我國信息安全標(biāo)準(zhǔn)需與歐美看齊

俗話說：無規(guī)矩不成方圓。歐美國家之所以保持如此高的信息安全標(biāo)準(zhǔn)，并以此抬高中國企業(yè)進(jìn)入市場的門檻，與其全面嚴(yán)格的法律法規(guī)密切相關(guān)。

政府牽頭 法規(guī)成就高標(biāo)準(zhǔn)

美國是世界上最早建立和使用計算機網(wǎng)絡(luò)的國家，也是信息產(chǎn)業(yè)發(fā)展最為迅速的國家，信息安全一直居于美國國家安全戰(zhàn)略的高度。早在十年前美國便公布了《網(wǎng)絡(luò)安全國家戰(zhàn)略》以及《確保信息安全的國家戰(zhàn)略》，確定了3個戰(zhàn)略目標(biāo)和5項優(yōu)先行動，并通過為信息安全立法，來完善保障信息安全法規(guī)體系。另外，近年來美國相繼制定了《信息自由法》、《總統(tǒng)檔案法》、《聯(lián)邦信息資源管理法》、《國家信息基礎(chǔ)設(shè)施保護(hù)法案》、《反電子盜竊法》、《計算機犯罪強制法》等一系列法律法規(guī)，以確保國家安全。

美國陸續(xù)發(fā)布的一系列戰(zhàn)略和規(guī)劃，大大加強了政府對網(wǎng)絡(luò)公司和通信設(shè)備公司的管制。值得一提的是，美國共和黨控制的眾議院于2012年4月通過了《網(wǎng)絡(luò)情報共享與保護(hù)法》，以防止網(wǎng)絡(luò)攻擊，保護(hù)網(wǎng)絡(luò)安全。

除美國外，歐盟今年也加大了信息安全工作力度，將其列入“歐洲數(shù)字化議程”，作為發(fā)展數(shù)字經(jīng)濟(jì)的重要保障。

據(jù)相關(guān)專家介紹：“在制訂實施信息安全宏觀政策方面，歐盟正在制定‘歐洲互聯(lián)網(wǎng)安全戰(zhàn)略’，計劃改進(jìn)歐洲網(wǎng)絡(luò)與信息安全署的職能，并將其作為歐盟信息安全管理的核心機構(gòu)；在網(wǎng)絡(luò)數(shù)據(jù)和隱私保護(hù)領(lǐng)域，歐盟在2012年年初修訂了《數(shù)據(jù)保護(hù)指令》，特別強調(diào)云計算和社交媒體等對消費者和銷售者信息的保護(hù)義務(wù)；在信息基礎(chǔ)設(shè)施安全保障方面，歐盟委員會2010年提出了《關(guān)于應(yīng)對信息系統(tǒng)受攻擊的指令》的提案，這一提案正在討論修改之中，預(yù)計今后兩年內(nèi)將獲通過并實施。”

具體到國家，在英國，政府建立了擁有獨立管理權(quán)的信息安全評估中心(CSEC)。CSEC獨立管理對中國企業(yè)在英國部署的電信基礎(chǔ)網(wǎng)絡(luò)設(shè)備和軟件的安全評估，并將評估的結(jié)果提供給英國的運營商和政府。這樣做的目的是試圖減少中國企業(yè)在英國關(guān)鍵的電信基礎(chǔ)網(wǎng)絡(luò)中部署產(chǎn)品的威脅。

政府、企業(yè)配合默契 提升信息安全標(biāo)準(zhǔn)

與美國和歐盟相比，雖然我國早就意識到了信息安全的重要性和迫切性，但一直沒有一整套行之有效的體系去保障信息安全。

“雖然每年在信息安全領(lǐng)域國家都投入大量的經(jīng)費來支持信息安全技術(shù)研究和產(chǎn)業(yè)化推廣工作，也制定了一些與信息安全相關(guān)的政策法規(guī)，但不能從根本上解決問題。強制性地把這個領(lǐng)域的市場交給中國的企業(yè)去發(fā)展是最行之有效的辦法，可實現(xiàn)政府與企業(yè)的合力。”某業(yè)內(nèi)人士告訴記者。

