每年的两会,代表们的提案都很抓眼球,刚刚过去的两会上,安全也是一大热门领域。代表们都尽心尽力尽责的提出了自己的观点和建议,但能否有效实施才是重点。今年的两会,启明星辰信息技术集团股份有限公司董事长、全国政协委员严望佳提出了涵盖企业首席信息安全官(CISO)、移动支付安全和智慧城市安全的议案。用启明星辰首席战略官(CSO ) 潘柱廷的话来说:“对于问题的解决方案是否可行,是我们的提案决定提出的重要标准之一。”
启明星辰首席战略官(CSO ) 潘柱廷
专业团队总结一线经验,提案设立首席信息安全官CISO
不知道大家有没有搜索过网上的“搞笑提案”集锦,很多提案一看就没有实施的可能,为了避免这种“一拍脑门就决定”的提案,启明星辰成立了专门的提案调研小组。调研小组的成员都来自启明星辰内部,他们从各自所研究的领域提出相应的议案,再由“智囊团”的成员协作总结议案所提出的目标和可行的方案,彻底杜绝了“拍脑门”提案的产生。
左一“智囊团”成员之一
以今年严望佳 “关于以首席信息安全官为关键责任人”的提案为例,“智囊团”成员经过多方面的考量,由两会代表严望佳建议中央网络安全和信息化领导小组办公室研究办理“以首席信息安全官CISO为关键负责人,构建关键信息基础设施保护责任体系”的工作,具体建议为:
- 划分详细的关键基础设施、敏感部门、政府机构范围。建议在到国防安全、国计民生的关键领域划分详细的机构范围。
- 设立首席信息安全官CISO。在关键基础设施、敏感部门、政府机构设立首席信息安全官职位,明确其作为关键信息基础设施保护体系关键负责人,充分赋予首席信息安全官相应的职权,向所在机构第一负责人直接负责。
- 建立首席信息安全官任职资格、考核制度。首席信息安全官对人员的技术、管理、法规遵从等方面要求非常高,国家相应部门需要针对首席信息安全官实行选拔、培训、资格认定等一系列的人才保证措施,明确建立针对首席信息安全官考核制度。
- CISO牵头规划、设计、推行信息系统历案制度。构建标准化、结构化的信息系统历案利于网络安全产业形成良好健康的生态环境。同时可以全面记录关键信息基础设施要素,衡量关键信息基础设施建设的质量和健康度,并作为制定战略规划和建设计划的重要依据;有助于快速应急响应和恢复,和不同系统、部门、单位间的协同和处置,利于领导层决策。
- 明确“守法”运营作为包括CISO在内的运营者的法律责任。遵照《网络安全法》构建关键信息基础设施保护责任体系。
值得一提的是,启明星辰的提案具有连续性。以CISO相关提案举例,2015年严望佳就有关于在关键基础设施、敏感部门、政府机构中落实透明供应链登记工作,和推行首席信息安全官的制度的提案;2016年,进一步提出推行关键信息系统历案制度的提案;今年,关于首席信息安全官的提案更为具体,提出设立CISO为关键负责人,并构建关键信息基础设施保护责任体系。潘柱廷表示:“包括今年提出的和尚未提出的所以议案在内,我们都将持续关注,追踪进展。”
结合实践,顺应业界发展提出“智慧城市安全先行”方案
我国政府先后出台了一系列政策文件对智慧城市建设进行鼓励和指导,可见对智慧城市的高度重视。随着智慧城市发展迅速,安全问题也不断凸显,两会代表严望佳在技术相关提案中就以“智慧城市信息安全建设”为主题提出了建议,期望能让智慧城市更加健康有序的建设安全稳定的运营和发展,使城市生活生产方式综合竞争力得到真正的提升和变革。具体建议如下:
- 转变智慧城市安全建设思想,由同步建设转为安全先行。积极转变智慧城市安全建设思想,由查漏补缺到同步建设发展,再到安全先行,对即将建设的智慧城市务必遵循“安全先行、秩序可控”的原则和目标。
