政策工具视角下我国信息安全政策研究

时颖惠 薛翔

摘 要：[目的/意义]信息安全政策的制定是我国网络强国战略的重要一环，分析我国信息安全政策的特征和工具，对今后信息安全研究及政策优化具有重要意义。[方法/过程]对81份信息安全政策进行编码统计，基于文本分析方法及政策工具理论，分析信息安全政策的政策外部特征、政策主题特征以及政策工具分布。[结果/结论]对今后信息安全政策制定提出3点建议，分别是进一步完善信息安全政策内容、优化信息安全政策工具结构、增进政策制定主体统筹协作。

关键词：信息安全政策;政策文本分析;政策工具;文本计量;内容分析

DOI：10.3969/j.issn.1008-0821.2022.01.013

〔中图分类号〕G203 〔文献标识码〕A 〔文章编号〕1008-0821（2022）01-0130-09

Abstract：[Purpose/Significance]Information security policy provides policy means to ensure information security.Analyzing the main characteristics and tools of information security policy has important significance for future information security research and policy optimization.[Method/Process]Based on the method of text analysis and the theory of policy tool，coding statistics on 81 national information security policies were made，and policy external characteristics，policy theme characteristics and policy tool distribution of information security policies were analyzed.[Result/Conclusion]Three suggestions were put forward for the formulation of information security policy in the future，namely，further improvement of the content of information security policy，optimization of the structure of information security policy tools，and enhancement of the coordination of policy makers.

Key words：information security policy;policy text analysis;policy tools;text measurement;content analysis

當前，随着5G、物联网等新一代信息技术的蓬勃兴起，我国信息化进入加速发展阶段，基于信息网络的应用融合、产业创新逐渐渗透到政治、经济、科技、军事等各个领域，保障信息安全已成为促进经济发展、保障社会运行以及维护国家安全的重要战略任务。所谓信息安全，是指国家、企业、个人的信息空间、信息载体及信息资源不受来自内外的各种形式的危害[1]，在国家发展、人民生活中占据着重要地位。习近平总书记在全国网络安全和信息化工作会议中多次强调要树立正确的网络安全观，加强网络信息安全统筹机制。党和国家高度重视信息安全政策的出台和实施，制定了《关于大力推进信息化发展和切实保障信息安全的若干意见》《中华人民共和国网络安全法》等一系列政策为引导和规范信息化健康有序发展、提高我国信息安全保障能力提供有力支撑。

信息安全政策作为保障信息安全的有效管理手段，也引起了学术界的广泛关注。早期国内对信息安全政策的研究聚焦在信息安全政策体系的构建，高思静等从系统论角度将信息安全政策体系划分为网络、应用、系统、数据、物理环境安全政策[2-3]，这类研究偏向于将政策体系置于宏观框架内进行分析，忽视了信息安全政策的具体政策目标和手段，针对性略显不足。近些年随着隐私问题、大数据问题等逐渐进入公众视野，关于个人信息安全、数据安全的研究成为信息安全政策研究热点，不少学者对健康应用隐私政策、政务应用隐私政策、医疗数据安全政策、政府开放数据安全政策等具体领域展开研究[4-7]，分析这些政策在各领域中的效果，但对于如何改善整体的信息安全政策内容并未给出合理建议。相较而言，国外针对信息安全政策的分析更贴近于实证研究，关于政策的有效性和遵从性是政策研究中最广泛的部分[8]，如组织文化、安全意识、内部群体、外部环境等主题被视为影响信息安全政策实施的关键要素[9-12]。

总体来看，目前国内学者基本从国家宏观或某一领域层面对政策进行分析，少有对我国信息安全政策进行全面系统的梳理;国外的实证分析多是从组织和个人层面对政策影响因素进行探究，缺乏对政策本身内容及主题的量化分析。作为政策研究的重要范式，政策文本分析以政策主体、政策工具等为研究对象，用量化的方式深入描述和分析政策文本条例，对于政策的解释、解读及落实具有重要的现实意义。从文本分析的角度切入我国信息安全政策研究，既拓展了政策文本分析的应用领域，也为我国信息安全政策制度的优化提供了方法论指导。因此，本文拟应用计量学和内容分析方法以及政策工具理论，对收集整理的81份信息安全政策文本进行量化分析，探究信息安全政策的外部特征、主题特征以及政策工具分布特征，把握信息安全政策整体变迁趋势，挖掘信息安全政策实施要点，为我国信息安全政策的工具选择和制定优化提供行之有效的建议。

