C114讯 3月9日早间消息(岳明)恰逢两会,“网络安全”也成为各位委员和代表的热议词汇。启明星辰集团创始人兼CEO严望佳女士作为本届政协代表提出三个与“网络安全”、“信息安全”以及“电子政务云安全”相关的提案,获得媒体与民众的广泛关注。
严望佳的第一个提案就是:关于在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度。
严望佳认为,我国的信息安全保障体系建设大多是在等保、分保制度基础上,满足合规性即可。究其根本原因还在于我国对信息安全的重视没有提高到“以效果为导向”的程度,而又伴随着信息安全是“七分管理三分技术” “信息安全没有绝对”这种特点,以及政府采购目录以硬件产品为主、《采购法》以最低价为准绳的制度,交织反复,最终形成我国信息安全保障体系建设目前以合规为目标,以最低价产品为市场,整体行业低水平竞争,国家重要信息系统安全保障能力不足,国家网络空间对抗能力不足等系列恶性循环的现状。
索尼影音公司遭遇的入侵和破坏事件、Heartbleed(心脏出血)漏洞、12306撞库攻击事件等公众性网络安全事件,无不时刻警示着公众和政府,网络安全的严峻形势,国家需要打破长期以合规为导向的信息安全保障体系,出台有针对性的法律法规,来保护公众、政府等的网络安全。
严望佳建议,信息安全保障体系建设,合规是基础,效果是保障。建议国家能尽快出台、制定法律法规,建立信息安全责任落实制度,要求用户需要对安全采购的结果负责,特提出以下建议:在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度。
该制度可以把现行的合规体系变成一个责任体系,可以利用安全真正需求引导一个注重技术、产品与服务的市场环境,促使商业竞争以用户价值为导向,促进安全厂商从销售导向、集成商导向转变至以技术创新为导向。该制度对产业的生态环境、政府的管理方式、信息安全的整体架构都会产生深远影响,使我国信息安全产业形成良好、健康的生态环境。
具体建议如下:
(1)划分详细的关键基础设施、敏感部门、政府机构范围
建议在以下关系到国防安全、国计民生的关键领域划分详细的机构范围:政府、电信、金融、能源、教育、大型企业、军队军工、交通、媒体、医疗卫生等。
(2)在关键基础设施、敏感部门、政府机构设立首席信息安全官
在关键基础设施、敏感部门、政府机构设立首席信息安全官职位,充分赋予首席信息安全官相应的职权,不限于以下内容:首席信息安全官直接汇报给最高决策者;全权负责信息安全保障体系建设;咨询、审批或验证现有的IT投资计划。
(3)建立首席信息安全官任职资格、考核制度
首席信息安全官对人员的技术、管理、法规遵从等方面要求非常高,导致任职人员可能不能完全胜任该岗位。国家相应部门需要针对首席信息安全官进行选拔、培训、资格认定等一系列的人才保证措施。
国家相应部门,应该在等保、分保等制度的基础上,明确建立针对首席信息安全官考核制度,考核制度作为对用户单位整体安全建设的重要评价指标。考核制度可以进一步加强用户单位对于首席信息安全官的重视程度、安全建设力度、整体安全水平。 
