Complex Rules for a Complex World[J]. Northern Kentucky Law Review，2006（33）：459482.

[16]侯水平，黄果天.物权法争点详析[M].北京：法律出版社，2007：5.

[17]郑成思，薛虹.再谈应当制定“财产法”而不是制定“物权法”[M]//易继明.私法：第7卷.北京：北京大学出版社，2004：9.

[18]王利明.我国民法典重大疑难问题之研究[M].北京：法律出版社，2006：258.

[19]黄茂荣.法学方法与现代民法[M].北京：法律出版社，2007：541.

[20]弗朗茨·维亚克尔.近代私法史——以德意志的发展为观察重点[M].陈爱娥，黄建辉，译.上海：上海三联出版社，2005：584588.

[21]克默雷尔.侵权行为法的变迁：上[M].李静，译//王洪亮.中德私法研究：第3卷.北京：北京大学出版社，2007：76.

[22]罗尔夫·克尼佩尔.法律与历史[M].朱岩，译.北京：法律出版社，2003：235276.

[23]雅克·盖斯坦，吉勒·古博.法国民法总论[M].陈鹏，译.北京：法律出版社，2004：175178.

[24]孟勤国.物权二元结构论——中国物权制度的理论重构[M].北京：人民法院出版社，2004：6169.

[25]迪尔克·赫尔鲍特.封建法：欧洲真正的财产共同法——我们应当重新引入双重所有权？[M].张彤，译//王洪亮.中德私法研究：第4卷.北京：北京大学出版社，2008：126141.

[26]弗里德里希·卡尔·冯·萨维尼.萨维尼论对人之诉和对物之诉[M].田士永，译//王洪亮.中德私法研究：第1卷.北京：北京大学出版社，2006：198.

[27]弗里德里希·卡尔·冯·萨维尼. 萨维尼论财产权[M].金可可，译//王洪亮.中德私法研究：第1卷.北京：北京大学出版社，2006：207215.

[28]金可可.债权物权区分说的构成要素[J].法学研究，2005（1）：24.

[29]李乐.虚拟世界的金钱交易分析[J].重庆邮电大学学报：社会科学版，2010（2）：3033.

[30]迪特尔·梅迪库斯.德国债法总论[M].杜景林，卢谌，译.北京：法律出版社，2003：313319.