北京启明星辰信息技术股份有限公司首席执行官严望佳作为全国政协委员,今年的三份提案均涉及网络安全,而重中之重正是目前的热点网络安全审查。
实际上我国也在积极推进网络安全审查制度,关系国家安全和公共利益的系统和重要信息技术产品和服务应通过网络安全审查。但严望佳认为,审查内容不能仅停留在技术层面,要进行全方位审查,才能保证国家重要部门和行业的信息技术产品和服务的信息安全自主可控。
在提案中严望佳委员提出:在关键基础设施、敏感部门、政府机构中落实透明供应链登记工作。她的具体建议如下:
第一,划分详细的关键基础设施、敏感部门、政府机构范围。
建议在以下关系到国防安全、国计民生的关键领域划分详细的机构范围:政府、电信、金融、能源、教育、大型企业、军队军工、交通、媒体、医疗卫生等。
第二,建立详细的透明供应链登记名录。
依托政府采购,进一步完善供应商、产品市场准入和业绩评估体系,建立详细的透明供应链登记名录。相关部门可以根据登记内容,设置相应门槛,以便选拔合格的供应商和产品进入登记名录。
第三,在关键基础设施、敏感部门、政府机构中规范采购行为。
在关键基础设施、敏感部门、政府机构采购行为中,必须在登记名录中的供应商、产品范围内进行采购。此外,严望佳还在另一个关于网络安全的提案中建议“在关键基础设施、敏感部门、政府机构中推行首席信息安全官制度。”
就此三个提案,我们采访了中国工程院院士倪光南,他认为落实透明供应链登记工作,并推行首席信息安全官制度的建议很有意义,是可行的。
“在关键基础设施、敏感部门、政府机构中落实透明供应链登记工作,这对属于政府采购或公共采购范畴的单位,可以归结为落实国家的有关法规,因为如果能真正做到依法采购,也就基本上达到了供应链透明的要求。”倪光南如是说。
至于“在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度”倪光南则谈到,“这在发达国家,随着网络空间竞争的加剧,首席信息安全官即CSO,在一些重要单位中已经较为普遍地设立了。它在CEO之下,专职负责安全事务,其地位与CTO、CFO、CIO等等高管相似,而在有关安全的决策中,例如决定采购何种产品和服务,CSO往往具有某种决策权。因为安全在很多情况下可以成为首要条件,根据安全需求,‘一票否决’或‘一票通过’都是很正常的。中国企业等单位还基本上没有设立CSO,我们认为,有条件的单位不妨学习发达国家的经验,设立CSO,以便使网络安全、信息安全得到更好的保障。”
实际上,信息安全从斯诺登事件之后已经越来越多的被各国关注。在国家战略层面,信息安全的根本在于立法的保证,本次两会,除了民生、经济相关的提案被广泛关注,信息安全也应该更多的被代表们考虑,我们也期待看到更多的相关提案。
