信息安全的基本要點是要確保企業(yè)或組織的核心資產(chǎn)的機(jī)密性、完整性和可用性三要素不被破壞。機(jī)密性是確保組織的核心數(shù)據(jù)或重要信息不被非授權(quán)人訪問,完整性是數(shù)據(jù)或信息不能被惡意篡改,可用性是指要確保正常的系統(tǒng)訪問是可用的,尤其要確保關(guān)系到國計民生的重要信息基礎(chǔ)設(shè)施或應(yīng)用系統(tǒng)可以被按需訪問。
從國家層面有八大行業(yè)的信息基礎(chǔ)設(shè)施尤為重要,它們是銀行、電力、鐵路、民航、證券、保險、海關(guān)和稅務(wù)。國家層面已經(jīng)有針對這些行業(yè)正常運(yùn)營的保護(hù)要求,并且這些要求已經(jīng)被納入由全國人民代表大會審議通過的《網(wǎng)絡(luò)安全法》?!毒W(wǎng)絡(luò)安全法》對信息資產(chǎn)的保護(hù)要求不僅僅停留在國家和企業(yè)層面,該法案明確提出在我國內(nèi)部運(yùn)營的網(wǎng)絡(luò)產(chǎn)品在收集用戶信息時需要具備正當(dāng)性和合法性。比如,網(wǎng)絡(luò)產(chǎn)品需在收集用戶信息前明示收集請求并取得必要的同意,網(wǎng)絡(luò)產(chǎn)品的所屬企業(yè)對收集到的用戶信息具有必要的保護(hù)義務(wù)和承擔(dān)信息保管不利的法律責(zé)任。
近幾年來針對公民信息和個人隱私的保護(hù)已經(jīng)成為熱點話題,這和國家的輿論導(dǎo)向密不可分。我國在2021年頒布的《個人信息保護(hù)法》就是一個很好的佐證。最新的國家標(biāo)準(zhǔn)《信息安全技術(shù)_信息系統(tǒng)安全等級保護(hù)實施指南》也明顯加強(qiáng)了對可能給公民造成特別嚴(yán)重?fù)p害的信息系統(tǒng)的審查級別。我國針對信息安全所秉承的一貫方針是:“以我為主,技術(shù)和管理并重,保護(hù)和震懾并舉”。各種法案和國家標(biāo)準(zhǔn)的密集出臺就體現(xiàn)了這種從國家層面的“威懾”作用。
安全乃國之大事,正如兵法所云:“死生之地,不可不察”。很多國家都相繼提出網(wǎng)絡(luò)空間的概念,網(wǎng)絡(luò)空間也被稱為賽博空間(Cyberspace)。國家需要對其宣誓主權(quán),其與一個國家的領(lǐng)地、領(lǐng)海、領(lǐng)空和外太空的主權(quán)同等重要。針對網(wǎng)絡(luò)空間的整體安全部署和有效實施,離不開每個關(guān)聯(lián)的企業(yè)和個人的積極響應(yīng)和全程參與?!毒W(wǎng)絡(luò)安全法》就對重點行業(yè)建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施有著明確的要求,詳見如下論述:
“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能,并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。”
--《中華人民共和國網(wǎng)絡(luò)安全法》
國家信息安全的落地方式一般表現(xiàn)為國家信息安全主管機(jī)關(guān)持續(xù)推出類似于《網(wǎng)絡(luò)安全法》的相關(guān)政策、法規(guī)和標(biāo)準(zhǔn)。各部委的業(yè)務(wù)主管機(jī)關(guān)需要針對具體法案提出適合本單位的信息安全管理策略,并領(lǐng)導(dǎo)和組織必要的信息系統(tǒng)安全評估工作。“生于憂患,死于安樂”,定期或不定期的安全評估可以及時發(fā)現(xiàn)安全隱患,并確立針對自身關(guān)鍵業(yè)務(wù)系統(tǒng)的最新安全需求,從而為后期采取必要的安全處置指明了正確參考方向。
總之,信息安全是全社會共同的責(zé)任,由國家立法來引領(lǐng)方向,企業(yè)從管理、技術(shù)和人才儲備等多個方面加大投入,依法綜合實施安全治理。每個公民都需要提升自身的安全意識,有效的利用法律的武器來保護(hù)自己的合法權(quán)益,并有意識的做到不觸碰法律的底線。針對安全,我們要做到“有法可依,有法必依”!