用科技服務(wù)社會,做中國一流的系統(tǒng)集成企業(yè)
全國咨詢熱線:0396-3620666

專家解讀|《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》的內(nèi)容精要

發(fā)布時間:2021-12-06 15:32:05 人氣:7745

2017年6月1日施行的《網(wǎng)絡(luò)安全法》首次正式明確了關(guān)鍵信息基礎(chǔ)設(shè)施的概念并提出了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的原則要求。2017年7月10日,國家互聯(lián)網(wǎng)信息辦公室向社會公開發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》。經(jīng)廣泛征求意見,國家互聯(lián)網(wǎng)信息辦公室對該征求意見稿進行了系統(tǒng)修訂和完善,國務(wù)院于2021年8月17日正式發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(下稱《條例》)。我們對《條例》的基本定位、重要意義與基本架構(gòu),《條例》體現(xiàn)的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的基本原則等進行了解讀,并給出了關(guān)于《條例》貫徹實施的四點建議。

一、《條例》的基本定位、重要意義與基本架構(gòu)

《條例》是在《網(wǎng)絡(luò)安全法》框架下全面規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的基礎(chǔ)性法規(guī),是加強網(wǎng)絡(luò)安全領(lǐng)域立法、完善網(wǎng)絡(luò)安全保護法律法規(guī)體系的重要舉措,是依法治理關(guān)鍵信息基礎(chǔ)設(shè)施的綱領(lǐng)性文件之一,是化解關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險的法律法規(guī)重器和重要里程碑?!稐l例》的出臺為我國科學(xué)、有效開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作提供了重要的基礎(chǔ)規(guī)范與法律法規(guī)支撐。作為《網(wǎng)絡(luò)安全法》的重要配套法規(guī),《條例》對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的適用范圍、關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定、運營者責(zé)任義務(wù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護保障與促進以及攸關(guān)各方法律責(zé)任等提出了更為具體、更具操作性的基本要求。

《條例》以六章共計五十一條的篇幅,對于關(guān)鍵信息基礎(chǔ)設(shè)施保護一系列相關(guān)要素作出具體規(guī)定,涵蓋:總則(第一至七條)、關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定(第八至十一條)、運營者責(zé)任義務(wù)(第十二至二十一條)、保障和促進(第二十二至三十八條)、法律責(zé)任(第三十九至四十九條)和附則(第五十至五十一條)。《條例》詳細(xì)闡明了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍及認(rèn)定、運營者責(zé)任義務(wù),對政府機構(gòu)、行業(yè)主管及監(jiān)管部門,以及公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施運營者的責(zé)權(quán)利進行了規(guī)定,并對建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系、信息通報制度以及網(wǎng)絡(luò)安全人才培養(yǎng)等提出了要求,還就違反該條例可能會受到的行政處罰、判處罰金甚至是承擔(dān)刑事法律責(zé)任作出了明確規(guī)定。

二、《條例》體現(xiàn)的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護基本原則

第一,遵循了以《網(wǎng)絡(luò)安全法》為上位法的基本原則,體現(xiàn)了該法的自然延伸和具體細(xì)化。《網(wǎng)絡(luò)安全法》明確了我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和監(jiān)督管理要求,該法第三章第二節(jié)“關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全”中對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的基本要求、部門分工以及主體責(zé)任等問題作了基本法層面的總體制度安排和原則性規(guī)范?!稐l例》是該法在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護領(lǐng)域的自然延伸和表現(xiàn),同時將我國近年在該領(lǐng)域一些成熟的好做法制度化,并對未來可能的制度創(chuàng)新作了原則性規(guī)定,為后續(xù)發(fā)展預(yù)留了必要的、足夠的制度空間。

第二,給出了關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)范定義,體現(xiàn)了其“大”安全保護原則?!稐l例》在總則部分給出了關(guān)鍵信息基礎(chǔ)設(shè)施的定義,該定義聚焦關(guān)鍵信息基礎(chǔ)設(shè)施范圍認(rèn)定中的“非窮盡列舉重要行業(yè)和領(lǐng)域+功能保障+危害后果”因素,明確了設(shè)施的范圍及其性質(zhì)評判的核心標(biāo)準(zhǔn),針對重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)面臨的威脅和風(fēng)險使用的“一旦遭到攻擊、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益”這種描述,表明關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護要從物理安全、功能安全以及信息安全等方面綜合考慮,彰顯了我國對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護核心價值的深刻認(rèn)知。

