開啟關(guān)鍵信息基礎(chǔ)設(shè)施安全保護新階段

中國信息通信研究院 余曉暉

2021年7月30日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱《條例》）正式公布，標志著我國網(wǎng)絡(luò)安全保護進入了以關(guān)鍵信息基礎(chǔ)設(shè)施安全保護為重點的新階段。作為網(wǎng)絡(luò)安全法的重要配套立法，《條例》積極應(yīng)對國內(nèi)外網(wǎng)絡(luò)安全保護的主要問題和發(fā)展趨勢，為下一步加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作提供了重要法治保障。

一、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護立法是各國網(wǎng)絡(luò)安全戰(zhàn)略重要一環(huán)

（一）全球網(wǎng)絡(luò)安全局勢復(fù)雜嚴峻對各國關(guān)鍵信息基礎(chǔ)設(shè)施安全防護提出新挑戰(zhàn)。近期，多國基礎(chǔ)設(shè)施和重要信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊，引發(fā)全球震蕩，對國家安全穩(wěn)定造成巨大風險。特別是2021年，美國最大的燃油管道運營商、全球最大的肉類加工企業(yè)均因黑客攻擊而停擺，導(dǎo)致影響國家乃至全球經(jīng)濟運行的基礎(chǔ)設(shè)施受損，對全產(chǎn)業(yè)鏈產(chǎn)生連鎖影響，也引發(fā)了全球關(guān)于加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的思考。近期，世界主要國家和地區(qū)均強化關(guān)鍵基礎(chǔ)設(shè)施安全防護。美國不僅大幅增加關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全方面的資金投入，而且提出多部強化關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全、預(yù)防勒索軟件攻擊等方面的法案和官方指南。歐盟也在《歐盟安全聯(lián)盟戰(zhàn)略》中將提升關(guān)鍵基礎(chǔ)設(shè)施的保護和恢復(fù)能力作為未來五年網(wǎng)絡(luò)安全工作的重中之重。

（二）世界主要國家和地區(qū)將關(guān)鍵基礎(chǔ)設(shè)施立法作為網(wǎng)絡(luò)安全立法中最為關(guān)鍵的環(huán)節(jié)。美歐在關(guān)鍵基礎(chǔ)設(shè)施立法方面起步較早，美國早在2001年即頒布了《2001年關(guān)鍵基礎(chǔ)設(shè)施保護法》，之后相繼出臺《改進關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全行政令》《增強聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全行政令》等相關(guān)立法。隨著網(wǎng)絡(luò)安全形勢的日益嚴峻，美國積極調(diào)整網(wǎng)絡(luò)安全保護戰(zhàn)略，近期發(fā)布了《2021年臨時國家安全戰(zhàn)略方針》《2021年關(guān)于加強國家網(wǎng)絡(luò)安全的行政命令》等相關(guān)政策。歐盟出臺了《2008年歐盟關(guān)鍵基礎(chǔ)設(shè)施認定和安全評估指令》《2016年網(wǎng)絡(luò)與信息安全指令》等多部關(guān)鍵基礎(chǔ)設(shè)施保護相關(guān)立法。俄羅斯2017年頒布了《聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施安全法》，澳大利亞2018年頒布了《關(guān)鍵基礎(chǔ)設(shè)施安全法》。此外，英國、德國、日本等國也出臺了關(guān)鍵基礎(chǔ)設(shè)施保護的相關(guān)立法和政策。

（三）我國網(wǎng)絡(luò)安全法強調(diào)對關(guān)鍵信息基礎(chǔ)設(shè)施適用更高水平保護。我國2016年出臺的網(wǎng)絡(luò)安全法在明確國家網(wǎng)絡(luò)安全基本制度體系的基礎(chǔ)上，對于關(guān)鍵信息基礎(chǔ)設(shè)施規(guī)定了更高水平的安全防護要求。網(wǎng)絡(luò)安全法規(guī)定對關(guān)鍵信息基礎(chǔ)設(shè)施實行重點保護，并在第三章“網(wǎng)絡(luò)運行安全”中單設(shè)一節(jié)對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護進行專門規(guī)定。針對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作中涉及的技術(shù)措施、人員機制、數(shù)據(jù)安全、風險評估等安全管理舉措提出更高要求，并強調(diào)通過配套立法進一步完善關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度，突出了關(guān)鍵信息基礎(chǔ)設(shè)施在國家整體網(wǎng)絡(luò)安全制度體系中的重要地位。

二、《條例》確立了我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的具體制度要求

網(wǎng)絡(luò)安全法對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度相關(guān)實施對象、責任主體、工作內(nèi)容等進行了總體性規(guī)定，《條例》作為網(wǎng)絡(luò)安全法重要配套法規(guī)，立足工作落實，界定了適用范圍、監(jiān)管主體、評估對象等關(guān)鍵信息基礎(chǔ)設(shè)施安全保護相關(guān)系列基本要素，提出了安全保護要求和安全保障措施，確保對象具體、權(quán)責清晰、任務(wù)明確，為安全保護工作開展提供系統(tǒng)指引和工作遵循。

（一）確定保護對象范圍?！稐l例》第二條給出了關(guān)鍵信息基礎(chǔ)設(shè)施明確定義，第九條提出了保護工作部門制定識別認定規(guī)則的重點考慮因素，確定了由保護工作部門負責制定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則及清單。認定規(guī)則及清單的形成過程一方面須立足實際，充分結(jié)合本行業(yè)、本領(lǐng)域業(yè)務(wù)特性和重要性，在量化指標參數(shù)的基礎(chǔ)上實現(xiàn)清單范圍的準確界定；另一方面，清單應(yīng)當伴隨國家網(wǎng)絡(luò)安全和信息化發(fā)展，實現(xiàn)動態(tài)調(diào)整更新。

