3月9日早間消息（岳明）恰逢兩會，“網(wǎng)絡(luò)安全”也成為各位委員和代表的熱議詞匯。啟明星辰集團創(chuàng)始人兼CEO嚴望佳女士作為本屆政協(xié)代表提出三個與“網(wǎng)絡(luò)安全”、“信息安全”以及“電子政務(wù)云安全”相關(guān)的提案，獲得媒體與民眾的廣泛關(guān)注。

 

      嚴望佳的第一個提案就是：關(guān)于在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機構(gòu)等推行首席信息安全官制度。

 

      嚴望佳認為，我國的信息安全保障體系建設(shè)大多是在等保、分保制度基礎(chǔ)上，滿足合規(guī)性即可。究其根本原因還在于我國對信息安全的重視沒有提高到“以效果為導(dǎo)向”的程度，而又伴隨著信息安全是“七分管理三分技術(shù)” “信息安全沒有絕對”這種特點，以及政府采購目錄以硬件產(chǎn)品為主、《采購法》以最低價為準繩的制度，交織反復(fù)，最終形成我國信息安全保障體系建設(shè)目前以合規(guī)為目標，以最低價產(chǎn)品為市場，整體行業(yè)低水平競爭，國家重要信息系統(tǒng)安全保障能力不足，國家網(wǎng)絡(luò)空間對抗能力不足等系列惡性循環(huán)的現(xiàn)狀。

 

      索尼影音公司遭遇的入侵和破壞事件、Heartbleed（心臟出血）漏洞、12306撞庫攻擊事件等公眾性網(wǎng)絡(luò)安全事件，無不時刻警示著公眾和政府，網(wǎng)絡(luò)安全的嚴峻形勢，國家需要打破長期以合規(guī)為導(dǎo)向的信息安全保障體系，出臺有針對性的法律法規(guī)，來保護公眾、政府等的網(wǎng)絡(luò)安全。

 

      嚴望佳建議，信息安全保障體系建設(shè)，合規(guī)是基礎(chǔ)，效果是保障。建議國家能盡快出臺、制定法律法規(guī)，建立信息安全責(zé)任落實制度，要求用戶需要對安全采購的結(jié)果負責(zé)，特提出以下建議：在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機構(gòu)等推行首席信息安全官制度。

 

      該制度可以把現(xiàn)行的合規(guī)體系變成一個責(zé)任體系，可以利用安全真正需求引導(dǎo)一個注重技術(shù)、產(chǎn)品與服務(wù)的市場環(huán)境，促使商業(yè)競爭以用戶價值為導(dǎo)向，促進安全廠商從銷售導(dǎo)向、集成商導(dǎo)向轉(zhuǎn)變至以技術(shù)創(chuàng)新為導(dǎo)向。該制度對產(chǎn)業(yè)的生態(tài)環(huán)境、政府的管理方式、信息安全的整體架構(gòu)都會產(chǎn)生深遠影響，使我國信息安全產(chǎn)業(yè)形成良好、健康的生態(tài)環(huán)境。

 

      具體建議如下：

 

      (1)劃分詳細的關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機構(gòu)范圍

 

      建議在以下關(guān)系到國防安全、國計民生的關(guān)鍵領(lǐng)域劃分詳細的機構(gòu)范圍：政府、電信、金融、能源、教育、大型企業(yè)、軍隊軍工、交通、媒體、醫(yī)療衛(wèi)生等。

 

      (2)在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機構(gòu)設(shè)立首席信息安全官

 

      在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機構(gòu)設(shè)立首席信息安全官職位，充分賦予首席信息安全官相應(yīng)的職權(quán)，不限于以下內(nèi)容：首席信息安全官直接匯報給最高決策者；全權(quán)負責(zé)信息安全保障體系建設(shè)；咨詢、審批或驗證現(xiàn)有的IT投資計劃。

 

      (3)建立首席信息安全官任職資格、考核制度

 

      首席信息安全官對人員的技術(shù)、管理、法規(guī)遵從等方面要求非常高，導(dǎo)致任職人員可能不能完全勝任該崗位。國家相應(yīng)部門需要針對首席信息安全官進行選拔、培訓(xùn)、資格認定等一系列的人才保證措施。

 

      國家相應(yīng)部門，應(yīng)該在等保、分保等制度的基礎(chǔ)上，明確建立針對首席信息安全官考核制度，考核制度作為對用戶單位整體安全建設(shè)的重要評價指標?？己酥贫瓤梢赃M一步加強用戶單位對于首席信息安全官的重視程度、安全建設(shè)力度、整體安全水平。