首席信息安全官職位不應(yīng)缺席
畢竟,一直以來IT基礎(chǔ)設(shè)施的三大件:計(jì)算�����、網(wǎng)絡(luò)�����、存儲(chǔ)都會(huì)構(gòu)成人們清晰的認(rèn)識����,而安全問題則很難與此成為同時(shí)考慮的投資決策��。潘柱廷講到�,因?yàn)榘踩珕栴}的反應(yīng)畢竟是滯后的�����。從而造成���,信息安全產(chǎn)業(yè)占有IT行業(yè)市場空間比實(shí)際需要的要小很多����。
反映到企業(yè)層面�,CIO地位的提升并沒能帶動(dòng)企業(yè)安全問題解決能力的同步提升。正如�����,當(dāng)安全問題發(fā)生后�,找不到相關(guān)責(zé)任人。
“有關(guān)企業(yè)出現(xiàn)安全保護(hù)的責(zé)任人問題����,一直有很大爭議����。有的說全員負(fù)責(zé)��,還有說應(yīng)當(dāng)一把手負(fù)責(zé)�。第三個(gè)說法安全應(yīng)該是業(yè)務(wù)部門負(fù)責(zé)。結(jié)果是��,最終安全變成沒有人管的地帶了���。對此�����,安全應(yīng)該由很明確的第三方,這個(gè)第三方跟業(yè)務(wù)是分開的���,又是跟你密切合作的這樣的人���。而這正是我們需要明確為什么我們這次再提首席信息安全官需要在企業(yè)中明確的初衷?���!迸酥⒈硎?。
啟明星辰認(rèn)為��,《網(wǎng)絡(luò)安全法》的頒布已經(jīng)從頂層設(shè)計(jì)層面明確了運(yùn)營者是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的責(zé)任主體����,但為保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全和便于責(zé)任認(rèn)定,需要找到一些具體的措施和抓手���,在微觀層面建立總體國家安全戰(zhàn)略高度頂層設(shè)計(jì)到網(wǎng)絡(luò)安全法法律層面的落實(shí)�。
為此��,我們在該提案中看到:“在關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)立首席信息安全官職位�����,以明確保護(hù)責(zé)任的落實(shí)主體��。充分賦予首席信息安全官相應(yīng)的職權(quán)���,不限于以下內(nèi)容:首席信息安全官直接匯報(bào)給最高決策者�;全權(quán)負(fù)責(zé)網(wǎng)絡(luò)安全的組織配置和預(yù)算配置����;咨詢���、審批或驗(yàn)證現(xiàn)有的IT投資計(jì)劃;加強(qiáng)與網(wǎng)絡(luò)空間監(jiān)管部門的跨部門組織與協(xié)調(diào)����,以適應(yīng)網(wǎng)絡(luò)空間的多元與跨界特點(diǎn);同時(shí)負(fù)責(zé)《網(wǎng)絡(luò)安全法》在本機(jī)構(gòu)的落地和落實(shí)��?��!?/p>
“我們已經(jīng)有了首席信息官���,首席財(cái)務(wù)官,接下來就希望機(jī)構(gòu)應(yīng)明確這樣的責(zé)任人���。首席信息安全官應(yīng)是重要的VP��,希望配備下層組織。這是今年新的提案���,繼續(xù)加強(qiáng)組織����,配備相應(yīng)的或者是合規(guī)的法律依據(jù)。比如說網(wǎng)絡(luò)安全法明確責(zé)任作為內(nèi)部壓力的依據(jù)�����,從而有利于一個(gè)完善制度的推動(dòng)和建立�����?����!迸酥⒈硎?��。
攻擊側(cè)挑動(dòng)首席信息安全官盡快上位
安全問題的應(yīng)對其實(shí)要比人們認(rèn)為的更加復(fù)雜化一些�����。通常的人們的認(rèn)識里�����,黑客應(yīng)是具備高超的技術(shù)才能實(shí)現(xiàn)對企業(yè)安全防御的攻破���。其實(shí)��,黑客產(chǎn)業(yè)的發(fā)展早已超出廣大人群的普遍共識���,他們變得更加有組織性、策劃性�,甚至是一系列資本運(yùn)作的體現(xiàn),從而達(dá)成有效攻擊��。
潘柱廷認(rèn)為�,雖說黑客不斷創(chuàng)新攻擊方式,但整個(gè)安全問題還是有章可循�����?����!拔覀兛梢詫代表人的意識�����,C是系統(tǒng)�,P則是現(xiàn)實(shí),這是社會(huì)上發(fā)生侵害人們資金的三個(gè)手段。從技術(shù)和欺詐角度����,安全問題是與MCP對等的。最開始時(shí)����,直接偷你的錢,其次��,變成通過欺騙影響你的意識和決策來侵害你的錢��,這就是詐騙���。有了計(jì)算機(jī)以后���,手段變成利用攻擊技術(shù),比如黑掉你的銀行賬戶和計(jì)算機(jī)�����、偷盜你的銀行密碼等?���,F(xiàn)在�����,網(wǎng)絡(luò)攻擊把MCP變成一個(gè)矩陣��,對你進(jìn)行意識�、系統(tǒng)和現(xiàn)實(shí)三個(gè)層面的攻擊���。將來���,攻擊面和攻擊效果可能出現(xiàn)在意識層、計(jì)算機(jī)層和現(xiàn)實(shí)層�。”
“正是攻擊面和攻擊效果的復(fù)雜化����,說讓全員負(fù)責(zé),結(jié)果沒人管����;還有一把手負(fù)責(zé),他的事情太多�,也管不了;甚至由業(yè)務(wù)部門負(fù)責(zé)也變成沒人管���。應(yīng)該由很明確的內(nèi)部專職負(fù)責(zé)人和部門負(fù)責(zé)人監(jiān)督�。全員、一把手����、業(yè)務(wù)部門都有其必須承擔(dān)的責(zé)任���,這是這個(gè)專職存在的關(guān)鍵���。”潘柱廷表示����。
![]()
存儲(chǔ)在線(DOSTOR)主編