- 明确智慧城市网络安全监管主体和责任。建议国家对网络安全监管的立法理论进行积极研究,加快制定专门的网络安全监督法律法规,明确包括智慧城市在内的大型系统集成工程第三方网络安全监管机制。
- 正确处理智慧城市与信息安全发展关系。应优先实施涉及经济增长热点及国计民生领域的智慧工程建设,同时明确智慧城市业务领域建设与信息安全保障之间密切相关,又相互独立的设计原则。
- 确保智慧城市数据安全保护。建议加快智慧城市敏感数据和隐私保护技术相关课题研究工作,充分保护和利用智慧城市大数据这一重要的基础性战略资源。
- 制定物联网安全技术方向。建议在物联网安全技术研发上应重点从感知追踪、安全接入、安全通信三个方面入手和突破,赋予物联网设备智慧安全保护能力。
- 鼓励智慧城市关键技术引进和创新。建议国家除了通过引入社会各方力量,鼓励和引导国内科研机构、民营企业积极引进智慧城市关键技术,促进国内外优势资源的整合与利用,提升国家在关键技术上的创新能力。
启明星辰将两会热点和业界动向相结合,提出了以上关于智慧城市的建议,用“接地气”的解决方式来推动智慧城市大潮的前进。实际上,从2015年开始,启明星辰就提出在电子政务云建设过程中做好安全保障工作,到今年,启明星辰在智慧城市的相关提案中指明要“安全先行”,本着“谁建设谁收益”的原则,尝试提出责任主体,落实到主要负责人,这也可以看出启明星辰提案的延续性。
多方调研以具体化最终提案,关心民生提案治理移动支付安全
启明星辰常与安天等业界伙伴交流,本次提案也综合了业界其他安全同行的观点。个人信息的安全防护是更贴近老百姓的安全问题,但是总提保护个人信息安全不见得有效,甚至强力的硬性保护会制约网络经济的发展。个人信息已经足够透明,现在说保护个人信息安全几乎是不可诉求的。
潘柱廷点明:“未来的移动支付侵害会更多。”在这一点上,针对电子商务的民生相关提案中,详细阐述了这部分内容,即要加强移动支付信息安全的协同监管。潘柱廷表态:“现在提倡的保护个人信息安全应该在侵害端实施”。意思是:个人信息的采集渠道太多太复杂,个人信息是否泄漏,应该以是否被人恶意利用个人信息,成功侵害人身和财产安全为界定方法。具体的提案内容如下:
- 从移动支付的环境入手,降低移动支付风险。在移动支付发起过程中对环境进行检测,同时利用风险防控的技术手段,降低移动支付的安全风险。
- 通过技术手段防止移动支付信息网络扩散。加强国产密码在移动支付链中各个环节的应用,将消费者敏感的信息在整个交易支付链中加密存储,移动支付信息通过相关脱敏技术手段后使用。
- 研发移动支付管理与行业监管关键技术。包括支付过程追溯支付系统审计与取证等关键技术配套,相应的标准政策和法律法规。
- 要求并规范移动支付相关企业加大自身系统的信息安全体系建设,同时,国家层面也需加强定期安全检查力度,以及建立健全移动支付信息安全态势感知等协同监管机制。
- 加强移动支付安全意识的教育。培养大众安全使用移动支付业务的习惯。
- 建立移动支付舆情监管体系。建立权威移动支付安全发布渠道,普及移动支付的安全和技术知识,更好地促进移动支付的行业发展。
启明星辰自成立以来一直活跃在网安防护的一线,愿意同友商交流在安全行业的多年经验,并积极背负企业的社会责任,利用两会这个绝佳的渠道,从产业的角度提出切实可行的方案。启明星辰企业内部各个部门的、身为提案工作组中成员的“能人异士”们不断反思工作中的困惑,结合所在各领域的安全实践经验,提出相应的议案,最终敲定目前安全领域最为主流的问题去解决,以期扭转目前“威胁拉动安全需求”的局面,协助监管体制完善网络安全法律法规。以上议案的提出,无论政府的采纳和后续实施如何,都将给业界一定的指导。启明星辰自身也将继续深入研究安全的各个发展领域,维护社会、企业网络安全。
原文发布时间为: 2017年3月19日
本文作者:杨昀煦