1 研究设计

1.1 政策文本收集

在政策收集之前，首先要明确信息安全在政策中的常用表述。2012年国务院发布的《关于大力推进信息化发展和切实保障信息安全的若干意见》中，多次提到“网络与信息安全”，将“信息安全”和“网络安全”交替使用。因此为保证政策数据的全面性，本文分别以“信息安全”和“网络安全”以检索词，在国务院及其下属各部门官方网站进行搜索，并在北大法宝数据库和北大法意数据库进行补充检索，最后在CNKI相关文献中对提及的政策文件进行回溯检索。

为保证政策内容与信息安全主题高度契合，按照以下标准进行政策筛选：首先，选择中央层面发布的国家政策，包括国务院、国务院各部委及直属机构，不包括省市级政府文件以及非政府层面文件;其次，政策文本内容需要与信息安全主题密切相关，需要直接体现保障信息安全的手段和措施，不包括仅在正文提及信息安全或网络安全的政策;第三，所选政策主要是相关法律、法规、办法等各类文件，不包括回函、批复等非正式决策文件。按照以上方法，截至2021年1月1日，筛选出81份国家层面信息安全政策文件作为样本，按照时间顺序进行编号，如表1所示。

1.2 研究方法及理论

本文应用计量学方法和内容分析法，揭示政策演化的逻辑和路径，梳理政策内容的目标和手段。计量法是以数学和统计学方法为基础，利用推理和比较的方法对文献的分布趋势进行预测[13]。计量法的研究对象主要是文献外部特征，比如发文机构、发文时间、发文期刊等显性信息内容，以此分析文献的某种结构、特征和规律，研究文献整体的运动变化。内容分析法一般被用来解读单个文本或者一定数量文本的集合，研究文本中某些词或者概念、范畴是否出现以及出现了多少次，从而就文本里的信息进行推断。内容分析法的应用兼具显性知识的统计分析和隐性文本的知识分析，从文本中词语或者概念出发去解释社会现实[14]。

政策工具理论常被用来分析和解读政策，政策工具是指实现政策目标的手段和途径。众多学者从不同的角度对政策工具进行划分，其中最著名的是Rothwell R等的划分理论，即根据政策工具的着力面划分为供给型、环境型和需求型3种政策工具[15]。供给型政策工具指政府直接为信息安全相关活动供给资金、人才、技术、基础设施等要素[16];环境型政策工具一般是政府采取目标规划、法规管制等措施，保障信息安全发展环境的健康有序[17];需求型政策工具则是政府采取试点、外包、合作等措施促进信息安全市场的繁荣，从市场需求角度干预信息安全[18]。表2展示了信息安全政策中具体政策工具的含义。

2 研究结果

2.1 政策外部特征

2.1.1 发文时间分析

根据发文时间，以5年为单位，统计1990—2020年国家层面信息安全政策的发文时间，如图1所示，政策颁布数量整体呈现前期平稳上升、后期明显增量的趋势，年均政策颁布量2.61件，最高达到11件。信息安全政策始终在国家的政治生态与政策运行中占有一席之地，且随着信息化的普及和国民经济的发展，党和政府对信息安全的关注不断增加，其发展历程主要历经3个阶段。

1990—2000年是我国信息安全政策的萌芽阶段，也是我国信息化的起步时期。信息安全政策于20世纪末进入我国政治生态，1994年我国正式接入国际互联网[19]，为加强计算机系统设备管理，保障网络运行安全可控，同年国务院发布《中华人民共和国计算机信息系统安全保护条例》首次建立信息安全管理的框架，从安全保护制度、安全监督、法律责任等方面明确了计算机信息系统运行及服务的保护措施。在促进互联网建设和信息技术普及的过程中，中央高度重视为互联网的健康发展创造良好的社会环境，于2000年颁布了我国信息安全领域首部法律《全国人民代表大会常务委员会关于维护互联网安全的决定》，就互联网犯罪进行了全面的法律界定。

