用科技服務(wù)社會,做中國一流的系統(tǒng)集成企業(yè)
全國咨詢熱線:0396-3620666

專家解讀|深入學(xué)習(xí)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》

發(fā)布時間:2021-12-06 15:28:36 人氣:4557

日前,國務(wù)院正式公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡稱《條例》)。《條例》對一系列重要制度、機(jī)制加以完善和固化,將推動開啟我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的新格局,也將為產(chǎn)業(yè)發(fā)展指明方向。

一、《條例》以“兩個統(tǒng)籌”奠定關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)基礎(chǔ)

整體來看,《條例》內(nèi)容集中體現(xiàn)了“兩個統(tǒng)籌”的特點。一是注重立法內(nèi)容統(tǒng)籌。與此前的征求意見稿相比,《條例》大幅減少了有關(guān)授權(quán)立制(規(guī)定、標(biāo)準(zhǔn))的內(nèi)容,對相關(guān)保護(hù)工作要求盡可能在條文中明確、不再過多以開放的方式留待未來解決,從而能夠大大減少因立制周期長帶來的效率延誤。二是注重權(quán)責(zé)劃分統(tǒng)籌。《條例》立足關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作不同主體的核心角色,進(jìn)一步明確了各主體擔(dān)負(fù)的權(quán)責(zé)、明確了各主體間的工作協(xié)同機(jī)制。這無疑有利于減少因工作邊界不清等帶來的效率延誤,也可充分調(diào)動各方面在保護(hù)工作中的主體意識和主動性。關(guān)鍵信息基礎(chǔ)設(shè)施安全是網(wǎng)絡(luò)安全的重要一環(huán),《條例》通過“兩個統(tǒng)籌”舉措的提升,為我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作奠定良好的效率基礎(chǔ)。

二、《條例》以“四個基本問題”明確關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系

從內(nèi)容來看,關(guān)鍵信息基礎(chǔ)設(shè)施的范圍界定、管理體系、檢查檢測機(jī)制和責(zé)任機(jī)制是《條例》重點明確的加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的四個基本問題。

(一)關(guān)鍵信息基礎(chǔ)設(shè)施的范圍界定

《條例》采用了“范圍列舉+授權(quán)認(rèn)定”的方法,對關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵和外延作出規(guī)定。

在范圍列舉方面。《條例》第二條將關(guān)鍵信息基礎(chǔ)設(shè)施定位于“重要網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)等”,并以列舉方式明確了其行業(yè)屬性和影響屬性兩大界定標(biāo)準(zhǔn)。一是“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等”重要行業(yè)和領(lǐng)域;二是“一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益”。

在授權(quán)認(rèn)定方面?!稐l例》以專章(第二章 關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定)明確了授權(quán)認(rèn)定的要點:一是認(rèn)定主體,即“關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門”(以下稱保護(hù)工作部門),主要包括了《條例》第二條所述重要行業(yè)和領(lǐng)域的主管或監(jiān)管部門;二是認(rèn)定依據(jù),即“關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則”,《條例》第九條還明確了制定“認(rèn)定規(guī)則”時應(yīng)依據(jù)的“重要程度”“危害程度”和“關(guān)聯(lián)影響”三個主要考量因素。此外,《條例》還對關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定流程、報備主體、變更認(rèn)定作出了規(guī)定。

(二)關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)管體系

《條例》在《網(wǎng)絡(luò)安全法》所確定的管理框架內(nèi),對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的管理體系進(jìn)行了細(xì)化,主要包括三個方面:

一是確立了管理分類模式。《條例》將管理部門分為三類,即:統(tǒng)籌協(xié)調(diào)部門(國家網(wǎng)信部門)、指導(dǎo)監(jiān)督部門(國務(wù)院公安部門)、保護(hù)工作部門(重要行業(yè)和領(lǐng)域的主管、監(jiān)管部門)。各類管理部門分工不同、又協(xié)同配合,缺一不可。

二是確立了管理分層模式?!稐l例》主要規(guī)定了屬地、行業(yè)兩種管理分層。從屬地分層模式來看,《條例》第三條明確了“省級人民政府有關(guān)部門”是監(jiān)管和保護(hù)工作在地方的實施主體,相比之前征求意見稿中的“縣級以上”提升了層級,突出了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)實施的統(tǒng)籌性要求。從行業(yè)分層模式來看,《條例》第三十二條強(qiáng)調(diào)“優(yōu)先保障能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行”,并明確能源、電信行業(yè)“為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行提供重點保障”,可見該兩類行業(yè)在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中,應(yīng)發(fā)揮更加基礎(chǔ)的保障作用。

