正文

專家解讀|構建政企協同新機制 維護關鍵信息基礎設施安全

2021年09月04日 08:00 來源: 中國網信網

習近平總書記在“4·19”重要講話中明確指出“關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,也是可能遭到重點攻擊的目標”。當前國際社會風云變幻,網絡安全風險層出不窮,關鍵信息基礎設施安全保護工作的重要性和緊迫性日益凸顯。黨的十八大以來,國家高度重視網絡安全工作。近日,國務院頒布出臺《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》),這是我國首部專門針對關鍵信息基礎設施安全保護工作的行政法規,標志著中國網絡安全向更高水平躍升。

一、《條例》是建設網絡強國、應對全球網絡安全形勢新變化的必然要求

近幾年,全球范圍內針對關鍵信息基礎設施的供應鏈攻擊、勒索攻擊等安全事件日益增多,不斷動搖經濟社會運行的根基。數據顯示,2020年全球勒索攻擊次數同比增長150%以上。世界主要國家和地區紛紛把關鍵信息基礎設施安全保護上升到維護國家安全的高度。美國最大輸油管道遭遇網絡攻擊和勒索后,拜登政府立即發布《關于改善關鍵基礎設施控制系統網絡安全》的國家備忘錄,認為“關鍵基礎設施的網絡安全問題是美國面臨的最重要和嚴峻的問題”。據不完全統計,拜登上臺后,共出臺19項互聯網行政令,其中4項關于網絡安全。歐盟、俄羅斯、日本、澳大利亞也紛紛針對關鍵信息基礎設施進行立法保護。網絡安全的細胞早已擴散到經濟與貿易、政治與外交、軍事與安全等各個關鍵領域。沒有關鍵信息基礎設施安全就沒有網絡安全,沒有網絡安全就沒有國家安全?!稐l例》的出臺,有利于進一步提升國家關鍵信息基礎設施保護水平,提高國家維護網絡安全的能力。

二、《條例》是新時期指導做好關鍵信息基礎設施保護工作的綱領性文件,進一步完善了國家網絡安全法規體系

黨中央、國務院高度重視關鍵信息基礎設施安全保護工作,習近平總書記明確提出:“必須深入研究,采取有效措施,切實做好國家關鍵信息基礎設施安全防護”、“要落實關鍵信息基礎設施防護責任,行業、企業作為關鍵信息基礎設施運營者(以下簡稱運營者)承擔主體防護責任,主管部門履行好監管責任”。

2017年6月1日正式實施的《網絡安全法》用大量篇幅規定了關鍵信息基礎設施保護的相關內容,突出了關鍵信息基礎設施在國家整體網絡安全制度體系中的重要地位?!稐l例》進一步細化完善了《網絡安全法》所確立的關鍵信息基礎設施安全保護制度,明確了網信部門、公安部門以及重要行業和領域主管、監督管理部門(以下簡稱保護工作部門)的責任邊界和職責要求,明確了關鍵信息基礎設施認定原則和認定機制,細化了運營者的主體責任和義務,形成了關鍵信息基礎設施安全保護工作相關各方的責任體系。各相關主管部門已經開展的涉及關鍵信息基礎設施安全保護的相關工作,需要在《條例》的要求框架下開展。重要行業和領域的主管部門還需要依據《條例》制定本行業、本領域的關鍵信息基礎設施安全保護和監督管理相關工作要求。

總體來看,《條例》的出臺為關鍵信息基礎設施保護補強了法治之網,進一步明確了我國關鍵信息基礎設施安全保護工作相關各方的職責要求和法律責任,有助于構建多方盡責、共同協作的關鍵信息基礎設施立體安全防護體系,更好地應對網絡安全風險挑戰。

三、《條例》構建起新型關鍵信息基礎設施網絡安全工作體系

(一)突出統籌協調

《條例》第三條要求“在國家網信部門統籌協調下,國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作”。國務院電信主管部門、其他有關部門、省級人民政府有關部門依照本條例和有關法律、行政法規的規定,在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作。此外,還明確國家網信部門負責建立網絡安全信息共享機制(第二十三條)、對關鍵信息基礎設施進行網絡安全檢查檢測(第二十七條)、為關鍵信息基礎設施安全保護工作提供技術支持和協作(第二十九條)等。

鑒于網信部門的職責,《條例》的安排凸顯了三方面考慮:一是統籌好關鍵信息基礎設施建設與安全的關系;二是統籌好部門的工作;三是統籌好安全與創新的協同。

(二)明確部門權責

在關鍵信息基礎設施認定機制方面,《條例》第二條對關鍵信息基礎設施的定義和范圍延續了《網絡安全法》第三十一條的說法,并在第二章專門明確了關鍵信息基礎設施的認定機制?!稐l例》第九條明確由保護工作部門制定本行業、本領域的關鍵信息基礎設施認定規則,并從重要程度、危害程度和關聯性影響三方面給出了三條考慮因素。保護工作部門負責組織認定本行業、本領域的關鍵信息基礎設施,并將結果通報國務院公安部門(第十條)。如果關鍵信息基礎設施發生較大變化可能影響認定結果的,保護工作部門需組織重新認定,結果通知運營單位并通報國務院公安部門(第十一條)。

