引言：在關鍵基礎設施、敏感部門、政府機構中的網絡安全工作，應當成為國家整體網絡空間安全建設、網絡信息安全產業發展的龍頭。具體建議如下：

第一，劃定關鍵基礎設施、敏感部門、政府機構等關鍵機構范圍。建議在關系到國防安全、國計民生的關鍵領域劃分詳細的機構范圍：政府、電信、金融、能源、教育、大型企業、軍隊軍工、交通、媒體、醫療衛生等。

第二，在關鍵機構范圍內，建立并推行首席信息安全官制度。

第三，在關鍵機構范圍內，建立詳細的透明供應鏈登記名錄。依托政府采購，進一步完善供應商、產品市場準入和業績評估體系，建立詳細的透明供應鏈登記名錄。相關部門可以根據登記內容，設置相應門檻，以便選拔合格的供應商和產品進入登記名錄。

第四，在關鍵機構范圍內規范采購行為。加大招標過程中技術能力的評價比重，讓更有效的產品和服務被采購。

第五，在關鍵機構范圍內，加重對于服務的采購比例。追求安全的效果，不能僅僅依靠產品，還要讓好的產品被很好的使用。而安全服務是有效使用的有力保證，是安全效果的支撐。

落實透明供應鏈登記工作，并推行首席信息安全官制度的建議很有意義，是可行的。

在關鍵基礎設施、敏感部門、政府機構中落實透明供應鏈登記工作，這對屬于政府采購或公共采購范疇的單位，可以歸結為落實國家的有關法規，因為如果能真正做到依法采購，也就基本上達到了供應鏈透明的要求。

這在發達國家，隨著網絡空間競爭的加劇，首席信息安全官即CSO，在一些重要單位中已經較為普遍地設立了。它在CEO之下，專職負責安全事務，其地位與CTO、CFO、CIO等等高管相似，而在有關安全的決策中，例如決定采購何種產品和服務，CSO往往具有某種決策權。因為安全在很多情況下可以成為首要條件，根據安全需求，"一票否決"或"一票通過"都是很正常的。中國企業等單位還基本上沒有設立CSO，我們認為，有條件的單位不妨學習發達國家的經驗，設立CSO，以便使網絡安全、信息安全得到更好的保障。

D1Net評論：

實際上，信息安全從斯諾登事件之后已經越來越多的被各國關注。在國家戰略層面，信息安全的根本在于立法的保證。信息安全也應該更多的被公眾考慮，我們也期待看到更多的與信息安全相關的政策出臺。