資訊安全要有立法的保證
- 發佈時間:2015-04-16 01:31:13 來源:科技日報 責任編輯:羅伯特
■宏觀視野
在關鍵基礎設施、敏感部門、政府機構中的網路安全工作,應當成為國家整體網路空間安全建設、網路資訊安全産業發展的龍頭。我的具體建議如下:
第一,劃定關鍵基礎設施、敏感部門、政府機構等關鍵機構範圍。建議在關係到國防安全、國計民生的關鍵領域劃分詳細的機構範圍:政府、電信、金融、能源、教育、大型企業、軍隊軍工、交通、媒體、醫療衛生等。
第二,在關鍵機構範圍內,建立並推行首席資訊安全官制度。
第三,在關鍵機構範圍內,建立詳細的透明供應鏈登記名錄。依託政府採購,進一步完善供應商、産品市場準入和業績評估體系,建立詳細的透明供應鏈登記名錄。相關部門可以根據登記內容,設置相應門檻,以便選拔合格的供應商和産品進入登記名錄。
第四,在關鍵機構範圍內規範採購行為。加大招標過程中技術能力的評價比重,讓更有效的産品和服務被採購。
第五,在關鍵機構範圍內,加重對於服務的採購比例。追求安全的效果,不能僅僅依靠産品,還要讓好的産品被很好的使用。而安全服務是有效使用的有力保證,是安全效果的支撐。
在中國工程院院士倪光南看來,落實透明供應鏈登記工作,並推行首席資訊安全官制度的建議很有意義,是可行的。
“在關鍵基礎設施、敏感部門、政府機構中落實透明供應鏈登記工作,這對屬於政府採購或公共採購範疇的單位,可以歸結為落實國家的有關法規,因為如果能真正做到依法採購,也就基本上達到了供應鏈透明的要求。”倪光南如是説。
至於“在關鍵基礎設施、敏感部門、政府機構等推行首席資訊安全官制度”,倪光南則談到,“這在發達國家,隨著網路空間競爭的加劇,首席資訊安全官即CSO,在一些重要單位中已經較為普遍地設立了。它在CEO之下,專職負責安全事務,其地位與CTO、CFO、CIO等等高管相似,而在有關安全的決策中,例如決定採購何種産品和服務,CSO往往具有某種決策權。因為安全在很多情況下可以成為首要條件,根據安全需求,‘一票否決’或‘一票通過’都是很正常的。中國企業等單位還基本上沒有設立CSO,我們認為,有條件的單位不妨學習發達國家的經驗,設立CSO,以便使網路安全、資訊安全得到更好的保障。”
實際上,資訊安全從斯諾登事件之後已經越來越多的被各國關注。在國家戰略層面,資訊安全的根本在於立法的保證。資訊安全也應該更多的被公眾考慮,我們也期待看到更多的與資訊安全相關的政策出臺。
(作者為第十二屆全國政協委員、北京啟明星辰首席執行官)
- 股票名稱 最新價 漲跌幅