用科技服務(wù)社會(huì ),做中國一流的系統集成企業(yè)
全國咨詢(xún)熱線(xiàn):0396-3620666

專(zhuān)家解讀|《關(guān)鍵信息基礎設施安全保護條例》的內容精要

發(fā)布時(shí)間:2021-12-06 15:32:05 人氣:2656

2017年6月1日施行的《網(wǎng)絡(luò )安全法》首次正式明確了關(guān)鍵信息基礎設施的概念并提出了關(guān)鍵信息基礎設施安全保護的原則要求。2017年7月10日,國家互聯(lián)網(wǎng)信息辦公室向社會(huì )公開(kāi)發(fā)布《關(guān)鍵信息基礎設施安全保護條例(征求意見(jiàn)稿)》。經(jīng)廣泛征求意見(jiàn),國家互聯(lián)網(wǎng)信息辦公室對該征求意見(jiàn)稿進(jìn)行了系統修訂和完善,國務(wù)院于2021年8月17日正式發(fā)布《關(guān)鍵信息基礎設施安全保護條例》(下稱(chēng)《條例》)。我們對《條例》的基本定位、重要意義與基本架構,《條例》體現的關(guān)鍵信息基礎設施安全保護的基本原則等進(jìn)行了解讀,并給出了關(guān)于《條例》貫徹實(shí)施的四點(diǎn)建議。

一、《條例》的基本定位、重要意義與基本架構

《條例》是在《網(wǎng)絡(luò )安全法》框架下全面規范關(guān)鍵信息基礎設施安全保護的基礎性法規,是加強網(wǎng)絡(luò )安全領(lǐng)域立法、完善網(wǎng)絡(luò )安全保護法律法規體系的重要舉措,是依法治理關(guān)鍵信息基礎設施的綱領(lǐng)性文件之一,是化解關(guān)鍵信息基礎設施安全風(fēng)險的法律法規重器和重要里程碑?!稐l例》的出臺為我國科學(xué)、有效開(kāi)展關(guān)鍵信息基礎設施安全保護工作提供了重要的基礎規范與法律法規支撐。作為《網(wǎng)絡(luò )安全法》的重要配套法規,《條例》對關(guān)鍵信息基礎設施安全保護的適用范圍、關(guān)鍵信息基礎設施認定、運營(yíng)者責任義務(wù)、關(guān)鍵信息基礎設施安全保護保障與促進(jìn)以及攸關(guān)各方法律責任等提出了更為具體、更具操作性的基本要求。

《條例》以六章共計五十一條的篇幅,對于關(guān)鍵信息基礎設施保護一系列相關(guān)要素作出具體規定,涵蓋:總則(第一至七條)、關(guān)鍵信息基礎設施認定(第八至十一條)、運營(yíng)者責任義務(wù)(第十二至二十一條)、保障和促進(jìn)(第二十二至三十八條)、法律責任(第三十九至四十九條)和附則(第五十至五十一條)?!稐l例》詳細闡明了關(guān)鍵信息基礎設施的范圍及認定、運營(yíng)者責任義務(wù),對政府機構、行業(yè)主管及監管部門(mén),以及公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的關(guān)鍵信息基礎設施運營(yíng)者的責權利進(jìn)行了規定,并對建立關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全監測預警體系、信息通報制度以及網(wǎng)絡(luò )安全人才培養等提出了要求,還就違反該條例可能會(huì )受到的行政處罰、判處罰金甚至是承擔刑事法律責任作出了明確規定。

二、《條例》體現的關(guān)鍵信息基礎設施安全保護基本原則

第一,遵循了以《網(wǎng)絡(luò )安全法》為上位法的基本原則,體現了該法的自然延伸和具體細化?!毒W(wǎng)絡(luò )安全法》明確了我國關(guān)鍵信息基礎設施安全保護和監督管理要求,該法第三章第二節“關(guān)鍵信息基礎設施的運行安全”中對關(guān)鍵信息基礎設施安全保護的基本要求、部門(mén)分工以及主體責任等問(wèn)題作了基本法層面的總體制度安排和原則性規范?!稐l例》是該法在關(guān)鍵信息基礎設施安全保護領(lǐng)域的自然延伸和表現,同時(shí)將我國近年在該領(lǐng)域一些成熟的好做法制度化,并對未來(lái)可能的制度創(chuàng )新作了原則性規定,為后續發(fā)展預留了必要的、足夠的制度空間。

