推行首席信息安全官制度助力網(wǎng)絡(luò)安全
發(fā)布時(shí)間:2015-04-01中國經(jīng)濟(jì)網(wǎng)北京3月30日訊(記者 郝紅波)“索尼影音公司遭遇的入侵和破壞事件、Heartbleed(心臟出血)漏洞,、12306撞庫攻擊事件等公眾性網(wǎng)絡(luò)安全事件,,無不時(shí)刻警示著公眾和政府,網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì),,國家需要打破長(zhǎng)期以合規(guī)為導(dǎo)向的信息安全保障體系,,出臺(tái)有針對(duì)性的法律法規(guī),來保護(hù)公眾,、政府等的網(wǎng)絡(luò)安全,。”日前,,全國政協(xié)委員,、北京啟明星辰信息技術(shù)股份有限公司首席執(zhí)行官嚴(yán)望佳女士在接受中國經(jīng)濟(jì)網(wǎng)記者專訪時(shí)表示,。
據(jù)了解,我國的信息安全保障體系建設(shè)大多是在等保,、分保制度基礎(chǔ)上,,滿足合規(guī)性即可。在談到網(wǎng)絡(luò)安全事件頻發(fā)的原因時(shí),,嚴(yán)望佳委員認(rèn)為根本原因在于我國對(duì)信息安全的重視沒有提高到“以效果為導(dǎo)向”的程度,,而又伴隨著信息安全是“七分管理三分技術(shù)” “信息安全沒有絕對(duì)”這種特點(diǎn),以及政府采購目錄以硬件產(chǎn)品為主,、《采購法》以最低價(jià)為準(zhǔn)繩的制度,,交織反復(fù),最終形成我國信息安全保障體系建設(shè)目前以合規(guī)為目標(biāo),,以最低價(jià)產(chǎn)品為市場(chǎng),,整體行業(yè)低水平競(jìng)爭(zhēng),國家重要信息系統(tǒng)安全保障能力不足,,國家網(wǎng)絡(luò)空間對(duì)抗能力不足等系列惡性循環(huán)的現(xiàn)狀,。
信息安全保障體系建設(shè),合規(guī)是基礎(chǔ),,效果是保障,。因此,嚴(yán)望佳委員提議在關(guān)鍵基礎(chǔ)設(shè)施,、敏感部門,、政府機(jī)構(gòu)等推行首席信息安全官制度。并建議國家能盡快出臺(tái),、制定法律法規(guī),,建立信息安全責(zé)任落實(shí)制度,要求用戶需要對(duì)安全采購的結(jié)果負(fù)責(zé),。具體建議如下:
首先,,劃分詳細(xì)的關(guān)鍵基礎(chǔ)設(shè)施、敏感部門,、政府機(jī)構(gòu)范圍,。
建議在以下關(guān)系到國防安全、國計(jì)民生的關(guān)鍵領(lǐng)域劃分詳細(xì)的機(jī)構(gòu)范圍:政府,、電信,、金融、能源,、教育,、大型企業(yè)、軍隊(duì)軍工,、交通,、媒體,、醫(yī)療衛(wèi)生等。
其次,,在關(guān)鍵基礎(chǔ)設(shè)施,、敏感部門、政府機(jī)構(gòu)設(shè)立首席信息安全官,。
在關(guān)鍵基礎(chǔ)設(shè)施,、敏感部門、政府機(jī)構(gòu)設(shè)立首席信息安全官職位,,充分賦予首席信息安全官相應(yīng)的職權(quán),,不限于以下內(nèi)容:首席信息安全官直接匯報(bào)給最高決策者;全權(quán)負(fù)責(zé)信息安全保障體系建設(shè),;咨詢,、審批或驗(yàn)證現(xiàn)有的IT投資計(jì)劃;
第三,,建立首席信息安全官任職資格,、考核制度。
首席信息安全官對(duì)人員的技術(shù),、管理,、法規(guī)遵從等方面要求非常高,導(dǎo)致任職人員可能不能完全勝任該崗位,。國家相應(yīng)部門需要針對(duì)首席信息安全官進(jìn)行選拔,、培訓(xùn)、資格認(rèn)定等一系列的人才保證措施,。
最后,,嚴(yán)望佳委員強(qiáng)調(diào),國家相應(yīng)部門應(yīng)該在等保,、分保等制度的基礎(chǔ)上,明確建立針對(duì)首席信息安全官考核制度,,考核制度作為對(duì)用戶單位整體安全建設(shè)的重要評(píng)價(jià)指標(biāo),。考核制度可以進(jìn)一步加強(qiáng)用戶單位對(duì)于首席信息安全官的重視程度,、安全建設(shè)力度,、整體安全水平。