例如，近期美國政府對中興與華為的調(diào)查，并不是由政府直接出面，而是眾議院下屬的情報委員會主導(dǎo)，而申請調(diào)查的則是思科等美國企業(yè)。這份報告本身沒有任何的法律約束力，但如果報告通過議會，則可能迅速演變?yōu)榱⒎?，從而形成一個堅固的壁壘，無形中提升了信息安全標(biāo)準(zhǔn)。

“在此過程中，美國從企業(yè)申請調(diào)查、立法到政府介入的各個環(huán)節(jié)，都已經(jīng)形成了一個通暢的體系，企業(yè)與政府達(dá)成了‘默契’。”某業(yè)內(nèi)資深人士告訴記者。

“不僅在美國，在注重信息安全的歐盟，每次信息安全領(lǐng)域的調(diào)查也多是相關(guān)企業(yè)首先申請發(fā)起，政府相關(guān)部門會依照相關(guān)法規(guī)迅速跟進(jìn)，如果針對某項調(diào)查缺乏相關(guān)法律依據(jù)，也會由此督促政府在法律上拾遺補缺，長此以往，其信息安全的標(biāo)準(zhǔn)也自然水漲船高。”該資深人士補充道。

綜合治理 企業(yè)把好頭道關(guān)

針對目前中國信息安全標(biāo)準(zhǔn)偏低的現(xiàn)實，中國IT治理研究中心相關(guān)人士建議：“應(yīng)立足中國國情，建立健全具有中國特色的信息安全保障體系。包括信息安全法律保障機制、信息安全政治保障機制、信息安全管理機制、信息安全人才的培養(yǎng)和使用機制；參與進(jìn)而主導(dǎo)制定國際信息網(wǎng)絡(luò)規(guī)則，通過外交活動為確保信息安全營造良好的國際環(huán)境，建立‘國際信息新秩序’；著力加強自主知識產(chǎn)權(quán)技術(shù)和產(chǎn)品的研制，從最核心的層面——標(biāo)準(zhǔn)為切入點，制定中國主導(dǎo)的標(biāo)準(zhǔn)；建立公平有序的招標(biāo)采購市場環(huán)境；加大對在華國外網(wǎng)絡(luò)企業(yè)的安全審查、合規(guī)審計和監(jiān)管力度。”

“只有從法規(guī)、監(jiān)管、人才、宣傳等方面綜合治理，中國的信息安全標(biāo)準(zhǔn)才能得到根本性的提升，其中任何一個因素的偏廢，都可能繼續(xù)拉大我們與國外的差距。” 中國工程院院士、中科院計算所研究員倪光南對記者表示。

說到企業(yè)層面，互聯(lián)網(wǎng)專家方興東告訴記者：“相關(guān)企業(yè)可以采用源代碼托管和首席安全官制度。首先可以采用的辦法是源代碼托管，很多國家都在采用這種辦法對信息安全進(jìn)行監(jiān)管。但在中國更方便借鑒的是首席安全官制度，在歐美很多國家的大企業(yè)都有這樣一個職位，首席安全官既是公司的員工，也受國家安全部門直接管理，在涉及到安全領(lǐng)域的大量采購時他擁有一票否決權(quán)。國內(nèi)的一些央企或者大型企業(yè)也有必要設(shè)立這樣一個職位。”

據(jù)記者了解，早在10年前，IBM就宣布任命全球首任"首席安全官"。目前，越來越多的企業(yè)開始設(shè)置相關(guān)的職位。目前，設(shè)有"首席安全官"的國際企業(yè)除了IBM外，還有微軟、柯達(dá)、花旗、Facebook、寶潔等，相比之下，"首席安全官"對于中國企業(yè)而言，還是一個新鮮事物，尚需迎頭趕上。

“我國目前在信息安全標(biāo)準(zhǔn)及相關(guān)法規(guī)方面與歐美存在差距，中國企業(yè)理應(yīng)首先從企業(yè)內(nèi)部建立良好的信息安全監(jiān)測和評估機制，做到防患于未然，這對于能否充分發(fā)揮和改進(jìn)我國相關(guān)法規(guī)，提升所在行業(yè)信息安全標(biāo)準(zhǔn)也至關(guān)重要。”業(yè)內(nèi)人士呼吁。