推行首席信息安全官制度助力网络安全
发布时间:2015-04-01中国经济网北京3月30日讯(记者 郝红波)“索尼影音公司遭遇的入侵和破坏事件、heartbleed(心脏出血)漏洞、12306撞库攻击事件等公众性网络安全事件,无不时刻警示着公众和政府,网络安全的严峻形势,国家需要打破长期以合规为导向的信息安全保障体系,出台有针对性的法律法规,来保护公众、政府等的网络安全。”日前,全国政协委员、北京启明星辰信息技术股份有限公司首席执行官严望佳女士在接受中国经济网记者专访时表示。
据了解,我国的信息安全保障体系建设大多是在等保、分保制度基础上,满足合规性即可。在谈到网络安全事件频发的原因时,严望佳委员认为根本原因在于我国对信息安全的重视没有提高到“以效果为导向”的程度,而又伴随着信息安全是“七分管理三分技术” “信息安全没有绝对”这种特点,以及政府采购目录以硬件产品为主、《采购法》以最低价为准绳的制度,交织反复,最终形成我国信息安全保障体系建设目前以合规为目标,以最低价产品为市场,整体行业低水平竞争,国家重要信息系统安全保障能力不足,国家网络空间对抗能力不足等系列恶性循环的现状。
信息安全保障体系建设,合规是基础,效果是保障。因此,严望佳委员提议在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度。并建议国家能尽快出台、制定法律法规,建立信息安全责任落实制度,要求用户需要对安全采购的结果负责。具体建议如下:
首先,划分详细的关键基础设施、敏感部门、政府机构范围。
建议在以下关系到国防安全、国计民生的关键领域划分详细的机构范围:政府、电信、金融、能源、教育、大型企业、军队军工、交通、媒体、医疗卫生等。
其次,在关键基础设施、敏感部门、政府机构设立首席信息安全官。
在关键基础设施、敏感部门、政府机构设立首席信息安全官职位,充分赋予首席信息安全官相应的职权,不限于以下内容:首席信息安全官直接汇报给最高决策者;全权负责信息安全保障体系建设;咨询、审批或验证现有的it投资计划;
第三,建立首席信息安全官任职资格、考核制度。
首席信息安全官对人员的技术、管理、法规遵从等方面要求非常高,导致任职人员可能不能完全胜任该岗位。国家相应部门需要针对首席信息安全官进行选拔、培训、资格认定等一系列的人才保证措施。
最后,严望佳委员强调,国家相应部门应该在等保、分保等制度的基础上,明确建立针对首席信息安全官考核制度,考核制度作为对用户单位整体安全建设的重要评价指标。考核制度可以进一步加强用户单位对于首席信息安全官的重视程度、安全建设力度、整体安全水平。
