推行首席信息安全官制度助力網(wǎng)絡安全

中國經(jīng)濟網(wǎng)北京3月30日訊（記者 郝紅波）“索尼影音公司遭遇的入侵和破壞事件、Heartbleed（心臟出血）漏洞、12306撞庫攻擊事件等公眾性網(wǎng)絡安全事件，無不時刻警示著公眾和政府，網(wǎng)絡安全的嚴峻形勢，國家需要打破長期以合規(guī)為導向的信息安全保障體系，出臺有針對性的法律法規(guī)，來保護公眾、政府等的網(wǎng)絡安全。”日前，全國政協(xié)委員、北京啟明星辰信息技術股份有限公司首席執(zhí)行官嚴望佳女士在接受中國經(jīng)濟網(wǎng)記者專訪時表示。

據(jù)了解，我國的信息安全保障體系建設大多是在等保、分保制度基礎上，滿足合規(guī)性即可。在談到網(wǎng)絡安全事件頻發(fā)的原因時，嚴望佳委員認為根本原因在于我國對信息安全的重視沒有提高到“以效果為導向”的程度，而又伴隨著信息安全是“七分管理三分技術” “信息安全沒有絕對”這種特點，以及政府采購目錄以硬件產(chǎn)品為主、《采購法》以最低價為準繩的制度，交織反復，最終形成我國信息安全保障體系建設目前以合規(guī)為目標，以最低價產(chǎn)品為市場，整體行業(yè)低水平競爭，國家重要信息系統(tǒng)安全保障能力不足，國家網(wǎng)絡空間對抗能力不足等系列惡性循環(huán)的現(xiàn)狀。

信息安全保障體系建設，合規(guī)是基礎，效果是保障。因此，嚴望佳委員提議在關鍵基礎設施、敏感部門、政府機構(gòu)等推行首席信息安全官制度。并建議國家能盡快出臺、制定法律法規(guī)，建立信息安全責任落實制度，要求用戶需要對安全采購的結(jié)果負責。具體建議如下：

首先，劃分詳細的關鍵基礎設施、敏感部門、政府機構(gòu)范圍。

建議在以下關系到國防安全、國計民生的關鍵領域劃分詳細的機構(gòu)范圍：政府、電信、金融、能源、教育、大型企業(yè)、軍隊軍工、交通、媒體、醫(yī)療衛(wèi)生等。

其次，在關鍵基礎設施、敏感部門、政府機構(gòu)設立首席信息安全官。

在關鍵基礎設施、敏感部門、政府機構(gòu)設立首席信息安全官職位，充分賦予首席信息安全官相應的職權，不限于以下內(nèi)容：首席信息安全官直接匯報給最高決策者；全權負責信息安全保障體系建設；咨詢、審批或驗證現(xiàn)有的IT投資計劃；

第三，建立首席信息安全官任職資格、考核制度。

首席信息安全官對人員的技術、管理、法規(guī)遵從等方面要求非常高，導致任職人員可能不能完全勝任該崗位。國家相應部門需要針對首席信息安全官進行選拔、培訓、資格認定等一系列的人才保證措施。

最后，嚴望佳委員強調(diào)，國家相應部門應該在等保、分保等制度的基礎上，明確建立針對首席信息安全官考核制度，考核制度作為對用戶單位整體安全建設的重要評價指標?？己酥贫瓤梢赃M一步加強用戶單位對于首席信息安全官的重視程度、安全建設力度、整體安全水平。