第三,堅持了統(tǒng)籌協(xié)調(diào)、共同治理的原則。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護需要綜合協(xié)調(diào)、分工負(fù)責(zé)、依法保護。為此,《條例》規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào),由國務(wù)院公安部門負(fù)責(zé)指導(dǎo)監(jiān)督,國務(wù)院電信主管部門和其他有關(guān)部門、省級人民政府有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護和監(jiān)督管理,公安、國家安全、保密行政管理、密碼管理等有關(guān)部門依法實施相關(guān)的網(wǎng)絡(luò)安全檢查工作等。這種“1+X”的安全監(jiān)管體制設(shè)計,可形成攸關(guān)各方責(zé)權(quán)清晰、齊抓共管、共同保護關(guān)鍵信息基礎(chǔ)設(shè)施安全的良好局面,高度契合我國當(dāng)前關(guān)鍵信息基礎(chǔ)設(shè)施與現(xiàn)實社會深度融合的特點和保護、監(jiān)管的實際需要。

第四,明確了運營者主體責(zé)任的原則。《條例》單獨以整章篇幅,明確要求強化落實關(guān)鍵信息基礎(chǔ)設(shè)施運營者主體責(zé)任,主要包括:建立健全網(wǎng)絡(luò)安全保護制度和責(zé)任制,保障人力、財力和物力投入;運營者主要負(fù)責(zé)人對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護負(fù)總責(zé);運營者應(yīng)當(dāng)設(shè)立專門安全管理機構(gòu)并負(fù)責(zé)實施相關(guān)人員安全背景審查;專門安全管理機構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作;運營者負(fù)責(zé)自行或委托機構(gòu)實施每年不低于一次的網(wǎng)絡(luò)安全檢測和風(fēng)險評估,及時整改問題并向保護工作部門報送情況;運營者應(yīng)就重大網(wǎng)絡(luò)安全事件或潛在重大安全威脅向保護工作部門或公安機關(guān)報告;運營者應(yīng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)、簽訂安全保密協(xié)議等。

第五,強調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施安全與信息化發(fā)展并重的原則。習(xí)近平總書記指出:“安全是發(fā)展的前提,發(fā)展是安全的保障,安全和發(fā)展要同步推進?!本唧w到關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域,其安全和信息化是一體之兩翼、驅(qū)動之雙輪,必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施。為此,《條例》明確提出,安全保護措施應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用。因此,既要大力推進關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè),又要建立健全其安全保護體系、提升其安全保護能力和水平,力求做到“雙輪驅(qū)動、兩翼齊飛”。

第六,突出了關(guān)鍵信息基礎(chǔ)設(shè)施重點保護的原則?!毒W(wǎng)絡(luò)安全法》重點強調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全保護,《條例》繼承并發(fā)展了該法的原則精神和相關(guān)規(guī)定,進一步強調(diào)并細(xì)化了在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,對關(guān)鍵信息基礎(chǔ)設(shè)施實行重點保護,明確關(guān)鍵信息基礎(chǔ)設(shè)施的運營者的安全保護主體責(zé)任義務(wù),并配以國家安全審查、檢查檢測等法律行政措施,確保關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全。其中,特別強調(diào)了能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運行的優(yōu)先保障權(quán)利,并要求能源、電信行業(yè)應(yīng)采取措施為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全運行提供重點保障。

三、關(guān)于《條例》貫徹實施的四點建議

第一,要對標(biāo)《條例》,做好關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定工作。《網(wǎng)絡(luò)安全法》對關(guān)鍵信息基礎(chǔ)設(shè)施運營者的網(wǎng)絡(luò)安全保護義務(wù)設(shè)定了明確的法律要求,但并未就關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定給出明確的認(rèn)定機構(gòu)和認(rèn)定標(biāo)準(zhǔn)?!稐l例》明確關(guān)鍵信息基礎(chǔ)設(shè)施需由所涉重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門來負(fù)責(zé)其安全保護工作及認(rèn)定規(guī)則制定。認(rèn)定規(guī)則需要考慮的主要因素是網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對于本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度、一旦遭到破壞后可能帶來的危害程度及對其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。因此,關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定權(quán)限在于該行業(yè)和領(lǐng)域的保護工作部門,保護工作部門將認(rèn)定結(jié)果通知運營者,并向國務(wù)院公安部門通報。