三是明確了重點管理內(nèi)容。在確立監(jiān)管分類分層模式基礎(chǔ)上,《條例》對主要監(jiān)管部門的管理內(nèi)容也做了進(jìn)一步明確。如:國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)相關(guān)部門建立網(wǎng)絡(luò)安全信息共享機(jī)制、及網(wǎng)絡(luò)安全檢查檢測等;國務(wù)院公安部門負(fù)責(zé)開展關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定相關(guān)備案、打擊相關(guān)違法犯罪活動等;各保護(hù)部門負(fù)責(zé)制定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃等。通過對重點管理內(nèi)容的明確,有助于增進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、以及相關(guān)產(chǎn)學(xué)研用等社會各界對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的知悉度,推動形成共識與合力,保障保護(hù)工作的推進(jìn)實施。

(三)關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查檢測機(jī)制

《條例》注重對落地實施情況的監(jiān)督手段建設(shè),設(shè)置了專門的檢查檢測機(jī)制。

《條例》規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查檢測機(jī)制包括三類。一是運(yùn)營檢測。該類檢測的執(zhí)行主體是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者,具體開展形式是“自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)”進(jìn)行。運(yùn)營檢測應(yīng)定期開展“每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估”,并需“按照保護(hù)工作部門要求報送情況”。二是保護(hù)檢查檢測。該類檢查檢測由保護(hù)工作部門組織開展,目的是通過檢查檢測對運(yùn)營者予以指導(dǎo)監(jiān)督,及時整改安全隱患、完善安全措施。三是監(jiān)督檢查檢測。該類檢查檢測由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào),國務(wù)院公安部門、保護(hù)工作部門開展,通過檢查提出改進(jìn)措施意見。

這三類檢測檢查工作由不同主體負(fù)責(zé),分別立足于運(yùn)行、保護(hù)、監(jiān)督的不同要求,共同構(gòu)筑關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的監(jiān)測防線。

(四)關(guān)鍵信息基礎(chǔ)設(shè)施安全責(zé)任機(jī)制

《條例》對于責(zé)任機(jī)制的規(guī)定主要包括三個方面。

一是突出主體責(zé)任?!稐l例》首先對“主體責(zé)任”做出界定,即第四條明確的“強(qiáng)化和落實關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者主體責(zé)任”,這充分反映了運(yùn)營者在整個保護(hù)工作中,因其肩負(fù)重要職責(zé)而具有的不可替代作用。根據(jù)《條例》第三章“運(yùn)營者責(zé)任義務(wù)”,我們可以將運(yùn)營者肩負(fù)的重要職責(zé)歸納為:建設(shè)管理、安全審查、事件報告、檢查配合等4類13項。對于這些職責(zé)和義務(wù),《條例》在第五章“法律責(zé)任”中,也做出了逐條對應(yīng)的責(zé)任規(guī)定。

二是健全責(zé)任范圍。《條例》在強(qiáng)化運(yùn)營者主體責(zé)任的基礎(chǔ)上,還明確了監(jiān)管責(zé)任、保護(hù)責(zé)任,使責(zé)任機(jī)制覆蓋了保護(hù)工作的全部主體和全部主要職責(zé)。對于監(jiān)管部門的監(jiān)督管理行為、保護(hù)部門的保護(hù)指導(dǎo)行為,以及其他個人或組織實施的惡意破壞行為等,都明確規(guī)定了相應(yīng)的法律責(zé)任,從而形成對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的全方位責(zé)任保障。

三是明確責(zé)任方式?!稐l例》規(guī)定的責(zé)任方式,涵蓋了行政責(zé)任、民事責(zé)任和刑事責(zé)任三大類別。其中,對于大部分運(yùn)營者責(zé)任適用行政責(zé)任的追究方式,包括責(zé)令改正、警告和罰款等;對于監(jiān)管人員的違法行為,主要適用行政或刑事責(zé)任;對于從事破壞行為的其他個人,除了適用相應(yīng)的拘留、罰款等行政責(zé)任外,還對該人員的網(wǎng)絡(luò)安全從業(yè)資格做出限制,與《條例》規(guī)定的相關(guān)崗位人員安全背景審查相銜接。

