我国信息安全标准需与欧美看齐
扫描二维码
随时随地手机看文章
俗话说:无规矩不成方圆。欧美国家之所以保持如此高的信息安全标准,并以此抬高中国企业进入市场的门槛,与其全面严格的法律法规密切相关。
政府牵头 法规成就高标准
美国是世界上最早建立和使用计算机网络的国家,也是信息产业发展最为迅速的国家,信息安全一直居于美国国家安全战略的高度。早在十年前美国便公布了《网络安全国家战略》以及《确保信息安全的国家战略》,确定了3个战略目标和5项优先行动,并通过为信息安全立法,来完善保障信息安全法规体系。另外,近年来美国相继制定了《信息自由法》、《总统档案法》、《联邦信息资源管理法》、《国家信息基础设施保护法案》、《反电子盗窃法》、《计算机犯罪强制法》等一系列法律法规,以确保国家安全。
美国陆续发布的一系列战略和规划,大大加强了政府对网络公司和通信设备公司的管制。值得一提的是,美国共和党控制的众议院于2012年4月通过了《网络情报共享与保护法》,以防止网络攻击,保护网络安全。
除美国外,欧盟今年也加大了信息安全工作力度,将其列入“欧洲数字化议程”,作为发展数字经济的重要保障。
据相关专家介绍:“在制订实施信息安全宏观政策方面,欧盟正在制定‘欧洲互联网安全战略’,计划改进欧洲网络与信息安全署的职能,并将其作为欧盟信息安全管理的核心机构;在网络数据和隐私保护领域,欧盟在2012年年初修订了《数据保护指令》,特别强调云计算和社交媒体等对消费者和销售者信息的保护义务;在信息基础设施安全保障方面,欧盟委员会2010年提出了《关于应对信息系统受攻击的指令》的提案,这一提案正在讨论修改之中,预计今后两年内将获通过并实施。”
具体到国家,在英国,政府建立了拥有独立管理权的信息安全评估中心(CSEC)。CSEC独立管理对中国企业在英国部署的电信基础网络设备和软件的安全评估,并将评估的结果提供给英国的运营商和政府。这样做的目的是试图减少中国企业在英国关键的电信基础网络中部署产品的威胁。
政府、企业配合默契 提升信息安全标准
与美国和欧盟相比,虽然我国早就意识到了信息安全的重要性和迫切性,但一直没有一整套行之有效的体系去保障信息安全。
“虽然每年在信息安全领域国家都投入大量的经费来支持信息安全技术研究和产业化推广工作,也制定了一些与信息安全相关的政策法规,但不能从根本上解决问题。强制性地把这个领域的市场交给中国的企业去发展是最行之有效的办法,可实现政府与企业的合力。”某业内人士告诉记者。
例如,近期美国政府对中兴与华为的调查,并不是由政府直接出面,而是众议院下属的情报委员会主导,而申请调查的则是思科等美国企业。这份报告本身没有任何的法律约束力,但如果报告通过议会,则可能迅速演变为立法,从而形成一个坚固的壁垒,无形中提升了信息安全标准。
“在此过程中,美国从企业申请调查、立法到政府介入的各个环节,都已经形成了一个通畅的体系,企业与政府达成了‘默契’。”某业内资深人士告诉记者。
“不仅在美国,在注重信息安全的欧盟,每次信息安全领域的调查也多是相关企业首先申请发起,政府相关部门会依照相关法规迅速跟进,如果针对某项调查缺乏相关法律依据,也会由此督促政府在法律上拾遗补缺,长此以往,其信息安全的标准也自然水涨船高。”该资深人士补充道。
综合治理 企业把好头道关
针对目前中国信息安全标准偏低的现实,中国IT治理研究中心相关人士建议:“应立足中国国情,建立健全具有中国特色的信息安全保障体系。包括信息安全法律保障机制、信息安全政治保障机制、信息安全管理机制、信息安全人才的培养和使用机制;参与进而主导制定国际信息网络规则,通过外交活动为确保信息安全营造良好的国际环境,建立‘国际信息新秩序’;着力加强自主知识产权技术和产品的研制,从最核心的层面——标准为切入点,制定中国主导的标准;建立公平有序的招标采购市场环境;加大对在华国外网络企业的安全审查、合规审计和监管力度。”
“只有从法规、监管、人才、宣传等方面综合治理,中国的信息安全标准才能得到根本性的提升,其中任何一个因素的偏废,都可能继续拉大我们与国外的差距。” 中国工程院院士、中科院计算所研究员倪光南对记者表示。
说到企业层面,互联网专家方兴东告诉记者:“相关企业可以采用源代码托管和首席安全官制度。首先可以采用的办法是源代码托管,很多国家都在采用这种办法对信息安全进行监管。但在中国更方便借鉴的是首席安全官制度,在欧美很多国家的大企业都有这样一个职位,首席安全官既是公司的员工,也受国家安全部门直接管理,在涉及到安全领域的大量采购时他拥有一票否决权。国内的一些央企或者大型企业也有必要设立这样一个职位。”
据记者了解,早在10年前,IBM就宣布任命全球首任"首席安全官"。目前,越来越多的企业开始设置相关的职位。目前,设有"首席安全官"的国际企业除了IBM外,还有微软、柯达、花旗、Facebook、宝洁等,相比之下,"首席安全官"对于中国企业而言,还是一个新鲜事物,尚需迎头赶上。
“我国目前在信息安全标准及相关法规方面与欧美存在差距,中国企业理应首先从企业内部建立良好的信息安全监测和评估机制,做到防患于未然,这对于能否充分发挥和改进我国相关法规,提升所在行业信息安全标准也至关重要。”业内人士呼吁。
下载文档
