中國信息通信研究院 余曉暉

2021年7月30日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡稱《條例》）正式公布，標(biāo)志著我國網(wǎng)絡(luò)安全保護(hù)進(jìn)入了以關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)為重點(diǎn)的新階段。作為網(wǎng)絡(luò)安全法的重要配套立法，《條例》積極應(yīng)對國內(nèi)外網(wǎng)絡(luò)安全保護(hù)的主要問題和發(fā)展趨勢，為下一步加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作提供了重要法治保障。

一、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)立法是各國網(wǎng)絡(luò)安全戰(zhàn)略重要一環(huán)

（一）全球網(wǎng)絡(luò)安全局勢復(fù)雜嚴(yán)峻對各國關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)提出新挑戰(zhàn)。近期，多國基礎(chǔ)設(shè)施和重要信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊，引發(fā)全球震蕩，對國家安全穩(wěn)定造成巨大風(fēng)險。特別是2021年，美國最大的燃油管道運(yùn)營商、全球最大的肉類加工企業(yè)均因黑客攻擊而停擺，導(dǎo)致影響國家乃至全球經(jīng)濟(jì)運(yùn)行的基礎(chǔ)設(shè)施受損，對全產(chǎn)業(yè)鏈產(chǎn)生連鎖影響，也引發(fā)了全球關(guān)于加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的思考。近期，世界主要國家和地區(qū)均強(qiáng)化關(guān)鍵基礎(chǔ)設(shè)施安全防護(hù)。美國不僅大幅增加關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全方面的資金投入，而且提出多部強(qiáng)化關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全、預(yù)防勒索軟件攻擊等方面的法案和官方指南。歐盟也在《歐盟安全聯(lián)盟戰(zhàn)略》中將提升關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)和恢復(fù)能力作為未來五年網(wǎng)絡(luò)安全工作的重中之重。

（二）世界主要國家和地區(qū)將關(guān)鍵基礎(chǔ)設(shè)施立法作為網(wǎng)絡(luò)安全立法中最為關(guān)鍵的環(huán)節(jié)。美歐在關(guān)鍵基礎(chǔ)設(shè)施立法方面起步較早，美國早在2001年即頒布了《2001年關(guān)鍵基礎(chǔ)設(shè)施保護(hù)法》，之后相繼出臺《改進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全行政令》《增強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全行政令》等相關(guān)立法。隨著網(wǎng)絡(luò)安全形勢的日益嚴(yán)峻，美國積極調(diào)整網(wǎng)絡(luò)安全保護(hù)戰(zhàn)略，近期發(fā)布了《2021年臨時國家安全戰(zhàn)略方針》《2021年關(guān)于加強(qiáng)國家網(wǎng)絡(luò)安全的行政命令》等相關(guān)政策。歐盟出臺了《2008年歐盟關(guān)鍵基礎(chǔ)設(shè)施認(rèn)定和安全評估指令》《2016年網(wǎng)絡(luò)與信息安全指令》等多部關(guān)鍵基礎(chǔ)設(shè)施保護(hù)相關(guān)立法。俄羅斯2017年頒布了《聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施安全法》，澳大利亞2018年頒布了《關(guān)鍵基礎(chǔ)設(shè)施安全法》。此外，英國、德國、日本等國也出臺了關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的相關(guān)立法和政策。

（三）我國網(wǎng)絡(luò)安全法強(qiáng)調(diào)對關(guān)鍵信息基礎(chǔ)設(shè)施適用更高水平保護(hù)。我國2016年出臺的網(wǎng)絡(luò)安全法在明確國家網(wǎng)絡(luò)安全基本制度體系的基礎(chǔ)上，對于關(guān)鍵信息基礎(chǔ)設(shè)施規(guī)定了更高水平的安全防護(hù)要求。網(wǎng)絡(luò)安全法規(guī)定對關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)，并在第三章“網(wǎng)絡(luò)運(yùn)行安全”中單設(shè)一節(jié)對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)進(jìn)行專門規(guī)定。針對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作中涉及的技術(shù)措施、人員機(jī)制、數(shù)據(jù)安全、風(fēng)險評估等安全管理舉措提出更高要求，并強(qiáng)調(diào)通過配套立法進(jìn)一步完善關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度，突出了關(guān)鍵信息基礎(chǔ)設(shè)施在國家整體網(wǎng)絡(luò)安全制度體系中的重要地位。