2001—2010年是信息安全政策的探索阶段。进入21世纪，受到全球信息化浪潮的影响，国民经济和工业生产都发生了革命性变化，为迎接时代转轨带来的信息化挑战，我国开始出台具有战略意义的信息安全政策文件，为政府网络工程、企业网络应用、信息基础设施等做好安全部署工作。2003年《国家信息化领导小组关于加强信息安全保障工作的意见》提出了10个层面的信息安全部署，包括实行信息安全等级保护、加强信息安全技术研究、加快信息安全人才培养、加强信息安全法制建设和标准化建设等。随后，在该意见的指导下，公安部等部门陆续出台具体的信息安全等级保护、互联网安全保护技术等一系列措施。

2011—2020年是信息安全政策的稳定发展阶段。近10年来，大数据技术、移动互联网、物联网、云计算等新技术和新应用不断发展，这一阶段信息安全的内涵和外延更加丰富，囊括信息安全产业、信息安全标准、信息安全威胁、个人信息安全等诸多重点[20-21]。为了有针对性地推进信息安全工作、健全我国信息安全保障体系，2012年国务院发布《关于大力推进信息化发展和切实保障信息安全的若干意见》，在工业控制系统安全、信息资源和个人信息保护、云计算安全技术和标准等多领域提出兼具指导性和操作性的科学规划。2013年末，党的十八届三中全会提出要加大依法管理网络的力度，进一步做好国家网络和信息安全工作。随后，相关政策文件颁布数量逐年增加，并在2014年达到高峰，为《中华人民共和国网络安全法》的出台奠定了法理基础。2016年《网络安全法》正式通过，是我国网络安全治理的重要里程碑，和其他相关政策互为呼应，共同构成我国信息安全政策制度的综合框架，此后政策数量稍有减少，政策发展进入稳定期。

2.1.2 发文机构分析

国务院、工业和信息化部、公安部、国家发展和改革委员会等共计35个机构参与信息安全政策制定，表3展示了发布政策超过3份的机构。总体上看，信息安全政策发文机构较多，这是因为信息安全政策涉及信息发展、安全治理、体制改革等多方面内容，单靠某一机构的力量难以确立健全、科学、有效的政策制度。因此，诸多部门依据其职能从不同的层面应对相应信息安全问题。从时间线上看，政策的颁布作为国家公权力的过渡与赋予，体现出不同机构之间权力与职能的变迁。在萌芽期，国务院作为制定权威信息安全政策的机构，统领全国信息化工作;在探索期，我国信息化管理体制不断改革，信息安全管理的权责从国务院的国家信息化工作领导小组几经转移到工业和信息化部;2014年2月成立了中央网络安全和信息化领导小组（现更名为中国共产党中央网络安全和信息化委员会），成为总揽安全战略的最高决策小组。在网络空间日益成为国家竞争新焦点的背景下，组织架构上的统筹协调不仅关乎信息安全政策制定的行政责任，还关系到国家信息实力的战略部署。领导小组的成立对我国信息安全工作提出了新的要求，立足新时期，各機构在砥砺前行之时，需要注重协同和配合，积极推动信息安全提质增效。

2.2 政策主题特征

2.2.1 词频分析

词频分析是文本内容分析的重要手段之一，一般有两种统计方式，一种是考虑词语出现的自然频率;另一种是兼顾词语出现的次数和词语在文本中的重要程度，即词语出现的相对频率[22]。本文采取后一种方式，使用NLPIR分词对81份政策文本进行分词，将词语出现的次数和词语在文本中的重要程度综合计算出词语的权重，权重越高，说明该词在文本中越关键。在分词阶段，根据文本的具体内容构建用户词典和停用词表，用户词典中规定“信息系统”“个人信息”“移动互联网”等词汇无需切分，停用词表中设置与语义无关的词汇和标点不计入分词结果。在统计词频时，根据需要人工建立同义词库，将一些表达相近的词汇进行合并，比如“人才培养”和“人才培训”统一转化成“人才培养”，“计算机系统”和“计算机信息系统”统一转化成“计算机系统”。表4是政策文本中权重前20的关键词。

