宏觀視野
在關鍵基礎設施、敏感部門、政府機構中的網絡安全工作,應當成為國家整體網絡空間安全建設、網絡信息安全產業發展的龍頭。我的具體建議如下:
第一,劃定關鍵基礎設施、敏感部門、政府機構等關鍵機構范圍。建議在關系到國防安全、國計民生的關鍵領域劃分詳細的機構范圍:政府、電信、金融、能源、教育、大型企業、軍隊軍工、交通、媒體、醫療衛生等。
第二,在關鍵機構范圍內,建立并推行首席信息安全官制度。
第三,在關鍵機構范圍內,建立詳細的透明供應鏈登記名錄。依托政府采購,進一步完善供應商、產品市場準入和業績評估體系,建立詳細的透明供應鏈登記名錄。相關部門可以根據登記內容,設置相應門檻,以便選拔合格的供應商和產品進入登記名錄。
第四,在關鍵機構范圍內規范采購行為。加大招標過程中技術能力的評價比重,讓更有效的產品和服務被采購。
第五,在關鍵機構范圍內,加重對于服務的采購比例。追求安全的效果,不能僅僅依靠產品,還要讓好的產品被很好的使用。而安全服務是有效使用的有力保證,是安全效果的支撐。
在中國工程院院士倪光南看來,落實透明供應鏈登記工作,并推行首席信息安全官制度的建議很有意義,是可行的。
“在關鍵基礎設施、敏感部門、政府機構中落實透明供應鏈登記工作,這對屬于政府采購或公共采購范疇的單位,可以歸結為落實國家的有關法規,因為如果能真正做到依法采購,也就基本上達到了供應鏈透明的要求。”倪光南如是說。
至于“在關鍵基礎設施、敏感部門、政府機構等推行首席信息安全官制度”,倪光南則談到,“這在發達國家,隨著網絡空間競爭的加劇,首席信息安全官即CSO,在一些重要單位中已經較為普遍地設立了。它在CEO之下,專職負責安全事務,其地位與CTO、CFO、CIO等等高管相似,而在有關安全的決策中,例如決定采購何種產品和服務,CSO往往具有某種決策權。因為安全在很多情況下可以成為首要條件,根據安全需求,"一票否決"或"一票通過"都是很正常的。中國企業等單位還基本上沒有設立CSO,我們認為,有條件的單位不妨學習發達國家的經驗,設立CSO,以便使網絡安全、信息安全得到更好的保障。”
實際上,信息安全從斯諾登事件之后已經越來越多的被各國關注。在國家戰略層面,信息安全的根本在于立法的保證。信息安全也應該更多的被公眾考慮,我們也期待看到更多的與信息安全相關的政策出臺。
京公網安備 11010502049343號