二、《條例》確立了我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的具體制度要求

網(wǎng)絡(luò)安全法對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度相關(guān)實(shí)施對象、責(zé)任主體、工作內(nèi)容等進(jìn)行了總體性規(guī)定，《條例》作為網(wǎng)絡(luò)安全法重要配套法規(guī)，立足工作落實(shí)，界定了適用范圍、監(jiān)管主體、評估對象等關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)相關(guān)系列基本要素，提出了安全保護(hù)要求和安全保障措施，確保對象具體、權(quán)責(zé)清晰、任務(wù)明確，為安全保護(hù)工作開展提供系統(tǒng)指引和工作遵循。

（一）確定保護(hù)對象范圍。《條例》第二條給出了關(guān)鍵信息基礎(chǔ)設(shè)施明確定義，第九條提出了保護(hù)工作部門制定識別認(rèn)定規(guī)則的重點(diǎn)考慮因素，確定了由保護(hù)工作部門負(fù)責(zé)制定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則及清單。認(rèn)定規(guī)則及清單的形成過程一方面須立足實(shí)際，充分結(jié)合本行業(yè)、本領(lǐng)域業(yè)務(wù)特性和重要性，在量化指標(biāo)參數(shù)的基礎(chǔ)上實(shí)現(xiàn)清單范圍的準(zhǔn)確界定；另一方面，清單應(yīng)當(dāng)伴隨國家網(wǎng)絡(luò)安全和信息化發(fā)展，實(shí)現(xiàn)動態(tài)調(diào)整更新。

（二）明確監(jiān)管職責(zé)分工。為保障關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作順利開展,《條例》設(shè)置了科學(xué)嚴(yán)謹(jǐn)?shù)谋O(jiān)督管理工作機(jī)制。在國家層面,國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào),國務(wù)院公安部門負(fù)責(zé)指導(dǎo)監(jiān)督,國務(wù)院電信主管部門和其他有關(guān)部門負(fù)責(zé)行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理工作;在地方層面,由省級人民政府有關(guān)部門負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理工作。既有效保障了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作統(tǒng)一有序、協(xié)同推進(jìn),又能充分發(fā)揮具體行業(yè)部門的專業(yè)優(yōu)勢,提升關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)力度。

（三）強(qiáng)化安全主體責(zé)任。《條例》強(qiáng)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（以下簡稱運(yùn)營者）在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)中承擔(dān)主體責(zé)任，并對于運(yùn)營者自身安全管理機(jī)制的設(shè)置進(jìn)行了嚴(yán)格要求。一是強(qiáng)調(diào)主要負(fù)責(zé)人責(zé)任，明確運(yùn)營者的主要負(fù)責(zé)人對關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)負(fù)責(zé)。二是要求設(shè)立專門的安全管理機(jī)構(gòu)，具體負(fù)責(zé)本單位關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)工作。三是對關(guān)鍵崗位人員實(shí)施安全背景審查，其中包括運(yùn)營者專門安全管理機(jī)構(gòu)的負(fù)責(zé)人及其認(rèn)定的關(guān)鍵崗位人員。四是保障專門安全管理機(jī)構(gòu)運(yùn)行，為本單位專門安全管理機(jī)構(gòu)提供經(jīng)費(fèi)和專業(yè)人員保障。