关键词可归为3类，第一类是信息安全专业名词，包括信息系统、网络、信息、系统、数据、技术、安全、信息化、互联网、应用、个人信息;第二类是措施类动词，包括服务、管理、建设、开展、发展;第三类是普通名词，包括国家、企业、组织、单位。从专业名词来看，信息系统是信息安全政策中权重最高的主题，大量政策围绕信息系统的建设和管理展开，通过制定系统安全审查制度、完善系统应急预案等多种措施保障关键信息系统安全。网络、信息、数据、技术这些关键词也排在前列，这是因为信息安全问题已经从传统的网络运行和信息设备安全问题拓展到了包含网络安全、技术安全、数据安全、应用安全等诸多内容的综合安全问题。从措施类动词来看，当前政策对信息安全的支持方式以管理、发展等直接手段为主，在教育、评估等方式上较为缺乏，考虑到信息安全工作的后续完善及长期开展，应当根据政策需要纳入相应的人员教育、工作评估等措施。

2.2.2 词云可视化

将关键词以词云的形式进行可视化展示，以期发现信息安全政策文本背后话语秩序，理解政策的目标、对象、手段等核心内容。如图2所示，根据囊括信息安全专业名词、措施类动词以及普通名词的词云，厘清我国信息安全政策七大主题：第一，保障信息系统和信息网络安全。在教育、农业、金融等重点领域建设信息系统与信息网络，加强监督检查和风险管理，防止重点领域运转失灵。第二，确保工业控制系统安全。明确工业控制系统信息安全管理要求，促进工控系统安全标准的规范化，建立健全工控系统管理制度。第三，保护政府涉密平台。在公安机关、党政机关等部门涉密平台，加强数据安全和信息保密，严格遵守等级保护和网络安全防护。第四，重视安全监管以应对网络安全事件。强化监测技术，完善信息安全监管体制，加大对网络犯罪行为的监管力度。第五，规范移动互联网。明确移动互联网行业规范，严禁移动互联网恶意程序和安全隐患产品，保障消费者安全。第六，推动技术攻关。重视物联网、云计算、大数据等新一代信息技术，组织技术专项，鼓励技术成果转化和应用，推动信息产业创新发展。第七，保障个人信息安全。明确个人信息收集、使用及存储的规范标准，健全个人信息保护法规，严厉打击危害公民个人信息行为。

2.3 政策工具分析

2.3.1 政策工具编码

本文使用Nvivo 11 Plus质性分析软件对政策文本中涉及政策工具的内容进行编码、归类及量化。首先，以政策条款为最小分析单元，按照“政策编号—要点序号”进行逐条编码，如表5所示，在Nvivo中设置对应参考点;其次，根据条款内容归纳工具属性，明确具体的工具名称，形成一级和二级节点;最后，统计节点分布，将质性文本内容转化为可供量化分析的数据材料。为提高编码精确度，先由两名研究者遵循统一编码和不可细分的原则分别进行预编码，并对编码不一致的地方进行共同讨论直到达成共识。政策工具节点统计结果如表6所示，最终形成13个政策工具节点，共计1 339条参考点。总体上看，我国信息安全政策对政策工具的使用比较全面，兼顾了供给型、环境型和需求型政策工具的综合使用。其中，环境型政策工具使用最多，占比54.14%，供给型政策工具使用次之，占比35.85%，需求型政策工具使用最少，占比10.01%。这表明政府更倾向于通过采取间接性手段调控宏观环境，以保障信息化有序发展。

