国家安全委员会与信息安全

十八届三中全会报告提出我国决定设立国家安全委员会,以便“最大限度增加和谐因素,增强社会发展活力,提高社会治理水平,维护国家安全,确保人民安居乐业、社会安定有序。”这条重磅新闻是业界专家们此前对十八届三中全会的预期中所没有猜测到的,成为公报发布中的亮点,所以特别引起了海内外的广泛关注。

对国家安全委员会,简称“国安会”,网上有不少的专家解读,但是主要停留在公共安全和国家安全层面,并且也比对了美国国家安全委员会和日本国安会,比较缺乏关于互联网安全或信息安全内容。

我们相信的是国安会必将是掌管中国内外安全这个大概念的核心力量,信息安全必定是其中的部分内容,因为现代经济、政治、社会和国防越来越依赖信息化,信息安全不仅与国民生活息息相关,更关乎国家主权和领土安全。公报不可能在短短数百字中全部罗列可能的行动计划,但我们仍然可以从字里行间看到此后国家信息安全建设的总体指导方针和国家互联网安全战略的微妙变化。

如同一个小型组织机构中的信息安全委员会一样,国安会必定将由国家元首、安全战略高官、各安全相关机构如公安、国安、司法、军方、国信安、安全智囊顾问、以及各中央下属机构负责内外部安全沟通调协组织的大员们组成。国家元首是终极决策者和国家安全责任人,如同“一把手负责制”中总裁或总经理抽当的角色;然后是与公共安全及国家安全相关的专业机构领导,这些就是俗称的保障国家安全的“国家机器”,他们天天干的就是安全活儿,像公司内部的首席安全官、安全总监或安全经理。为什么要中央下属机构也参与进来呢?这是因为只靠专业的安全机构和人员是无法实现国家安全宏伟目标的,国家安全虽是个大概念,但很多领域的安全变得界限模糊,并且与国民的日常工作、生活和学习都分不开。重点的中央下属机构包括金融机构、涉外部门、宣教部门等等。就比如公司信息安全委员会需要让财务部、法务部、人力资源部和对外沟通等部门人员参与进来一样。

在处理公共安全方面,公报特别指出“要改进社会治理方式,激发社会组织活力,创新有效预防和化解社会矛盾体制,健全公共安全体系。”我们可以看到的是近十年来,总体的社会安全状况有了好转,但是这个相对好的状态来源于大量的人力物力投入,造成大量资源的浪费,并且治标不治本,显然不是一种科学的安全治理方式。要激发社会组织活力,无疑需要全民参与公共安全,试想,如果民众在安全防范意识上都能赶上专业安全警员的一小半,我们的安全专业人力队伍和监控系统等技术措施可以减少多少的社会开支!“激发社会组织活力”的中央精神也适用于指导公司的信息安全治理,特别在中央整治公务人员奢侈之风的政治风口更是如此,如何激发员工们对信息安全的重视和支持呢?这需要在信息安全管理方面的创新,昆明亭长朗然科技有限公司致力于帮助各类型的组织机构强化信息安全治理中“人的因素”,以及提升员工们的信息安全认知。

我们有一部关于网络战士保卫信息安全的挑战赛,007相关的国家安全主题,可以让国民和公司职员们轻松理解信息安全基础知识和理念。欢迎联系我们在线体验它的设计和制作。

闲话保密委员会与信息安全委员会“两委”合一

新形势下,泄密渠道越来越互联网化和计算机化,而信息科技的不断创新让保密和信息安全越走越近,是否要实现信息安全委员会与保密委员会“两委”合一呢?两会上有代表提出了这个提议。

其实,不仅仅是保密与信息安全,很多职能都有交叉重复的地方。昆明亭长朗然科技有限公司科技有限公司信息安全与保密教育专员董志军说:将信息安全与保密“两委”合并与否,其实并不重要。因为两者之间无论如何都少不了竞争与合作,如何促进良性的竞争与紧密的合作,才是我们更应该考虑的问题。

信息安全与保密工作在侧重点方面虽然各有不同,但是将“两委”合一,如果可以发挥一加一大于二的效果,那就合了划算;如何合并起来,不但不能发挥一加一大于二的效果,反倒造成信安或保密工作的倒退或失误,那还是分开的好。这的确好像是些废话,事实上,有不少机构的保密和信息安全工作是由同一个团队负责的,特别是那些涉密行业。因为其中的大部分工作越来越近似和重合,传统上来讲,信息安全团队更具有技术优势,而保密团队更具有规程优势;而在新形势下,每个部门都想要积极出彩,都必须强化核心功能部分,同时扩充边界职能部分。如果“两委”或两个职能部门恶性竞争的话,不仅会损伤整体,也会伤及自身,好在“两委”的一把手往往都是同一位领导。

富有远见的保密委员会和信息安全委员会显然都能看到这一点,所以,及早规划和调整组织人员结构、制定“两委”分工与合作细则,是不可或缺的一项工作内容。比如,将信息安全意识宣教和保密知识宣教合并起来,不仅可以节省培训资源,更能为学员创造出单一的安全泄密事件报告接口,提升防泄密的治理水平。

说了这么多,“两委”合一与否,关键的因素还得看业务对信息安全和保密工作的需求,以及对合并之后能否发挥一加一大于二的效果评判。不过不管如何,某些交叉和重合的工作内容是绝对可以整合的,比如信息安全和保密意识的宣教。

infosec-teamwork-w-confidentiality-merge