（四）細(xì)化安全保護(hù)要求?！稐l例》強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)，在網(wǎng)絡(luò)安全法的基礎(chǔ)上對運(yùn)營者提出了更高的安全防護(hù)要求。一是落實(shí)“三同步”要求，要求安全保護(hù)措施與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用，關(guān)鍵信息基礎(chǔ)設(shè)施自列入關(guān)基清單之日起，在設(shè)計建設(shè)（改擴(kuò)建）、運(yùn)行維護(hù)、應(yīng)急恢復(fù)、停用廢棄各階段，應(yīng)確保落實(shí)覆蓋全生命周期的安全保護(hù)。二是開展定期安全檢測和風(fēng)險評估，運(yùn)營者須每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估，可以自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)進(jìn)行。三是履行安全事件和威脅報告義務(wù)，在發(fā)生重大網(wǎng)絡(luò)安全事件或發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時，運(yùn)營者應(yīng)當(dāng)向相關(guān)部門報告。四是落實(shí)網(wǎng)絡(luò)安全審查要求，運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全規(guī)定進(jìn)行安全審查。五是強(qiáng)化監(jiān)測預(yù)警和信息共享，《條例》提出建立健全關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警制度，準(zhǔn)確把握關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行狀況，促進(jìn)網(wǎng)絡(luò)安全信息共享。

（五）強(qiáng)化重點(diǎn)安全保障。一是針對關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施的漏洞探測、滲透測試等活動，應(yīng)得到國家網(wǎng)信部門、國務(wù)院公安部門批準(zhǔn)或者保護(hù)工作部門、運(yùn)營者授權(quán)。對基礎(chǔ)電信網(wǎng)絡(luò)實(shí)施漏洞探測、滲透測試等活動，應(yīng)當(dāng)事先向國務(wù)院電信主管部門報告。二是能源、電信行業(yè)為金融、水利和交通等行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施穩(wěn)定運(yùn)行提供重要支撐及資源保障，基礎(chǔ)電信網(wǎng)絡(luò)還具有基礎(chǔ)性、全局性，承載著其他關(guān)鍵信息基礎(chǔ)設(shè)施。國家將采取措施，優(yōu)先保障能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行。能源、電信行業(yè)將為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行提供重點(diǎn)保障。

三、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作新階段的思考

（一）完善配套標(biāo)準(zhǔn)規(guī)范體系。一是圍繞關(guān)鍵信息基礎(chǔ)設(shè)施共性安全需求和基線安全要求，加快制定出臺國家標(biāo)準(zhǔn)。二是保護(hù)工作部門聚焦行業(yè)實(shí)際和特點(diǎn)，深入推進(jìn)行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施標(biāo)準(zhǔn)建設(shè)，并組織實(shí)施。三是圍繞運(yùn)營者責(zé)任義務(wù)、信息共享模式、協(xié)同處置機(jī)制、安全防護(hù)能力認(rèn)定等關(guān)鍵方面開展管理機(jī)制深入研究。

（二）深化行業(yè)監(jiān)管職責(zé)落實(shí)。一是指導(dǎo)監(jiān)督行業(yè)運(yùn)營者落實(shí)安全主體責(zé)任，扎實(shí)做好網(wǎng)絡(luò)安全威脅監(jiān)測與處置、網(wǎng)絡(luò)安全審查等關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)相關(guān)工作。二是完善監(jiān)督檢查機(jī)制，加強(qiáng)行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)檢查與風(fēng)險評估。三是構(gòu)建完善應(yīng)急保障體系，建立態(tài)勢感知、應(yīng)急指揮等技術(shù)支撐手段，組織開展場景式、專題化、聯(lián)合型應(yīng)急演練，打造專家隊伍。

（三）加強(qiáng)新技術(shù)新模式應(yīng)用示范。一是強(qiáng)化創(chuàng)新發(fā)展研究，積極利用云計算、大數(shù)據(jù)、人工智能等新技術(shù)提升關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全能力。二是建立創(chuàng)新激勵機(jī)制，深化網(wǎng)絡(luò)安全先進(jìn)技術(shù)創(chuàng)新應(yīng)用和試點(diǎn)示范，匯聚網(wǎng)絡(luò)安全產(chǎn)業(yè)力量，強(qiáng)化面向關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全能力供給。三是開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全能力評估與持續(xù)優(yōu)化，客觀評定網(wǎng)絡(luò)安全能力水平。科學(xué)選擇安全能力提升方向。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。