护航网络强国战略促进网络安全服务业发展（2）

二、网络安全服务机构的能力建设

网络安全服务机构的服务能力由技术、管理、资源等综合因素构成，它直接影响国家网络安全服务水平和网络空间治理的工作成效，因此，提高网络安全服务机构的能力建设需要政府、网络安全服务需求方和网络安全服务机构等携手并进、共同发力。

1.构建全方位、立体式的网络安全服务保障体系

网络安全是保障国家安全、社会稳定的关键。服务机构应该依据服务对象、国家法律法规和相关行业标准的特点，结合本机构的实际情况建立具有全面性、稳定性、及时性的机构网络安全服务保障体系。网络安全服务保障不能完全依靠安全产品，也不能停留在“三分技术、七分管理”的概念上，应建立以风险分析、策略制定、设计、实施、维护、改进等环节构成的闭环控制的网络安全保障模型。在网络安全保障模型基础上，采取技术、管理、基础资源等安全保障措施，开展适合服务对象的具体安全服务，将风险控制到可接受的范围和程度，从而实现业务发展的安全使命。

网络安全是“矛”与“盾”的持续较量，风险是动态存在的，为了抵御不断变化的威胁，网络安全技术水平应蹄疾步稳、卓越提升，网络安全服务机构要不断将新的技术手段、应用等融入网络安全服务保障系当中，满足网络安全服务过程中不断提升的网络安全需求。

建立高效、健全、可执行的网络安全管理体系。避免体系建立与应用割裂，让体系运行的理念深入人心，只有全体员工熟悉理解标准，才能主动自觉地按标准及工作程序去执行，建立的体系才能有效运行，不断完善，持续改进。

构成网络安全服务机构能力的因素不仅是技术、管理，对基础安全服务资源能力的提升同样重要。在安全服务过程中，人是安全服务资源最重要的，应建立人员能力提升机制，对安全服务人员进行内部、外部培训，不断提升技能；安全服务工具的安全可控，避免使用开源、未经安全性验证的安全工具等。基础安全服务资源构成了满足网络安全服务安全需求的基本要素，发挥了作为在网络安全服务过程中支撑技术、管理等要素的作用。

2.加快《网络安全法》配套法律法规与战略政策的部署落地

《网络安全法》发布实施后，我国在网络安全、网络安全法律、法规领域迈出了重要一步，为我国网络安全服务行业的发展起了巨大的推动作用，使我们的安全服务领域有法可依、规范服务。针对网络安全法的实施，我们需要尽快建立更加细化的配套法律、法规措施服务网络安全市场，使网络安全服务行业在法律的框架约束下健康发展，网络安全服务机构在法律的规范下以提升安全服务能力、输出高水平的安全服务而获得市场的认可。

针对目前存在的问题，政府需尽快推出行之有效的网络安全服务相关标准及行业规范，从政策、标准层面对网络安全服务进行标准化的定义，对安全服务需达到的服务水平进行相关基线的定性、定量等的指标。标准和规范的制定完成不是终点，而仅仅是标准生命周期的第一步，其科学性、适用性和可操作性是需要持续的验证和逐步完善的。加大对各方，各领域的标准和规范的宣贯与推广工作，建立有效的机制，鼓励和便于收集标准及规范使用中的意见和建议。

加快国家对网络安全专业人才战略的落地实施。政府、企业高校和社会都应高度关注和重视，大力创建网络安全科技人才健康成长的外部环境,加快人才培养的速度和力度,改革人事分配制度,营造优秀人才脱颖而出的社会环境,有效改变网络安全科技人才短缺的现状。将《国家网络空间安全战略》中“实施网络安全人才工程，加强网络安全学科专业建设，打造一流网络安全学院和创新园区”落到实处、落在关键处。网络安全服务机构内部还需进一步重视人才培养和人才奖励机制的建设。合理调配和使用人才，加强人才梯队的科学化发展。挖掘网络安全优秀人才、留住网络安全专业特才，使人才有归属感、成就感，进而为人才的科学发展搭建良好的孵化平台。

3.网络安全服务需求方及第三方机构亟待建立科学的服务能力评价体系

网络安全服务需求方是通过供求关系角度促进网络安全服务机构提升能力的重要环节。它们结合本行业、本单位业务特点建立科学的网络安全服务能力评价方法。一方面是对满足本单位网络安全服务需求负责，另一方面是对网络安全服务行业服务提供机构能力的提升发挥了重要的市场“风向标”作用。

无论网络安全服务需求方还是第三方机构在建立网络安全服务机构能力评价方法的时候，一定要科学意识到机构网络安全服务能力不是技术、管理、硬件基础资源等因素当中任何一点能单独决定的，而是上述因素共同决定的。第三方机构作为对网络安全服务机构服务能力的评价方，更应该建立科学的、行之有效的评价体系为行业做出公正、公开、公平的评价结果，服务能力的评判也不应该是“符合性”的，而应该是“有效性”的。第三方的评价结果直接影响网络安全服务机构的市场效应，进而影响机构对自身服务能力提升的推动；影响服务需求方对安全服务机构的选择。

网络安全服务需求方也可以通过与第三方共同合作，评价体系共享、评价结果共享的方式获得适合的网络安全服务机构，这样利用市场供需、第三方综合评判双重因素的构建，推动网络安全服务机构能力的整体跃升。

以中国信息安全测评中心为例，多年来依据国际成熟安全标准SSE-CMM、结合国家标准GB/T30271，及行业内的最优安全实践形成了科学的网络安全服务机构能力评价理论体系，从服务机构的技术能力、管理能力、基础资源能力综合出发，以服务“有效性”为评判标准，为国内近千家网络安全服务机构能力进行测评，评价结果公开、公正、公平得到行业内的广泛认可。此评价体系为第三方机构和网络安全服务需求方提供了服务能力评价的理论依据，评价结果为国内关键信息基础设施行业所认可（部分行业利用此体系建立了本行业网络安全服务机构评价体系），为网络安全服务机构的能力提升起到了巨大推动作用。依据中国网络安全测评中心体系应用调研数据显示，应用此体系的网络安全服务机构服务能力提升明显，行业认可度升高，提升市场业务收入在10%左右。

三、结语

随着国家战略政策的扶持和市场需求的不断扩大，我国网络安全服务得到空前发展，未来前景喜人。在这样的大趋势和大背景下，网络安全服务机构的能力水平将直接关系网络强国战略目标的实现、网络空间治理工作成效以及社会的长治久安、民众的安定福祉。未来，不断强化网络安全服务机构能力建设是我们国家网络安全事业发展中至关重要的关键环节，下好网络安全服务的“先手棋”，开创网络强国的“中国梦”。