2.3.2 政策工具分布特征

1）供给型政策工具

在供给型政策工具内部，信息基础设施（15.61%）和技术支持（15.16%）二者在信息安全政策内容中占据重要位置。信息基础设施建设的迫切性与社会的信息化发展密切相关，一方面，传统基建处于逐渐饱和的状态，边际效用在不断下降，重复建设容易导致经济结构失衡，需要挖掘新的经济增长点;另一方面，随着信息流和数据流的渗透，信息化成为承载国民经济的重要基础条件，引领企业向数字化、智能化方向发展的信息基础设施为产业转型带来新的可能性。《网络安全法》专门建立关键信息基础设施安全保护制度，将信息基础设施的具体范围和保护办法作为立法重点。技术支持是信息安全发展的另一大推动力，从实践层面来看，核心技术的突破，有利于打造安全可靠的网络通信设施，推动云计算、物联网、5G等新兴技术在关键产业及领域的应用。在信息化亟需突破的当下，信息基础设施建设和信息技术支持作为相辅相成的政策手段，有助于为信息安全发展注入持续动力。此外，资金支持和人才支持这两类政策工具使用频率明显较低，占比仅为1.79%和3.29%，这表明政府在信息安全领域的资金和人才投入力度远远不够。资金支持的优势在于具有定向性，人才投入的效果则具有长期性，这两个政策工具应当大幅度增加。

2）环境型政策工具

环境型政策工具整体占比超过一半，作为一种间接的影响手段，格外受到政策主体的青睐。在环境型政策工具中，法规管制（26.29%）是政府最常用的约束性手段。近年来，信息资源与关键信息基础设施作为国家发展战略资源的重要性日益凸显，国际国内信息威胁、侵害和误导的破坏程度随之扩大，因此政府往往通过制定强有力的管制措施起到威慑作用。但是法规管制作为一种直接的行政干预手段，在短期内见效的同时破坏了市场的自我调节和良性发展，应当减少频繁使用。安全规范（18.00%）是政府面向新一代互联网产业和服务设置规范化的安全标准，包括行为标准、程序标准、内容标准等，旨在规范信息安全行业的有序运行并增强其抵抗风险的能力。策略性措施（6.65%）和目标规划（2.61%）的使用稍有不足，策略性措施以循序渐进的方式影响企业发展，对政策体系起到补充的作用;目标规划多出现于规划类政策，容易在阶段内取得明显的短期成果。知识产权政策工具使用次数不到10次，是我国信息安全政策中一个明显的空白点，造成这一现象的原因可以归结为两点：一方面是由于我国信息化起步较晚，对信息安全领域相关主体、范围、权利、责任等要素界定不清，给企业知识产权保护带来困扰;另一方面是因为政府重视程度不夠，对信息安全成果保护措施有限，遏制了科研人员技术研发和创新的积极性。

3）需求型政策工具

相比于供给和环境型政策工具，需求型工具（10.01%）目前仍存在严重空缺。仅有少量政策涉及信息安全的试点示范（3.36%）、服务外包（1.27%）、社会参与（4.18%）和国际交流（1.19%），通过与外部企业、机构、公民等各方力量进行互动与合作，推动行业典范地树立和市场产业的规模化发展。造成需求型政策工具弱势的主要原因是，其一，信息安全涉及政府保密网站、关键基建平台等重大项目，需要按照国家有关保密规定和标准，难以从绝对的市场角度引入社会资本;其二，政府作为治理主体，长期以来习惯于部门引导、网络主体承担的自治模式，社会其他力量参与的程度不够。实际上网络信息安全是一个主体复杂、层次多样、边界丰富的领域，仅仅依靠政府的管理很难达到切实有效的政策目标，更应注重强化企业、机构、公民等社会力量参与。

3 结论与建议

3.1 主要结论

本文从政策文本量化分析和内容分析的视角切入我国信息安全政策研究，解析信息安全政策的历史规律和现实困境，研究发现：

第一，在政策演化方面，构建完善配套的制度体系是我国信息安全政策优化的核心路径。从20世纪末互联网建设初步引入我国信息化的政策萌芽期，到进入21世纪全方位部署信息安全工作的政策探索期，再到近10年来信息安全技术飞速突破的政策发展期，我国陆续出台了相当数量的意见、通知、规划、方案等政策文件，已初步形成我国信息安全政策制度的基本框架。从制度框架的全面性来看，信息安全顶层设计比较缺乏，规范层次较低，容易导致政策执行过程现实问题与相应法律法规的缺位性矛盾;从配套性来看，结合政策主题特征分析，当前政策体系还存在信息安全人才发展、信息攻防情报建设等一些明显的空白点。