三、支撐構(gòu)建“三位一體”的關(guān)鍵信息基礎(chǔ)設(shè)施安全產(chǎn)業(yè)供給體系

《條例》進(jìn)一步完善了我國“十四五”及今后一個時期網(wǎng)絡(luò)安全保障體系建設(shè)的要求,也必將成為新階段實現(xiàn)網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展的重要指引之一。筆者認(rèn)為,將《條例》放在供給側(cè)結(jié)構(gòu)性改革這一背景下理解,就是要強(qiáng)化網(wǎng)絡(luò)安全產(chǎn)業(yè)供給能力,集聚業(yè)界和各方的共同努力,秉持網(wǎng)絡(luò)安全新理念,為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)打造涵蓋產(chǎn)品、技術(shù)和服務(wù)的“三位一體”網(wǎng)絡(luò)安全產(chǎn)業(yè)供給體系。

一是“可信任”的技術(shù)供給。在數(shù)字化環(huán)境中強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),需要緊密依靠技術(shù)手段,而關(guān)鍵信息基礎(chǔ)設(shè)施對國家網(wǎng)絡(luò)安全乃至國家安全的重要性,則直接決定了技術(shù)必須應(yīng)具備可信任的屬性。這種信任不僅包括能力可信任、訪問可信任,也包括供應(yīng)鏈可信任。因此,落實《條例》要求強(qiáng)化技術(shù)供給,需要在遵循可信任理念的基礎(chǔ)上,大力發(fā)展相關(guān)網(wǎng)絡(luò)安全技術(shù),包括但不限于:關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險感知和識別技術(shù)、關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)漏洞檢測技術(shù)、關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)標(biāo)識和管理技術(shù)、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)威脅溯源和取證技術(shù)等等。

二是“全場景”的產(chǎn)品供給?!肮び破涫卤叵壤淦鳌?,從《條例》界定的重要領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施情況來看,其運(yùn)行狀態(tài)各異、防護(hù)需求更是千差萬別。因此,對于網(wǎng)絡(luò)安全產(chǎn)品供給的最基本要求就是全領(lǐng)域、全要素、全類型的產(chǎn)品覆蓋。需要盡快建立健全關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全產(chǎn)品體系,重要產(chǎn)品包括但不限于:關(guān)鍵信息基礎(chǔ)設(shè)施安全評估產(chǎn)品、安全檢測產(chǎn)品、安全增強(qiáng)防護(hù)產(chǎn)品、安全運(yùn)行監(jiān)測平臺等等。

三是“實戰(zhàn)化”的服務(wù)供給。服務(wù)比重逐步提升是網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的趨勢和規(guī)律,而信息技術(shù)與關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)應(yīng)用的深度融合則決定了網(wǎng)絡(luò)安全服務(wù)的最終衡量指標(biāo)必然是實戰(zhàn)化。即,關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全服務(wù)應(yīng)當(dāng)滿足以戰(zhàn)領(lǐng)建、按需調(diào)度、高效攻防等基本特征。從關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)所需的網(wǎng)絡(luò)安全服務(wù)體系來看,關(guān)鍵服務(wù)類型包括但不限于:關(guān)鍵信息基礎(chǔ)設(shè)施安全應(yīng)急處置服務(wù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全演練服務(wù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全教育培訓(xùn)服務(wù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全一體化運(yùn)營服務(wù)等等。

《條例》的公布及施行,是我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的一個重要里程碑,其不僅明確細(xì)化了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作體系,更將成為拉動網(wǎng)絡(luò)安全產(chǎn)業(yè)邁向高質(zhì)量發(fā)展的重要引擎。作為網(wǎng)絡(luò)安全行業(yè)的一分子,我們將繼續(xù)秉承“專攻術(shù)業(yè),成就所托”的宗旨,務(wù)實創(chuàng)新,為加強(qiáng)國家網(wǎng)絡(luò)安全保障體系和能力建設(shè)作出更大貢獻(xiàn)。(作者:沈繼業(yè),綠盟科技集團(tuán)股份有限公司)


在線客服
聯(lián)系方式

熱線電話

0396-3620777

上班時間

周一到周五

公司電話

0396-3620666

二維碼