在行業監管方面,《條例》明確各保護工作部門負責本行業、本領域的關鍵信息基礎設施安全保護相關工作,包括制定安全規劃(第二十二條)、建立健全監測預警制度(第二十四條)、建立應急預案、組織應急演練(第二十五條)、檢查檢測(第二十六條)等。

(三)強化主體責任

《網絡安全法》第三十三條至第三十八條對運營者責任提出了相關要求,《條例》在此基礎上作了進一步補充完善,特別強調了運營者要落實主體責任(第四條),對運營者提出了更全面細化的責任要求。包括在網絡安全等級保護基礎上采取保護措施(第六條),安全保護措施與關鍵信息基礎設施三同步原則(第十二條),建立健全網絡安全保護制度和責任制、保障人財物投入、明確運營者的主要負責人負總責(第十三條),設置專門安全管理機構并對相關人員進行安全背景審查(第十四條),明確專門安全管理機構的八條具體職責(第十五條),保障專門管理機構運行經費、人員配備和參與網絡安全和信息化有關決策(第十六條),每年至少進行一次網絡安全檢測和風險評估(第十七條),遇到重大或特別重大的網絡安全事件和威脅時履行報告制度(第十八條),采購網絡產品和服務的原則和進行安全審查的情形(第十九條),要求并監督產品和服務提供者履行保密義務和責任(第二十條),發生合并、分立、解散等情況的工作要求(第二十一條)。

上述規定細化明確了運營者的責任義務要求,從責任體系、制度建設、人員管理、能力建設、運行維護、供應鏈管理等方面指導運營者建立健全關鍵信息基礎設施安全保障體系。

(四)規范行為管控

關于禁止行為,《條例》明確要求任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動,不得危害關鍵信息基礎設施安全(第五條),未經國家網信部門、國務院公安部門批準或者保護工作部門、運營者授權,任何個人和組織不得對關鍵信息基礎設施實施漏洞探測、滲透性測試等活動,對基礎電信網絡實施漏洞探測、滲透性測試等活動,應事先向國務院電信主管部門報告(第三十一條),公安機關和國家安全機關負責防范打擊相關違法犯罪活動(第三十三條)。

(五)加強生態建設

為加強國家關鍵信息基礎設施安全保護生態體系建設,《條例》還對關鍵信息基礎設施安全標準制定(第三十四條)、人才隊伍建設(第三十五條)、技術創新和產業發展(第三十六條)、服務機構建設和管理(第三十七條)、軍民融合和軍地合作(第三十八條)等作了原則性要求,此外《條例》第三十二條還特別規定了能源、電信等關鍵信息基礎設施的優先保障原則。

四、加強政企協同是落實《條例》的有效路徑

今年是“十四五”開局之年,是關鍵信息基礎設施安全建設規劃的關鍵年,立足新時期,面向新要求,各級政府和企業應當嚴格按照《條例》要求切實履行主體責任,建立健全內部網絡安全制度體系,強化以能力為導向的安全防護體系建設。

一是要建立切實可操作的政企協同聯動機制。加強政府與企業之間網絡安全信息、資源的共享,推動政府安全基礎設施向網絡安全企業開放,鼓勵安全企業賦能關鍵信息基礎設施的安全建設,加快建立保護關鍵信息基礎設施網絡安全的政產學研用生態體系。

二是要以新一代網絡安全框架指導關鍵信息基礎設施網絡安全體系建設。“十四五”時期的網絡安全建設,每一個任務設置都要將管理、技術、運行等各方面的要素綜合考慮,避免割裂。推動各任務之間相互關聯、能力互補,打造具備體系化作戰能力的有機整體。

三是要強化網絡安全與信息化的融合發展。推動安全能力對信息化的全面覆蓋融合,實現安全規劃、建設、運營與信息化建設的全周期同步開展,使安全成為信息化業務的內在屬性,實現安全體系對信息化系統的全覆蓋。伴隨信息化水平的持續升級,整體安全能力實現同步階梯式上升。

四是要建立安全運營體系與評估優化體系。安全運營體系全面涵蓋安全團隊、安全運行流程、安全操作規程、安全運行支撐平臺和安全工具等。建立面向效果而非過程的評價體系,并以數據分析的方式對整改優化提供支撐,以數據分析結果牽引新安全建設工作,持續提升網絡安全工作成熟度。(作者:齊向東,奇安信集團董事長)

關閉

中共中央網絡安全和信息化委員會辦公室
中華人民共和國國家互聯網信息辦公室 © 版權所有
承辦:國家互聯網應急中心
技術支持:長安通信科技有限責任公司
京ICP備14042428號

Produced By CMS 網站群內容管理系統 publishdate:2021/09/04 09:44:02
免费三级黄色大片