第二，在部际协同方面，推进协调统一的组织架构是信息安全工作提质增效的现实基石。从信息安全政策发文机构的分布来看，2014年以来逐渐形成以国务院、工业和信息化部、中央网络安全和信息化委员会核心参与，公安部、国家发展和改革委员会、国家保密局等机构辅助参与的决策主体圈。各机构依据其职能从信息产业、安全治理、体制改革等不同层面参与信息安全工作，有力地促进了我国信息安全健康快速发展。但是当前各机构制定的信息安全政策主要是针对实践中某些局部问题而出台的解决措施，各政策之间联系不够紧密，合作不够通畅，可能出现政策内容不系统、不全面以及漏项等问题，造成信息安全政策效果“事倍功半”。

第三，在政策工具方面，配置种类繁多的政策工具是实现我国信息安全目标的广泛途径。由质性分析可知，我国信息安全政策中综合使用了供给型、环境型和需求型3类工具，以技术支持、安全规范、法规管制等13种具体工具为着力点，逐步实现转变经济结构、加快信息化深度融合、构建新一代信息安全产业体系的发展目标。其中，各类政策工具的使用分布存在不协调、不平衡现象，环境型政策工具过溢，而需求型政策工具的使用被弱化，在一定程度上限制了信息安全市场发展的潜力;政策工具内部也普遍存在结构性失衡问题，在资金、人才、知识产权、国际交流等方面的投入远远不够，呈现出重技术、轻服务的态势。

3.2 政策建议

3.2.1 进一步完善信息安全政策内容

第一，定期制定信息安全战略规划，深化信息安全顶层设计。当前信息安全政策数量平稳增长，在信息系统、信息资源和个人信息保护、云计算安全技术和标准等多领域均有涉及。但诸多政策大都是部门发布的办法、通知等规范性文件，信息安全相关顶层设计和权威政策较为缺少，应当在2016年《网络安全法》的基础上，出台信息安全领域权威政策法规，为各部门、地方发布政策提供出发点和基本依据。一方面，要定期制定前瞻性的信息安全保护战略规划，探索信息安全发展规律，规划信息安全远景目标和方向，做好信息安全重大建设项目、产业和技术布局、互联网治理等基础工作指导;另一方面，要不断深化顶层设计的层次和要素，注重信息安全领域相关技术和模式的迭代更新，用辩证與发展的视野拓宽信息安全外延与内涵，增强顶层设计的整体关联性和实际操作性，切实提高信息安全政策作用效力。

第二，构筑信息安全人才培养体系，强化信息安全攻防能力。在政策主题特征中可以看到，信息安全政策的关注点在传统计算机系统和网络设备安全之上囊括了政府涉密平台安全、移动互联网安全、个人信息安全等综合安全问题。这既是信息化发展的必然结果，也是构建全面政策体系的现实要求。不过，目前信息安全政策仍然存在一些空白有待完善，首先，信息安全人才建设缺乏，具体政策中很少提及信息安全人才的培养、帮扶等内容，还未形成能够为信息安全领域提供持续人才输送的制度体系。2012年《关于大力推进信息化发展和切实保障信息安全的若干意见》中指出，要加强信息安全学科师资队伍、重点实验室建设，在此基础上，有关部门要把人才建设落实到位，在物联网、信息系统、个人信息安全等具体领域中配备充足资源，培养大范围、高质量信息安全人才。此外，信息安全攻防能力建设亟需补充，网络安全已经上升到国家安全与发展的战略高度，可参考发达国家攻防部署经验推进相应政策设计步伐。如加强攻防情报分析与决策，可成立负责信息威胁搜集与研判的情报机构，规划网络攻防领域的主要威胁及应对机制，提升信息战的情报应对能力;重视国家信息安全形势评估，对内积极研发信息安全攻防技术，对外坚持信息主权以提升信息安全国际话语权和影响力。

