近日,《关键信息基础设施安全保护条例》(以下简称《条例》)公布,自2021年9月1日起施行。这是我国首部专门针对关键信息基础设施安全保护工作的行政法规,为开展关键信息基础设施安全保护工作提供了基本遵循,对维护国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。

为何要加强关键信息基础设施安全保护?

《条例》的制定与出台是落实党中央决策部署,维护国家网络安全、经济社会发展和广大人民群众切身利益的迫切需要。

当前,网络空间军备竞赛愈演愈烈,多国关键信息基础设施和重要信息系统遭受网络攻击。世界主要国家和地区将关键基础设施立法作为网络安全立法中的重中之重,并将其作为国家网络安全战略的核心内容。

美国从克林顿政府时期开始加强关键信息基础设施防护,各届政府不断接力优化,逐渐演变形成一项综合战略。

2017年特朗普发布《增强联邦政府网络与关键性基础设施网络安全总统行政令》,2021年7月拜登签发《关于改善关键基础设施控制系统网络空间安全的国家安全备忘录》,均就加强关键基础设施的安全防护提出相关要求和措施。

俄罗斯为保护关键信息基础设施不仅颁布专门法律,同时在《刑法》和《刑事诉讼法》中增加“非法影响俄罗斯联邦关键信息基础设施”的章节,并配套修改了相关法律的个别条款。2021年7月普京签署了新版《俄罗斯联邦国家安全战略》,以加强关键信息基础设施保护。

欧盟在最新的《欧盟安全联盟战略》中将增强关键信息基础设施的保护水平和恢复能力作为未来五年网络安全领域的核心工作。

此外,英国、德国、澳大利亚、日本等国也出台了关键基础设施保护的相关立法和政策。

当前,我国关键信息基础设施面临的安全形势日趋严峻,亟待建立专门制度,明确各方责任,加快提升关键信息基础设施安全保护能力。

党的十八大以来,以习近平同志为核心的党中央高度重视网络安全工作,就关键信息基础设施安全防护工作作出了一系列重大决策和部署。习近平总书记指出,金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。

保障关键信息基础设施安全,制定实施《条例》,是适应新的形势任务发展的必然要求,是切实维护国家安全和根本利益的迫切需要,对于保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。

《条例》具体内容如何?

《条例》确立了我国关键信息基础设施安全保护的专门制度,为开展关键信息基础设施安全保护工作提供了基本遵循。

明确了关键信息基础设施的定义与认定

《条例》所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

虽然世界主要国家在关键信息基础设施范围的划分上略有差异(如表1所示),但大都是结合本国基本国情,将影响国民经济稳定运行和国家安全的重要基础设施纳入划分范围。

明确了关键信息基础设施保护的责任体系

《条例》第三条规定,在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

《条例》第四条规定,关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。

细化了关键信息基础设施运营者的责任义务

《条例》强调运营者依照本条例和网络安全法等有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。

运营者应当落实关键信息基础设施建设“三同步”要求;建立健全网络安全保护制度和责任制,保障人力、财力、物力投入;设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查;定期开展安全检测和风险评估,履行安全事件和威胁报告义务;落实网络安全审查要求;强化监测预警和信息共享等。

加强了保障和促进措施

《条例》规定,国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享;统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测,提出改进措施。

保护工作部门应当制定本行业、本领域关键信息基础设施安全规划,建立健全监测预警制度和网络安全事件应急预案,定期组织应急演练和网络安全检查检测。

国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要,及时提供技术支持和协助。

国家制定和完善关键信息基础设施安全标准,指导、规范关键信息基础设施安全保护工作。

此外,《条例》还在人才培养、技术创新和产业发展、网络安全服务机构建设与管理、表彰奖励等方面作了相应规定。

如何落实好《条例》要求?

充分认识关键信息基础设施安全保护工作的重要性

网信部门、公安机关、保护工作部门和其他有关部门及其工作人员要提高认识,落实好《网络安全法》和《条例》等相关法律法规,履行好关键信息基础设施安全保护监督管理和主体责任。

进一步完善标准规范体系

针对《条例》实施,细化实施细则和相关指导意见,进一步完善配套标准规范体系,为关键信息基础设施的识别认定、安全防护、检查评估、监测预警、应急处置、考核评价等全生命周期安全提供方法规范和技术支撑。

全国信息安全标准化技术委员会推动研制了《信息安全技术 关键信息基础设施网络安全保护基本要求》《信息安全技术 关键信息基础设施安全控制措施》《信息安全技术 关键信息基础设施安全检查评估指南》等9项重点国家标准,为关键信息基础设施保护体系和能力建设提供了重要的技术支撑。

加强面向关键信息基础设施全生命周期的安全保护体系和能力建设

加强前沿网络安全技术研究,强化行业关键信息基础设施安全防护检查与风险评估,构建完善应急保障体系,建立态势感知、应急指挥等技术支撑手段。

✿本文作者姜伟系中国网络空间研究院网络安全研究所副所长(主持工作)、研究员。

声明:本文来自网络传播杂志,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。