專家解讀｜構(gòu)建政企協(xié)同新機制 維護關鍵信息基礎設施安全

隨州日報

來源：中國網(wǎng)信網(wǎng)
! Q' y6 c! S& N$ k9 Z

習近平總書記在“4·19”重要講話中明確指出“關鍵信息基礎設施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡安全的重中之重，也是可能遭到重點攻擊的目標”。當前國際社會風云變幻，網(wǎng)絡安全風險層出不窮，關鍵信息基礎設施安全保護工作的重要性和緊迫性日益凸顯。黨的十八大以來，國家高度重視網(wǎng)絡安全工作。近日，國務院頒布出臺《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》），這是我國首部專門針對關鍵信息基礎設施安全保護工作的行政法規(guī)，標志著中國網(wǎng)絡安全向更高水平躍升。

一、《條例》是建設網(wǎng)絡強國、應對全球網(wǎng)絡安全形勢新變化的必然要求

近幾年，全球范圍內(nèi)針對關鍵信息基礎設施的供應鏈攻擊、勒索攻擊等安全事件日益增多，不斷動搖經(jīng)濟社會運行的根基。數(shù)據(jù)顯示，2020年全球勒索攻擊次數(shù)同比增長150%以上。世界主要國家和地區(qū)紛紛把關鍵信息基礎設施安全保護上升到維護國家安全的高度。美國最大輸油管道遭遇網(wǎng)絡攻擊和勒索后，拜登政府立即發(fā)布《關于改善關鍵基礎設施控制系統(tǒng)網(wǎng)絡安全》的國家備忘錄，認為“關鍵基礎設施的網(wǎng)絡安全問題是美國面臨的最重要和嚴峻的問題”。據(jù)不完全統(tǒng)計，拜登上臺后，共出臺19項互聯(lián)網(wǎng)行政令，其中4項關于網(wǎng)絡安全。歐盟、俄羅斯、日本、澳大利亞也紛紛針對關鍵信息基礎設施進行立法保護。網(wǎng)絡安全的細胞早已擴散到經(jīng)濟與貿(mào)易、政治與外交、軍事與安全等各個關鍵領域。沒有關鍵信息基礎設施安全就沒有網(wǎng)絡安全，沒有網(wǎng)絡安全就沒有國家安全?！稐l例》的出臺，有利于進一步提升國家關鍵信息基礎設施保護水平，提高國家維護網(wǎng)絡安全的能力。

二、《條例》是新時期指導做好關鍵信息基礎設施保護工作的綱領性文件，進一步完善了國家網(wǎng)絡安全法規(guī)體系

黨中央、國務院高度重視關鍵信息基礎設施安全保護工作，習近平總書記明確提出：“必須深入研究，采取有效措施，切實做好國家關鍵信息基礎設施安全防護”、“要落實關鍵信息基礎設施防護責任，行業(yè)、企業(yè)作為關鍵信息基礎設施運營者（以下簡稱運營者）承擔主體防護責任，主管部門履行好監(jiān)管責任”。

2017年6月1日正式實施的《網(wǎng)絡安全法》用大量篇幅規(guī)定了關鍵信息基礎設施保護的相關內(nèi)容，突出了關鍵信息基礎設施在國家整體網(wǎng)絡安全制度體系中的重要地位?！稐l例》進一步細化完善了《網(wǎng)絡安全法》所確立的關鍵信息基礎設施安全保護制度，明確了網(wǎng)信部門、公安部門以及重要行業(yè)和領域主管、監(jiān)督管理部門（以下簡稱保護工作部門）的責任邊界和職責要求，明確了關鍵信息基礎設施認定原則和認定機制，細化了運營者的主體責任和義務，形成了關鍵信息基礎設施安全保護工作相關各方的責任體系。各相關主管部門已經(jīng)開展的涉及關鍵信息基礎設施安全保護的相關工作，需要在《條例》的要求框架下開展。重要行業(yè)和領域的主管部門還需要依據(jù)《條例》制定本行業(yè)、本領域的關鍵信息基礎設施安全保護和監(jiān)督管理相關工作要求。