3.2.2 优化信息安全政策工具结构

政策工具的使用往往由于产业发展的不同阶段而呈现出从供给型到环境型再到需求型的变化过程[23]，我国信息安全产业还处于发展上升期，信息安全政策整体存在环境型政策工具过溢、需求型政策工具弱化的结构失衡情况。需求型政策工具的匮乏，导致政府对市场需求的拉动作用较弱，不利于发挥信息网络生态中的社会化力量。不同类型的政策工具对于信息安全目标的适用程度和效果大小存在差异，因此，随着信息安全市场的进一步成熟，未来政策体系优化应当关注政策工具的针对性和科学性，一方面，要注意政策工具的使用不能过于单一，可适当减少环境型政策工具、协调供给型政策工具、扩大需求型政策工具，根据政策工具自身特点并通过合理配置与组合优化达到更佳的政策效果;另一方面，也要关注到3类政策工具的内部结构，增强内部各政策措施与信息安全相关要素之间的配比协同，从信息安全管理、环境、市场各自生态系统出发完善工具配套措施。

在供给型政策工具内部，政策手段需要更加多样，除基础设施、技术、人才、资金这4个要素对信息安全给予保障外，要及时洞察信息安全主体的新需求，考虑公共服务、税收优惠等多种支持措施;政策配套措施需要完善，例如政策中要应明确信息安全技术的内容形式和标准体系，细化该政策工具的实施细节和作用主体;政策工具比例需要优化，政府应侧重于增加信息安全领域的人才和资金投入，为信息安全技术的研究和信息基础设施的建设注入可持续发展动力。在环境型政策工具内部，必须强化知识产权保护，完善信息安全领域知识产权相关政策法规，提高社会对知识产权保护重视程度;补充信息安全领域技术和应用的知识产权标准，为知识产权保护工作提供依据;建立信息安全领域知识产权信息系统等相关平台，加强知识产权监管力度。在需求型政策工具内部，要增加服务外包工具的使用，促进政府与外部企业合作，推动信息安全市场良性发展;同时鼓励我国信息安全发展与国际接轨，通过海外交流、国际竞赛等方式了解国外信息安全最新技术及应用，推动信息安全前沿部署;对于涉密政府平台及项目，在外包、合作等模式下需要严格遵照国家保密标准，注重资源共享与网络攻防齐头并进。

3.2.3 增进政策制定主体统筹协作

第一，突出政府统筹作用，科学调度社会资源。信息安全是一个主体复杂、层次多样、边界丰富的系统工程，政策体系涉及基础设施、网络生态、安全监管等诸多领域，如果各领域各自抓建设，缺乏政府统一管理，显然会造成政策之间重叠交叉或分立矛盾。因此，要加强政府在信息安全发展中的领导职能，突出政府的统筹作用，以解决政策作用不一致等问题。中央网络安全和信息化委员会要充分发挥信息安全事业统筹协调，整合各种资源实现信息安全战略目标，让工信部、公安部、发改委等机构的分布式管理更好地发挥作用。此外，政府应合理调度企业、高校、社会组织、公民等各类社会力量参与信息安全管理和实施。社会力量作为信息安全生态的重要一环，受到很多发达国家的重视，如美国政府强化公共部门和私营企业之间的合作关系，英国政府与产业共建信息安全防护体系[24]。借鉴国外经验，我国政府要充分重视社会化力量，统筹建立多方参与的信息安全管理机制，不断适应网络社会的新型治理观。

第二，推进部门合作互通，保障数据信息共享。在信息化和工业化深度融合发展的形势下，各部门的通畅合作是丰富信息安全研判、决策和响应的重要基础，尤其是工作职能联系密切的相关机构，应当明确信息公开的范围边界，尽可能减少政策内容重复、漏项等问题。为此，一方面可建立多部门协同机制，各部门从信息安全总领域出发分工合作，注重彼此发布政策的整体性和衔接性，构建全方位的信息安全战略;另一方面注重信息共享工作，多领域或部门之间打通数据信息共享平台，通过信息安全技术中心、信息安全数据库等消除信息孤岛问题，提高各部门决策过程的质量和效率。

参考文献

[1]王世伟.大数据与云环境下国家信息安全管理研究[M].上海：上海社会科学院出版社，2018：15-21.

