杜霖 田慧蓉:加快推进我国关键信息基础设施安全保护工作 作者:杜霖 田慧蓉 中国信息通信研究院

金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。为落实《网络安全法》要求,适应国家网络安全工作新形势新任务,《关键信息基础设施安全保护条例(征求意见稿)》(以下简称《条例》)于2017711日发布。《条例》立足开放环境维护网络安全,注重防范高度互联环境下的网络安全风险,坚持以正确的网络安全观为指导,坚持安全与发展并重,突出网络安全的整体性、动态性,强调部门协作和信息共享,为我国开展关键信息基础设施安全保护工作提供了有力指导,揭开了我国关键信息基础设施安全保护立法进程的新篇章。

一、《条例》立足于《网络安全法》,以体系化思路明确自身定位

网络安全法》将关键信息基础设施安全保护制度确立为国家网络空间基础制度,并明确了关键信息基础设施安全保护办法的立法需求,对《条例》的出台具有重要推动作用。《条例》聚焦于建立关键信息基础设施安全保护特别制度,对上承接《网络安全法》,在上位法确定的范围内明确有关部门和单位的责任义务并将上位法对关键信息基础设施提出的安全保护要求落地,对下统筹协调行业主管监管部门、安全职能部门和地方政府共同发挥作用,建立顶层设计、统分结合,动态监测、整体防护的安全保护机制。由此可见,《条例》定位明确,以体系化的思路处理与其他法律法规的制度衔接,是承上启下的专门法。

二、《条例》进一步明确了关键信息基础设施范围和识别认定机制

明确关键信息基础设施的定义范围是开展关键信息基础设施保护的基础,《网络安全法》首次在法律高度提出关键信息基础设施的概念并明确关键信息基础设施涉及的主要行业和领域,为我国明确关键信息基础设施的范围提供了法律依据。

在《网络安全法》的基础上,《条例》通过定性描述和分类列举结合的方式明确了4类网络设施和信息系统应纳入关键信息基础设施范围的相关单位。一是政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公共事业等行业领域的单位;二是电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的运营单位;三是国防科工、大型装备、化工、食品药品等行业领域科研生产单位;四是广播电台、电视台、通讯社等新闻单位。同时,《条例》也明确了关键信息基础设施的识别认定机制,国家网信部门会同工信、公安等部门制定识别指南,指导行业部门开展本行业关键信息基础设施的识别认定工作。

、《条例》确立了责权清晰、统筹协作的管理体系

形成统筹协作的管理体系是提升关键信息基础设施安全保护能力的前提,《网络安全法》明确了关键信息基础设施安全保护中各方实体的责任义务,强调统筹协作是关键信息基础设施安全保护制度的核心。

在上位法确定的范围内,《条例》进一步明确了有关部门的责任义务。其中,国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作;国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督工作;国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作;县级以上地方政府有关部门按照国家有关规定开展关键信息基础设施安全保护,责权清晰的管理体系已初步形成。

四、《条例》规定了设施运营者主体责任,强调产品和服务安全

运营者按照相关法律法规履行主体责任是关键信息基础设施保护工作有效开展的重要保障。《条例》分别从设施建设、人员机构等多个方面明确了设施运营者的安全主体责任,一是强调设施建设和安全保护措施“三同步”;二是在等级保护一般规定的基础上,提出增强型安全责任义务;三是强调运营单位主要负责人、网络安全管理负责人职责;四是提出安全关键岗位和安全监测评估等专业服务机构管理要求。

同时,《条例》也关注关键信息基础设施的供应链安全,提出了针对网络产品和服务的安全审查,关键信息基础设施提供商运营者采购网络产品和服务,可能影响国家安全的,应当按照网络产品和服务安全审查办法的要求,通过网络安全审查,并与提供者签订安全保密协议。

五、《条例》构建了全生命周期的关键信息基础设施安全保护机制

关键信息基础设施保护涉及不同行业、领域,统筹部门应当构建多边的协调机制,建立详细的规章制度,健全制度规范体系。《网络安全法》也提出需要加强国家的网络安全监测预警和应急制度建设,对关键信息基础设施进行抽查检测,提高网络安全保障能力。

《条例》为关键信息基础设施安全保护搭建了可落地的制度机制框架,一是明确国家网信部门统筹建立监测预警体系和通报制度,组织指导开展网络安全信息汇总、分析研判和通报工作,国家行业主管监管部门加强行业监测预警和通报制度建设并落实。二是建立健全关键信息基础设施应急协调工作机制,统筹协调有关部门、运营单位以及有关研究机构、网络安全服务机构建立关键信息基础设施网络安全信息共享机制。三是规定国家行业主管部门或监管部门应当定期对本行业、本领域关键信息基础设施的安全风险进行抽查检测,国家网信部门统筹协调有关部门开展抽查检测工作,避免交叉重复监测评估。

《条例》的发布是继《网络安全法》后我国在关键信息基础设施保护方面的又一里程碑事件,对推动关键信息基础设施网络安全保护工作顺利开展具有重要意义。接下来,我国应有效运用这一强有力的法律依据,加快构建动态、协作的关键信息基础设施安全保护体系。


2017-08-23 16:19
来源:中国信息安全杂志(2017.8)
热门推荐更多
热点新闻更多