首席信息安全官職位不應缺席
畢竟�����,一直以來IT基礎設施的三大件:計算�����、網(wǎng)絡�、存儲都會構成人們清晰的認識,而安全問題則很難與此成為同時考慮的投資決策����。潘柱廷講到,因為安全問題的反應畢竟是滯后的����。從而造成�����,信息安全產業(yè)占有IT行業(yè)市場空間比實際需要的要小很多����。
反映到企業(yè)層面�����,CIO地位的提升并沒能帶動企業(yè)安全問題解決能力的同步提升��。正如�����,當安全問題發(fā)生后����,找不到相關責任人。
“有關企業(yè)出現(xiàn)安全保護的責任人問題��,一直有很大爭議���。有的說全員負責��,還有說應當一把手負責����。第三個說法安全應該是業(yè)務部門負責����。結果是,最終安全變成沒有人管的地帶了�。對此,安全應該由很明確的第三方���,這個第三方跟業(yè)務是分開的����,又是跟你密切合作的這樣的人���。而這正是我們需要明確為什么我們這次再提首席信息安全官需要在企業(yè)中明確的初衷�����?!迸酥⒈硎尽?/p>
啟明星辰認為��,《網(wǎng)絡安全法》的頒布已經(jīng)從頂層設計層面明確了運營者是關鍵信息基礎設施保護的責任主體����,但為保障關鍵信息基礎設施的安全和便于責任認定,需要找到一些具體的措施和抓手�����,在微觀層面建立總體國家安全戰(zhàn)略高度頂層設計到網(wǎng)絡安全法法律層面的落實���。
為此���,我們在該提案中看到:“在關鍵信息基礎設施設立首席信息安全官職位,以明確保護責任的落實主體���。充分賦予首席信息安全官相應的職權��,不限于以下內容:首席信息安全官直接匯報給最高決策者�����;全權負責網(wǎng)絡安全的組織配置和預算配置����;咨詢、審批或驗證現(xiàn)有的IT投資計劃��;加強與網(wǎng)絡空間監(jiān)管部門的跨部門組織與協(xié)調�����,以適應網(wǎng)絡空間的多元與跨界特點���;同時負責《網(wǎng)絡安全法》在本機構的落地和落實?���!?/p>
“我們已經(jīng)有了首席信息官,首席財務官�,接下來就希望機構應明確這樣的責任人。首席信息安全官應是重要的VP�,希望配備下層組織。這是今年新的提案����,繼續(xù)加強組織,配備相應的或者是合規(guī)的法律依據(jù)���。比如說網(wǎng)絡安全法明確責任作為內部壓力的依據(jù)�����,從而有利于一個完善制度的推動和建立���?���!迸酥⒈硎?��。
攻擊側挑動首席信息安全官盡快上位
安全問題的應對其實要比人們認為的更加復雜化一些�����。通常的人們的認識里��,黑客應是具備高超的技術才能實現(xiàn)對企業(yè)安全防御的攻破�。其實�����,黑客產業(yè)的發(fā)展早已超出廣大人群的普遍共識,他們變得更加有組織性���、策劃性��,甚至是一系列資本運作的體現(xiàn)��,從而達成有效攻擊�����。
潘柱廷認為��,雖說黑客不斷創(chuàng)新攻擊方式,但整個安全問題還是有章可循�。“我們可以將M代表人的意識����,C是系統(tǒng),P則是現(xiàn)實,這是社會上發(fā)生侵害人們資金的三個手段����。從技術和欺詐角度,安全問題是與MCP對等的�����。最開始時,直接偷你的錢�,其次,變成通過欺騙影響你的意識和決策來侵害你的錢�����,這就是詐騙�。有了計算機以后,手段變成利用攻擊技術���,比如黑掉你的銀行賬戶和計算機����、偷盜你的銀行密碼等?����,F(xiàn)在���,網(wǎng)絡攻擊把MCP變成一個矩陣�,對你進行意識�����、系統(tǒng)和現(xiàn)實三個層面的攻擊。將來����,攻擊面和攻擊效果可能出現(xiàn)在意識層、計算機層和現(xiàn)實層����。”
“正是攻擊面和攻擊效果的復雜化��,說讓全員負責��,結果沒人管�;還有一把手負責,他的事情太多�,也管不了���;甚至由業(yè)務部門負責也變成沒人管����。應該由很明確的內部專職負責人和部門負責人監(jiān)督�����。全員、一把手���、業(yè)務部門都有其必須承擔的責任�����,這是這個專職存在的關鍵���。”潘柱廷表示��。
![]()
存儲在線(DOSTOR)主編