在《條例》貫徹實施中,可結(jié)合關(guān)鍵信息基礎(chǔ)設(shè)施確定及其網(wǎng)絡(luò)安全檢查實踐,重點考慮“關(guān)鍵業(yè)務(wù)”“支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng)”“根據(jù)關(guān)鍵業(yè)務(wù)對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度,以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事件后可能造成的損失”等因素。比如“電信與互聯(lián)網(wǎng)”領(lǐng)域,關(guān)鍵業(yè)務(wù)可包括DNS、DC/云服務(wù)、語音/數(shù)據(jù)/互聯(lián)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)及樞紐等業(yè)務(wù)。對于認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施的量化標(biāo)準(zhǔn),可根據(jù)網(wǎng)站、平臺和生產(chǎn)業(yè)務(wù)等不同具體類型確定相應(yīng)的量化標(biāo)準(zhǔn)。

第二,要堅持從法律法規(guī)、政策、標(biāo)準(zhǔn)、技術(shù)、實踐等多維度開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作?!稐l例》從法律法規(guī)層面對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作進行了原則規(guī)定,在實踐過程中,要充分考慮我國國情,做好與已頒布或正在制定法律法規(guī)、標(biāo)準(zhǔn)規(guī)范等的有效配套和無縫銜接工作。具體涉及的主要法律包括《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全法》等,涉及的規(guī)章制度包括《網(wǎng)絡(luò)安全審查辦法》等,涉及的標(biāo)準(zhǔn)規(guī)范包括全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會組織制定的《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》等。同時,要進一步重視關(guān)鍵信息基礎(chǔ)設(shè)施安全威脅信息共享、監(jiān)測預(yù)警、應(yīng)急處置等協(xié)同機制作用的發(fā)揮,在國家網(wǎng)絡(luò)安全法律、標(biāo)準(zhǔn)的統(tǒng)一框架下持續(xù)完善。

第三,要運用系統(tǒng)思維,科學(xué)、全面、準(zhǔn)確地把握關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的重點?!稐l例》給出的關(guān)鍵信息基礎(chǔ)設(shè)施保護制度框架是一個統(tǒng)一的整體,在貫徹實施過程中,要把握各類主體全面責(zé)任、全流程動態(tài)保護和監(jiān)管、核心重點保護的辯證統(tǒng)一。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護本身涉及規(guī)劃、建設(shè)、使用、運維乃至廢棄等全生命周期,國家、政府、監(jiān)管、行業(yè)主管、運營者等各類主體在其安全保護方面責(zé)權(quán)不同,但共同維護安全的目標(biāo)一致,因此需要堅持統(tǒng)籌協(xié)調(diào)、頂層設(shè)計、系統(tǒng)防護的整體思維,切實保障關(guān)鍵信息基礎(chǔ)設(shè)施安全。

第四,要高度重視和大力加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的人才培養(yǎng)工作。習(xí)近平總書記明確指出,“網(wǎng)絡(luò)空間的競爭,歸根結(jié)底是人才競爭”。當(dāng)前,國際信息技術(shù)發(fā)展日新月異,我國也處于數(shù)字化轉(zhuǎn)型升級關(guān)鍵期,各種新場景、新問題、新技術(shù)、新方法層出不窮,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護所面臨的任務(wù)越來越繁重、挑戰(zhàn)越來越艱巨。為此《條例》專門要求,國家將采取措施,鼓勵網(wǎng)絡(luò)安全專門人才從事關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作,并將運營者的安全管理人員、安全技術(shù)人員培訓(xùn)納入國家繼續(xù)教育體系,專門安全管理機構(gòu)要履行組織網(wǎng)絡(luò)安全教育、培訓(xùn)職責(zé)。在實踐中,需要協(xié)調(diào)動員全社會相關(guān)企業(yè)、行業(yè)組織、高校和科研院所等協(xié)作配合,從在職培訓(xùn)和學(xué)歷教育等多個層次,共同建立適應(yīng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護人才需求特點的隊伍建設(shè)工作體系。

目前適逢我國新型基礎(chǔ)設(shè)施建設(shè)、數(shù)字經(jīng)濟轉(zhuǎn)型進入發(fā)展勢頭如火如荼、保障體系亟需完善的重要戰(zhàn)略機遇期,《條例》的公布實施,及時開啟了我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護進程的新篇章,必將在我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護以及國家安全、國計民生、公共利益等保障方面發(fā)揮不可或缺、不可替代的積極影響和重要作用。(作者:閆懷志,北京理工大學(xué)網(wǎng)絡(luò)攻防研究所所長


在線客服
聯(lián)系方式

熱線電話

0396-3620777

上班時間

周一到周五

公司電話

0396-3620666

二維碼