严望佳的第一个提案就是：关于在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度。

　　严望佳认为，我国的信息安全保障体系建设大多是在等保、分保制度基础上，满足合规性即可。究其根本原因还在于我国对信息安全的重视没有提高到“以效果为导向”的程度，而又伴随着信息安全是“七分管理三分技术” “信息安全没有绝对”这种特点，以及政府采购目录以硬件产品为主、《采购法》以最低价为准绳的制度，交织反复，最终形成我国信息安全保障体系建设目前以合规为目标，以最低价产品为市场，整体行业低水平竞争，国家重要信息系统安全保障能力不足，国家网络空间对抗能力不足等系列恶性循环的现状。

　　索尼影音公司遭遇的入侵和破坏事件、Heartbleed(心脏出血)漏洞、12306撞库攻击事件等公众性网络安全事件，无不时刻警示着公众和政府，网络安全的严峻形势，国家需要打破长期以合规为导向的信息安全保障体系，出台有针对性的法律法规，来保护公众、政府等的网络安全。

　　严望佳建议，信息安全保障体系建设，合规是基础，效果是保障。建议国家能尽快出台、制定法律法规，建立信息安全责任落实制度，要求用户需要对安全采购的结果负责，特提出以下建议：在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度。

　　该制度可以把现行的合规体系变成一个责任体系，可以利用安全真正需求引导一个注重技术、产品与服务的市场环境，促使商业竞争以用户价值为导向，促进安全厂商从销售导向、集成商导向转变至以技术创新为导向。该制度对产业的生态环境、政府的管理方式、信息安全的整体架构都会产生深远影响，使我国信息安全产业形成良好、健康的生态环境。

　　具体建议如下：

　　(1)划分详细的关键基础设施、敏感部门、政府机构范围

　　建议在以下关系到国防安全、国计民生的关键领域划分详细的机构范围：政府、电信、金融、能源、教育、大型企业、军队军工、交通、媒体、医疗卫生等。

　　(2)在关键基础设施、敏感部门、政府机构设立首席信息安全官

　　在关键基础设施、敏感部门、政府机构设立首席信息安全官职位，充分赋予首席信息安全官相应的职权，不限于以下内容：首席信息安全官直接汇报给最高决策者;全权负责信息安全保障体系建设;咨询、审批或验证现有的IT投资计划。

　　(3)建立首席信息安全官任职资格、考核制度

　　首席信息安全官对人员的技术、管理、法规遵从等方面要求非常高，导致任职人员可能不能完全胜任该岗位。国家相应部门需要针对首席信息安全官进行选拔、培训、资格认定等一系列的人才保证措施。

　　国家相应部门，应该在等保、分保等制度的基础上，明确建立针对首席信息安全官考核制度，考核制度作为对用户单位整体安全建设的重要评价指标。考核制度可以进一步加强用户单位对于首席信息安全官的重视程度、安全建设力度、整体安全水平。

　　责任编辑：DJ编辑