第二,給出了關(guān)鍵信息基礎設施的規范定義,體現了其“大”安全保護原則?!稐l例》在總則部分給出了關(guān)鍵信息基礎設施的定義,該定義聚焦關(guān)鍵信息基礎設施范圍認定中的“非窮盡列舉重要行業(yè)和領(lǐng)域+功能保障+危害后果”因素,明確了設施的范圍及其性質(zhì)評判的核心標準,針對重要網(wǎng)絡(luò )設施、信息系統面臨的威脅和風(fēng)險使用的“一旦遭到攻擊、喪失功能或者數據泄露,可能?chē)乐匚:野踩?、國計民生、公共利益”這種描述,表明關(guān)鍵信息基礎設施的安全保護要從物理安全、功能安全以及信息安全等方面綜合考慮,彰顯了我國對關(guān)鍵信息基礎設施安全保護核心價(jià)值的深刻認知。

第三,堅持了統籌協(xié)調、共同治理的原則。關(guān)鍵信息基礎設施安全保護需要綜合協(xié)調、分工負責、依法保護。為此,《條例》規定,關(guān)鍵信息基礎設施安全保護工作由國家網(wǎng)信部門(mén)統籌協(xié)調,由國務(wù)院公安部門(mén)負責指導監督,國務(wù)院電信主管部門(mén)和其他有關(guān)部門(mén)、省級人民政府有關(guān)部門(mén)在各自職責范圍內負責關(guān)鍵信息基礎設施的安全保護和監督管理,公安、國家安全、保密行政管理、密碼管理等有關(guān)部門(mén)依法實(shí)施相關(guān)的網(wǎng)絡(luò )安全檢查工作等。這種“1+X”的安全監管體制設計,可形成攸關(guān)各方責權清晰、齊抓共管、共同保護關(guān)鍵信息基礎設施安全的良好局面,高度契合我國當前關(guān)鍵信息基礎設施與現實(shí)社會(huì )深度融合的特點(diǎn)和保護、監管的實(shí)際需要。

第四,明確了運營(yíng)者主體責任的原則?!稐l例》單獨以整章篇幅,明確要求強化落實(shí)關(guān)鍵信息基礎設施運營(yíng)者主體責任,主要包括:建立健全網(wǎng)絡(luò )安全保護制度和責任制,保障人力、財力和物力投入;運營(yíng)者主要負責人對關(guān)鍵信息基礎設施安全保護負總責;運營(yíng)者應當設立專(zhuān)門(mén)安全管理機構并負責實(shí)施相關(guān)人員安全背景審查;專(zhuān)門(mén)安全管理機構具體負責本單位的關(guān)鍵信息基礎設施安全保護工作;運營(yíng)者負責自行或委托機構實(shí)施每年不低于一次的網(wǎng)絡(luò )安全檢測和風(fēng)險評估,及時(shí)整改問(wèn)題并向保護工作部門(mén)報送情況;運營(yíng)者應就重大網(wǎng)絡(luò )安全事件或潛在重大安全威脅向保護工作部門(mén)或公安機關(guān)報告;運營(yíng)者應優(yōu)先采購安全可信的網(wǎng)絡(luò )產(chǎn)品和服務(wù)、簽訂安全保密協(xié)議等。

