■宏观视野
在关键基础设施、敏感部门、政府机构中的网络安全工作,应当成为国家整体网络空间安全建设、网络信息安全产业发展的龙头。我的具体建议如下:
第一,划定关键基础设施、敏感部门、政府机构等关键机构范围。建议在关系到国防安全、国计民生的关键领域划分详细的机构范围:政府、电信、金融、能源、教育、大型企业、军队军工、交通、媒体、医疗卫生等。
第二,在关键机构范围内,建立并推行首席信息安全官制度。
第三,在关键机构范围内,建立详细的透明供应链登记名录。依托政府采购,进一步完善供应商、产品市场准入和业绩评估体系,建立详细的透明供应链登记名录。相关部门可以根据登记内容,设置相应门槛,以便选拔合格的供应商和产品进入登记名录。
第四,在关键机构范围内规范采购行为。加大招标过程中技术能力的评价比重,让更有效的产品和服务被采购。
第五,在关键机构范围内,加重对于服务的采购比例。追求安全的效果,不能仅仅依靠产品,还要让好的产品被很好的使用。而安全服务是有效使用的有力保证,是安全效果的支撑。
在中国工程院院士倪光南看来,落实透明供应链登记工作,并推行首席信息安全官制度的建议很有意义,是可行的。
“在关键基础设施、敏感部门、政府机构中落实透明供应链登记工作,这对属于政府采购或公共采购范畴的单位,可以归结为落实国家的有关法规,因为如果能真正做到依法采购,也就基本上达到了供应链透明的要求。”倪光南如是说。
至于“在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度”,倪光南则谈到,“这在发达国家,随着网络空间竞争的加剧,首席信息安全官即CSO,在一些重要单位中已经较为普遍地设立了。它在CEO之下,专职负责安全事务,其地位与CTO、CFO、CIO等等高管相似,而在有关安全的决策中,例如决定采购何种产品和服务,CSO往往具有某种决策权。因为安全在很多情况下可以成为首要条件,根据安全需求,‘一票否决’或‘一票通过’都是很正常的。中国企业等单位还基本上没有设立CSO,我们认为,有条件的单位不妨学习发达国家的经验,设立CSO,以便使网络安全、信息安全得到更好的保障。”
实际上,信息安全从斯诺登事件之后已经越来越多的被各国关注。在国家战略层面,信息安全的根本在于立法的保证。信息安全也应该更多的被公众考虑,我们也期待看到更多的与信息安全相关的政策出台。
(作者为第十二届全国政协委员、北京启明星辰首席执行官)