[2]高思静，马海群.信息安全政策体系构建研究[J].情报理论与实践，2011，34（10）：13-16.

[3]赵晖.构建我国网络地理信息安全的政策体系[J].学海，2016，（6）：5-11.

[4]付少雄，赵安琪.健康APP用户隐私保护政策调查分析——以《信息安全技术个人信息安全规范》为框架[J].图书馆论坛，2019，39（12）：109-118.

[5]李媛，刘海峰，李晨旸.移动政务App用户个人信息安全防范探讨[J].保密科学技术，2020，（3）：31-35.

[6]郭强，王乐子，母健康，等.医疗数据信息安全政策研究[J].医学信息学杂志，2020，41（1）：20-25.

[7]汤弘昱.基于政策文本内容分析的欧盟数据安全政策研究[D].哈尔滨：黑龙江大学，2019.

[8]Cram W A，Proudfoot J G，DArcy J.Organizational Information Security Policies：A Review and Research Framework[J].European Journal of Information Systems，2017，26（6）：605-641.

[9]Balozian P，Leidner D.Review of IS Security Policy Compliance：Toward the Building Blocks of an IS Security Theory[J].ACM SIGMIS Database，2017，48（3）：11-43.

[10]Bauer S，Bernroider E.From Information Security Awareness to Reasoned Compliant Action：Analyzing Information Security Policy Compliance in a Large Banking Organization[J].Data Base for Advances in Information Systems，2017，48（3）：44-68.

[11]Spyridon S，Gurpreet D，Ahlam A.Stakeholder Perceptions of Information Security Policy：Analyzing Personal Constructs[J].International Journal of Information Management，2020，50：144-154.

[12]Flowerday S V，Tuyikeze T.Information Security Policy Development and Implementation：The What，How and Who[J].Computers & Security，2016，61（8）：169-183.

[13]朱少强，邱均平.文献计量与内容分析——文献群中隐含信息的挖掘[J].图书情报工作，2005，（6）：19-23.

[14]郑文晖.文献计量法与内容分析法的比较研究[J].情报杂志，2006，（5）：31-33.

[15]Rothwell R，Zegveld W.An Assessment of Government Innovation Policies[J].Review of Policy Research，1984，3（3）：436-444.

[16]趙雪芹，李天娥.基于政策工具的我国民生档案政策文本量化研究[J].档案学研究，2020，（6）：37-46.

[17]李芊，李海芹，郭建伟.区块链政策文本量化分析——基于政策工具与政策目标视角[J/OL].财会月刊：1-7[2021-01-14].http：//kns.cnki.net/kcms/detail/42.1290.F.20201231.1338.034.html.

[18]陈兰杰，赵元晨.政策工具视角下我国开放政府数据政策文本分析[J].情报资料工作，2020，41（6）：46-53.

[19]惠志斌.全球网络空间信息安全战略研究[M].上海：上海世界图书出版社，2013：139-147.

[20]郭建伟，陈佳宇，燕娜.大数据时代的信息安全问题研究[A].北京科学技术情报学会.创新发展与情报服务[C]//北京科学技术情报学会：北京科学技术情报学会，2019：8.

[21]王莉.大数据下网络信息安全控制策略浅析[J].信息系统工程，2020，（5）：57-58.

[22]张勤.词频分析法在学科发展动态研究中的应用综述[J].图书情报知识，2011，（2）：95-98，128.

[23]吴湘玲，田舒柳，刘丽娜.“政策目标—政策工具”分析框架下我国数字经济政策文本研究[J].科技智囊，2020，（8）：3-9.

[24]张志华，蔡蓉英，张凌轲.主要发达国家网络信息安全战略评析与启示[J].现代情报，2017，37（1）：172-177.

（责任编辑：孙国雷）