總體來看，《條例》的出臺為關鍵信息基礎設施保護補強了法治之網(wǎng)，進一步明確了我國關鍵信息基礎設施安全保護工作相關各方的職責要求和法律責任，有助于構(gòu)建多方盡責、共同協(xié)作的關鍵信息基礎設施立體安全防護體系，更好地應對網(wǎng)絡安全風險挑戰(zhàn)。

三、《條例》構(gòu)建起新型關鍵信息基礎設施網(wǎng)絡安全工作體系

（一）突出統(tǒng)籌協(xié)調(diào)

《條例》第三條要求“在國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)下，國務院公安部門負責指導監(jiān)督關鍵信息基礎設施安全保護工作”。國務院電信主管部門、其他有關部門、省級人民政府有關部門依照本條例和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內(nèi)負責關鍵信息基礎設施安全保護和監(jiān)督管理工作。此外，還明確國家網(wǎng)信部門負責建立網(wǎng)絡安全信息共享機制（第二十三條）、對關鍵信息基礎設施進行網(wǎng)絡安全檢查檢測（第二十七條）、為關鍵信息基礎設施安全保護工作提供技術支持和協(xié)作（第二十九條）等。

鑒于網(wǎng)信部門的職責，《條例》的安排凸顯了三方面考慮：一是統(tǒng)籌好關鍵信息基礎設施建設與安全的關系；二是統(tǒng)籌好部門的工作；三是統(tǒng)籌好安全與創(chuàng)新的協(xié)同。

（二）明確部門權(quán)責

在關鍵信息基礎設施認定機制方面，《條例》第二條對關鍵信息基礎設施的定義和范圍延續(xù)了《網(wǎng)絡安全法》第三十一條的說法，并在第二章專門明確了關鍵信息基礎設施的認定機制?！稐l例》第九條明確由保護工作部門制定本行業(yè)、本領域的關鍵信息基礎設施認定規(guī)則，并從重要程度、危害程度和關聯(lián)性影響三方面給出了三條考慮因素。保護工作部門負責組織認定本行業(yè)、本領域的關鍵信息基礎設施，并將結(jié)果通報國務院公安部門（第十條）。如果關鍵信息基礎設施發(fā)生較大變化可能影響認定結(jié)果的，保護工作部門需組織重新認定，結(jié)果通知運營單位并通報國務院公安部門（第十一條）。

在行業(yè)監(jiān)管方面，《條例》明確各保護工作部門負責本行業(yè)、本領域的關鍵信息基礎設施安全保護相關工作，包括制定安全規(guī)劃（第二十二條）、建立健全監(jiān)測預警制度（第二十四條）、建立應急預案、組織應急演練（第二十五條）、檢查檢測（第二十六條）等。

（三）強化主體責任

《網(wǎng)絡安全法》第三十三條至第三十八條對運營者責任提出了相關要求，《條例》在此基礎上作了進一步補充完善，特別強調(diào)了運營者要落實主體責任（第四條），對運營者提出了更全面細化的責任要求。包括在網(wǎng)絡安全等級保護基礎上采取保護措施（第六條），安全保護措施與關鍵信息基礎設施三同步原則（第十二條），建立健全網(wǎng)絡安全保護制度和責任制、保障人財物投入、明確運營者的主要負責人負總責（第十三條），設置專門安全管理機構(gòu)并對相關人員進行安全背景審查（第十四條），明確專門安全管理機構(gòu)的八條具體職責（第十五條），保障專門管理機構(gòu)運行經(jīng)費、人員配備和參與網(wǎng)絡安全和信息化有關決策（第十六條），每年至少進行一次網(wǎng)絡安全檢測和風險評估（第十七條），遇到重大或特別重大的網(wǎng)絡安全事件和威脅時履行報告制度（第十八條），采購網(wǎng)絡產(chǎn)品和服務的原則和進行安全審查的情形（第十九條），要求并監(jiān)督產(chǎn)品和服務提供者履行保密義務和責任（第二十條），發(fā)生合并、分立、解散等情況的工作要求（第二十一條）。

