严望佳对“首席信息安全官”“有话要说”
发布时间:2017-03-15   作者:启明星辰

 

 

 

在今年的“两会”期间,全国政协委员、启明星辰CEO严望佳作为我国网络空间安全领域代表,向大会递交了《关于以首席信息安全官为关键责任人构建关键信息基础设施保护责任体系的提案》。这是严望佳代表,在继2015年“两会”期间,递交《关于在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度的提案》两年之后,再一次就“首席信息安全官(CISO)”“职责”递交的提案。严望佳对首席信息安全官“有话要说”。

 

全国政协委员、启明星辰CEO严望佳

 


两年前,我国的信息安全保障体系建设大多是在等保、分保制度基础上,满足合规性即可。究其根本原因还在于我国对信息安全的重视没有提高到“以效果为导向”的程度,而又伴随着信息安全是“七分管理三分技术”“信息安全没有绝对”这种特点,以及政府采购目录以硬件产品为主、《采购法》以最低价为准绳的制度,交织反复,最终形成我国信息安全保障体系建设以合规为目标,以最低价产品为市场,整体行业低水平竞争,国家重要信息系统安全保障能力不足,国家网络空间对抗能力不足等系列恶性循环的现状。


当时,索尼影音公司遭遇的入侵和破坏事件、Heartbleed(心脏出血)漏洞、12306撞库攻击事件等公众性网络安全事件,无不时刻警示着公众和政府,网络安全的严峻形势,国家需要打破长期以合规为导向的信息安全保障体系,出台有针对性的法律法规,来保护公众、政府等的网络安全。


    鉴于信息安全保障体系建设,合规是基础,效果是保障,严望佳建议:国家能尽快出台、制定法律法规,建立信息安全责任落实制度,要求用户需要对安全采购的结果负责,在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度。


    严望佳认为,首席信息安全官制度可以把现行的合规体系变成一个责任体系,可以利用安全真正需求引导一个注重技术、产品与服务的市场环境,促使商业竞争以用户价值为导向,促进安全厂商从销售导向、集成商导向转变至以技术创新为导向。该制度对产业的生态环境、政府的管理方式、信息安全的整体架构都会产生深远影响,使我国信息安全产业形成良好、健康的生态环境。

 

    严望佳认为,在关键基础设施、敏感部门、政府机构设立首席信息安全官职位,可以充分赋予首席信息安全官相应的职权:首席信息安全官直接汇报给最高决策者,全权负责信息安全保障体系建设,咨询、审批或验证现有的IT投资计划等;而在建立首席信息安全官任职资格、考核制度的同时,国家相应部门需要针对首席信息安全官进行选拔、培训、资格认定等一系列的人才保证措施。

 

    随着近两年我国网络安全和信息化程度的迅猛发展以及我国网络空间战略的高度提升,尤其是《网络安全法》的颁布实施,使得网络安全管理行为“有法可依”,运营者的网络安全管理行为从合规运营上升到“守法”运营。同时,《网络安全法》规定了运营者负责关键信息基础设施的运营,防范境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序;明确了运营者是关键信息基础设施保护的责任主体,为保障关键信息基础设施的安全和便于责任认定,可以从总体国家安全战略高度顶层设计到网络安全法法律层面再到微观的具体落地找到一些具体的措施和抓手。


    对此,严望佳在今年“两会”期间,建议国家建立关键信息基础设施网络安全责任落实制度,要求运营者需要对安全保障体系建设的结果负责,她向大会递交了《关于以首席信息安全官为关键责任人构建关键信息基础设施保护责任体系的提案》。


    严望佳认为,责任体系可以把现行的合规体系也变成一个法律遵从体系,对网络安全产业的生态环境、政府的管理方式、信息安全的整体架构都会产生深远影响,使我国网络安全产业形成良好、健康的生态环境。


 

 严望佳的建议具体可以分为五点:

 

一、划分详细的关键信息基础设施范围,强化关键信息基础设施防护。建议在关系到严重危害国家安全、国计民生、公共利益的关键信息基础设施领域划分详细的范围:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域等。


二、设立首席信息安全官,明确其做为关键信息基础设施保护体系关键责任人,向所在机构第一负责人直接负责。在关键信息基础设施设立首席信息安全官职位,以明确保护责任的落实主体。充分赋予首席信息安全官相应的职权,不限于以下内容:首席信息安全官直接汇报给最高决策者;全权负责网络安全的组织配置和预算配置;咨询、审批或验证现有的IT投资计划;加强与网络空间监管部门的跨部门组织与协调,以适应网络空间的多元与跨界特点;同时负责《网络安全法》在本机构的落地和落实。


三、建立首席信息安全官任职资格、考核制度。首席信息安全官对人员的技术、管理、法规遵从等方面要求非常高,导致任职人员可能不能完全胜任该岗位。国家相应部门需要针对首席信息安全官进行选拔、培训、资格认定等一系列的人才保证措施。明确建立针对首席信息安全官考核制度,考核制度作为对用户单位整体安全建设的重要评价指标。考核制度可以进一步提高用户单位对于首席信息安全官的重视程度、安全建设力度,提高整体安全水平。


四、首席信息安全官CISO牵头规划、设计、推行信息系统历案制度,将该制度作为落实关键信息基础设施保护责任体系的重要抓手。信息系统历案就是重要信息系统生命周期过程中批准立项、设计、建设、交割、运行维护、应急、消亡等等各个环节产生和被记录的、完整的、详细的、“活着”的信息;是信息系统“生存”过程的“元数据”(Meta-data)。


从宏观上讲,构建标准化、结构化的信息系统历案是关键信息基础设施健康档案的前提和基础,可以对网络安全产业的生态环境、政府的管理方式、IT环境治理都产生深远影响,利于我国网络安全产业形成良好、健康的生态环境。


从微观上讲,信息系统历案制度可以全面记录关键信息基础设施要素,实现全要素、全数据、全记录、全流程管理,这些由长期的、大量的建设数据和生产数据构成的原始材料和原始数据可以发挥最基础的作用,比如可以作为衡量关键信息基础设施建设质量、效果和健康度的评价指标;可以作为监督检查和责任认定工作的可靠抓手;可以作为制定战略规划和建设计划的重要依据。


历案机制作为可用于构建关键信息基础设施全生命周期闭环管理与监控体系的方法手段,然后根据角色和业务环节的不同有效使用系统的这些历案信息,有助于快速应急响应和恢复;有助于不同系统、不同部门、不同单位间的协同和处置;有助于领导层决策。


五、明确“守法”运营作为包括首席信息安全官在内的运营者的法律责任,遵照《网络安全法》构建关键信息基础设施保护责任体系。在落实《网络安全法》的基础上构建的责任体系包括但不限于如下主要内容:

(1)推行关键信息基础设施安全等级保护制度;

(2)推行关键信息基础设施供应链透明登记制度,确保所采购的网络产品和服务符合国家标准强制性要求或认证要求;

(3)推行定期的安全评估、预案和应急演练制度;

(4)不同运营者之间跨部门数据共享、安全通报和应急处置合作,建立健全网络安全保护规范和协作机制;

(5)推行数据生命周期安全管理制度,特别需要明确数据境内存储和境外传输、存储的管控要求。

                                          

                                                                                                                                                                                                                            文章来源 | 网络空间安全   

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备11010802024551号