两会提案抢先看 -- 对于信息安全,严望佳委员有话说
发布时间:2017-03-06   作者:启明星辰

 

 

2017年两会已经召开,作为信息安全领域唯一的政协委员,启明星辰集团董事长严望佳每年的提案都在业内引起不小的反响。那么,今年又带来了怎样精彩的提案呢?现在,就由小编带领大家看看严望佳委员今年的第一份提案吧。

 

两会提案(一)
构建关键信息基础设施保护责任体系

 

案    由  :关于以首席信息安全官为关键责任人,推行关键信息基础设施保护责任体系的提案
审查意见:建议中央网络安全和信息化领导小组办公室研究办理
提 案 人 :严望佳
主 题 词 :信息安全、关键基础设施
提案形式:个人提案

 

 

   内   容  

《网络安全法》的颁布实施成为网络安全产业里程碑,使得网络安全管理行为“有法可依”,运营者的网络安全管理行为从合规运营上升到“守法”运营。《网络安全法》同时也规定了运营者负责关键信息基础设施的运营,防范境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。

 


2  具体建议

 

网络安全责任体系建设任重道远,需要秉持总体国家安全观,探索适合我国国情的网络安全治理理念,完善责任体系,合规是基础,效果是保障,守法是必须。《网络安全法》明确了运营者是关键信息基础设施保护的责任主体,为保障关键信息基础设施的安全和便于责任认定,可以从总体国家安全战略高度顶层设计到网络安全法法律层面再到微观的具体落地找到一些具体的措施和抓手。建议国家建立关键信息基础设施网络安全责任落实制度,要求运营者需要对安全保障体系建设的结果负责,特提出以下建议:

 

以首席信息安全官CISO为关键责任人,构建关键信息基础设施保护责任体系。

 

该责任体系可以把现行的合规体系也变成一个法律遵从体系,对网络安全产业的生态环境、政府的管理方式、信息安全的整体架构都会产生深远影响,使我国网络安全产业形成良好、健康的生态环境。

 

【具体建议如下】

 

划分详细的关键信息基础设施范围,强化关键信息基础设施防护。

 

建议在以下关系到严重危害国家安全、国计民生、公共利益的关键信息基础设施领域划分详细的范围:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域等。

 

设立首席信息安全官CISO,明确其做为关键信息基础设施保护体系关键责任人,向所在机构第一负责人直接负责。

 

在关键信息基础设施设立首席信息安全官职位,以明确保护责任的落实主体。充分赋予首席信息安全官相应的职权,不限于以下内容:首席信息安全官直接汇报给最高决策者;全权负责网络安全的组织配置和预算配置;咨询、审批或验证现有的IT投资计划;加强与网络空间监管部门的跨部门组织与协调,以适应网络空间的多元与跨界特点;同时负责《网络安全法》在本机构的落地和落实。

 


建立首席信息安全官CISO任职资格、考核制度。

 

首席信息安全官对人员的技术、管理、法规遵从等方面要求非常高,导致任职人员可能不能完全胜任该岗位。国家相应部门需要针对首席信息安全官进行选拔、培训、资格认定等一系列的人才保证措施。

 

明确建立针对首席信息安全官考核制度,考核制度作为对用户单位整体安全建设的重要评价指标。考核制度可以进一步提高用户单位对于首席信息安全官的重视程度、安全建设力度,提高整体安全水平。

 

首席信息安全官CISO牵头规划、设计、推行信息系统历案制度,将该制度作为落实关键信息基础设施保护责任体系的重要抓手。

 

“历案”是历史档案信息的简称。信息系统历案就是重要信息系统生命周期过程中批准立项、设计、建设、交割、运行维护、应急、消亡等等各个环节产生和被记录的、完整的、详细的、“活着”的信息;是信息系统“生存”过程的“元数据”(Meta-data)。

 

从宏观上讲,构建标准化、结构化的信息系统历案是关键信息基础设施健康档案的前提和基础,可以对网络安全产业的生态环境、政府的管理方式、IT环境治理都产生深远影响,利于我国网络安全产业形成良好、健康的生态环境。

 

从微观上讲,信息系统历案制度可以全面记录关键信息基础设施要素,实现全要素、全数据、全记录、全流程管理,这些由长期的、大量的建设数据和生产数据构成的原始材料和原始数据可以发挥最基础的作用,比如可以作为衡量关键信息基础设施建设质量、效果和健康度的评价指标;可以作为监督检查和责任认定工作的可靠抓手;可以作为制定战略规划和建设计划的重要依据。

 

历案机制作为可用于构建关键信息基础设施全生命周期闭环管理与监控体系的方法手段,然后根据角色和业务环节的不同有效使用系统的这些历案信息,有助于快速应急响应和恢复;有助于不同系统、不同部门、不同单位间的协同和处置;有助于领导层决策。

 

明确“守法”运营作为包括首席信息安全官CISO在内的运营者的法律责任,遵照《网络安全法》构建关键信息基础设施保护责任体系。

 

在落实《网络安全法》的基础上构建的责任体系包括但不限于如下主要内容:

 

1)推行关键信息基础设施安全等级保护制度;

 

2)推行关键信息基础设施供应链透明登记制度,确保所采购的网络产品和服务符合国家标准强制性要求或认证要求;

 

3)推行定期的安全评估、预案和应急演练制度;

 

4)不同运营者之间跨部门数据共享、安全通报和应急处置合作,建立健全网络安全保护规范和协作机制;

 

5)推行数据生命周期安全管理制度,特别需要明确数据境内存储和境外传输、存储的管控要求。

 

 

 


1  问题及原因分析

 

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备11010802024551号