（二）明確監(jiān)管職責分工。為保障關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作順利開展,《條例》設(shè)置了科學嚴謹?shù)谋O(jiān)督管理工作機制。在國家層面,國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào),國務(wù)院公安部門負責指導(dǎo)監(jiān)督,國務(wù)院電信主管部門和其他有關(guān)部門負責行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和監(jiān)督管理工作;在地方層面,由省級人民政府有關(guān)部門負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和監(jiān)督管理工作。既有效保障了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作統(tǒng)一有序、協(xié)同推進,又能充分發(fā)揮具體行業(yè)部門的專業(yè)優(yōu)勢,提升關(guān)鍵信息基礎(chǔ)設(shè)施安全保護力度。

（三）強化安全主體責任?！稐l例》強調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施運營者（以下簡稱運營者）在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護中承擔主體責任，并對于運營者自身安全管理機制的設(shè)置進行了嚴格要求。一是強調(diào)主要負責人責任，明確運營者的主要負責人對關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護負責。二是要求設(shè)立專門的安全管理機構(gòu)，具體負責本單位關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護工作。三是對關(guān)鍵崗位人員實施安全背景審查，其中包括運營者專門安全管理機構(gòu)的負責人及其認定的關(guān)鍵崗位人員。四是保障專門安全管理機構(gòu)運行，為本單位專門安全管理機構(gòu)提供經(jīng)費和專業(yè)人員保障。

（四）細化安全保護要求?！稐l例》強化關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護，在網(wǎng)絡(luò)安全法的基礎(chǔ)上對運營者提出了更高的安全防護要求。一是落實“三同步”要求，要求安全保護措施與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用，關(guān)鍵信息基礎(chǔ)設(shè)施自列入關(guān)基清單之日起，在設(shè)計建設(shè)（改擴建）、運行維護、應(yīng)急恢復(fù)、停用廢棄各階段，應(yīng)確保落實覆蓋全生命周期的安全保護。二是開展定期安全檢測和風險評估，運營者須每年至少進行一次網(wǎng)絡(luò)安全檢測和風險評估，可以自行或委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)進行。三是履行安全事件和威脅報告義務(wù)，在發(fā)生重大網(wǎng)絡(luò)安全事件或發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時，運營者應(yīng)當向相關(guān)部門報告。四是落實網(wǎng)絡(luò)安全審查要求，運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當按照國家網(wǎng)絡(luò)安全規(guī)定進行安全審查。五是強化監(jiān)測預(yù)警和信息共享，《條例》提出建立健全關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警制度，準確把握關(guān)鍵信息基礎(chǔ)設(shè)施運行狀況，促進網(wǎng)絡(luò)安全信息共享。

（五）強化重點安全保障。一是針對關(guān)鍵信息基礎(chǔ)設(shè)施實施的漏洞探測、滲透測試等活動，應(yīng)得到國家網(wǎng)信部門、國務(wù)院公安部門批準或者保護工作部門、運營者授權(quán)。對基礎(chǔ)電信網(wǎng)絡(luò)實施漏洞探測、滲透測試等活動，應(yīng)當事先向國務(wù)院電信主管部門報告。二是能源、電信行業(yè)為金融、水利和交通等行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施穩(wěn)定運行提供重要支撐及資源保障，基礎(chǔ)電信網(wǎng)絡(luò)還具有基礎(chǔ)性、全局性，承載著其他關(guān)鍵信息基礎(chǔ)設(shè)施。國家將采取措施，優(yōu)先保障能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運行。能源、電信行業(yè)將為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全運行提供重點保障。

三、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作新階段的思考

（一）完善配套標準規(guī)范體系。一是圍繞關(guān)鍵信息基礎(chǔ)設(shè)施共性安全需求和基線安全要求，加快制定出臺國家標準。二是保護工作部門聚焦行業(yè)實際和特點，深入推進行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施標準建設(shè)，并組織實施。三是圍繞運營者責任義務(wù)、信息共享模式、協(xié)同處置機制、安全防護能力認定等關(guān)鍵方面開展管理機制深入研究。

（二）深化行業(yè)監(jiān)管職責落實。一是指導(dǎo)監(jiān)督行業(yè)運營者落實安全主體責任，扎實做好網(wǎng)絡(luò)安全威脅監(jiān)測與處置、網(wǎng)絡(luò)安全審查等關(guān)鍵信息基礎(chǔ)設(shè)施安全保護相關(guān)工作。二是完善監(jiān)督檢查機制，加強行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護檢查與風險評估。三是構(gòu)建完善應(yīng)急保障體系，建立態(tài)勢感知、應(yīng)急指揮等技術(shù)支撐手段，組織開展場景式、專題化、聯(lián)合型應(yīng)急演練，打造專家隊伍。

（三）加強新技術(shù)新模式應(yīng)用示范。一是強化創(chuàng)新發(fā)展研究，積極利用云計算、大數(shù)據(jù)、人工智能等新技術(shù)提升關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全能力。二是建立創(chuàng)新激勵機制，深化網(wǎng)絡(luò)安全先進技術(shù)創(chuàng)新應(yīng)用和試點示范，匯聚網(wǎng)絡(luò)安全產(chǎn)業(yè)力量，強化面向關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全能力供給。三是開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全能力評估與持續(xù)優(yōu)化，客觀評定網(wǎng)絡(luò)安全能力水平?？茖W選擇安全能力提升方向。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。