上述規(guī)定細化明確了運營者的責任義務要求，從責任體系、制度建設、人員管理、能力建設、運行維護、供應鏈管理等方面指導運營者建立健全關鍵信息基礎設施安全保障體系。

（四）規(guī)范行為管控

關于禁止行為，《條例》明確要求任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動，不得危害關鍵信息基礎設施安全（第五條），未經(jīng)國家網(wǎng)信部門、國務院公安部門批準或者保護工作部門、運營者授權(quán)，任何個人和組織不得對關鍵信息基礎設施實施漏洞探測、滲透性測試等活動，對基礎電信網(wǎng)絡實施漏洞探測、滲透性測試等活動，應事先向國務院電信主管部門報告（第三十一條），公安機關和國家安全機關負責防范打擊相關違法犯罪活動（第三十三條）。

（五）加強生態(tài)建設

為加強國家關鍵信息基礎設施安全保護生態(tài)體系建設，《條例》還對關鍵信息基礎設施安全標準制定（第三十四條）、人才隊伍建設（第三十五條）、技術創(chuàng)新和產(chǎn)業(yè)發(fā)展（第三十六條）、服務機構(gòu)建設和管理（第三十七條）、軍民融合和軍地合作（第三十八條）等作了原則性要求，此外《條例》第三十二條還特別規(guī)定了能源、電信等關鍵信息基礎設施的優(yōu)先保障原則。

四、加強政企協(xié)同是落實《條例》的有效路徑

今年是“十四五”開局之年，是關鍵信息基礎設施安全建設規(guī)劃的關鍵年，立足新時期，面向新要求，各級政府和企業(yè)應當嚴格按照《條例》要求切實履行主體責任，建立健全內(nèi)部網(wǎng)絡安全制度體系，強化以能力為導向的安全防護體系建設。

一是要建立切實可操作的政企協(xié)同聯(lián)動機制。加強政府與企業(yè)之間網(wǎng)絡安全信息、資源的共享，推動政府安全基礎設施向網(wǎng)絡安全企業(yè)開放，鼓勵安全企業(yè)賦能關鍵信息基礎設施的安全建設，加快建立保護關鍵信息基礎設施網(wǎng)絡安全的政產(chǎn)學研用生態(tài)體系。

二是要以新一代網(wǎng)絡安全框架指導關鍵信息基礎設施網(wǎng)絡安全體系建設?！笆奈濉睍r期的網(wǎng)絡安全建設，每一個任務設置都要將管理、技術、運行等各方面的要素綜合考慮，避免割裂。推動各任務之間相互關聯(lián)、能力互補，打造具備體系化作戰(zhàn)能力的有機整體。

三是要強化網(wǎng)絡安全與信息化的融合發(fā)展。推動安全能力對信息化的全面覆蓋融合，實現(xiàn)安全規(guī)劃、建設、運營與信息化建設的全周期同步開展，使安全成為信息化業(yè)務的內(nèi)在屬性，實現(xiàn)安全體系對信息化系統(tǒng)的全覆蓋。伴隨信息化水平的持續(xù)升級，整體安全能力實現(xiàn)同步階梯式上升。

四是要建立安全運營體系與評估優(yōu)化體系。安全運營體系全面涵蓋安全團隊、安全運行流程、安全操作規(guī)程、安全運行支撐平臺和安全工具等。建立面向效果而非過程的評價體系，并以數(shù)據(jù)分析的方式對整改優(yōu)化提供支撐，以數(shù)據(jù)分析結(jié)果牽引新安全建設工作，持續(xù)提升網(wǎng)絡安全工作成熟度。

7 ]; A( q+ l0 p+ I6 i! v