第五,強調了關(guān)鍵信息基礎設施安全與信息化發(fā)展并重的原則。習近平總書(shū)記指出:“安全是發(fā)展的前提,發(fā)展是安全的保障,安全和發(fā)展要同步推進(jìn)?!本唧w到關(guān)鍵信息基礎設施領(lǐng)域,其安全和信息化是一體之兩翼、驅動(dòng)之雙輪,必須統一謀劃、統一部署、統一推進(jìn)、統一實(shí)施。為此,《條例》明確提出,安全保護措施應當與關(guān)鍵信息基礎設施同步規劃、同步建設、同步使用。因此,既要大力推進(jìn)關(guān)鍵信息基礎設施建設,又要建立健全其安全保護體系、提升其安全保護能力和水平,力求做到“雙輪驅動(dòng)、兩翼齊飛”。

第六,突出了關(guān)鍵信息基礎設施重點(diǎn)保護的原則?!毒W(wǎng)絡(luò )安全法》重點(diǎn)強調了關(guān)鍵信息基礎設施的運行安全保護,《條例》繼承并發(fā)展了該法的原則精神和相關(guān)規定,進(jìn)一步強調并細化了在網(wǎng)絡(luò )安全等級保護制度的基礎上,對關(guān)鍵信息基礎設施實(shí)行重點(diǎn)保護,明確關(guān)鍵信息基礎設施的運營(yíng)者的安全保護主體責任義務(wù),并配以國家安全審查、檢查檢測等法律行政措施,確保關(guān)鍵信息基礎設施的運行安全。其中,特別強調了能源、電信等關(guān)鍵信息基礎設施安全運行的優(yōu)先保障權利,并要求能源、電信行業(yè)應采取措施為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎設施安全運行提供重點(diǎn)保障。

三、關(guān)于《條例》貫徹實(shí)施的四點(diǎn)建議

第一,要對標《條例》,做好關(guān)鍵信息基礎設施的認定工作?!毒W(wǎng)絡(luò )安全法》對關(guān)鍵信息基礎設施運營(yíng)者的網(wǎng)絡(luò )安全保護義務(wù)設定了明確的法律要求,但并未就關(guān)鍵信息基礎設施認定給出明確的認定機構和認定標準?!稐l例》明確關(guān)鍵信息基礎設施需由所涉重要行業(yè)和領(lǐng)域的主管部門(mén)、監督管理部門(mén)來(lái)負責其安全保護工作及認定規則制定。認定規則需要考慮的主要因素是網(wǎng)絡(luò )設施、信息系統等對于本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度、一旦遭到破壞后可能帶來(lái)的危害程度及對其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。因此,關(guān)鍵信息基礎設施的認定權限在于該行業(yè)和領(lǐng)域的保護工作部門(mén),保護工作部門(mén)將認定結果通知運營(yíng)者,并向國務(wù)院公安部門(mén)通報。

在《條例》貫徹實(shí)施中,可結合關(guān)鍵信息基礎設施確定及其網(wǎng)絡(luò )安全檢查實(shí)踐,重點(diǎn)考慮“關(guān)鍵業(yè)務(wù)”“支撐關(guān)鍵業(yè)務(wù)的信息系統或工業(yè)控制系統”“根據關(guān)鍵業(yè)務(wù)對信息系統或工業(yè)控制系統的依賴(lài)程度,以及信息系統發(fā)生網(wǎng)絡(luò )安全事件后可能造成的損失”等因素。比如“電信與互聯(lián)網(wǎng)”領(lǐng)域,關(guān)鍵業(yè)務(wù)可包括DNS、DC/云服務(wù)、語(yǔ)音/數據/互聯(lián)網(wǎng)基礎網(wǎng)絡(luò )及樞紐等業(yè)務(wù)。對于認定關(guān)鍵信息基礎設施的量化標準,可根據網(wǎng)站、平臺和生產(chǎn)業(yè)務(wù)等不同具體類(lèi)型確定相應的量化標準。

第二,要堅持從法律法規、政策、標準、技術(shù)、實(shí)踐等多維度開(kāi)展關(guān)鍵信息基礎設施安全保護工作?!稐l例》從法律法規層面對關(guān)鍵信息基礎設施安全保護工作進(jìn)行了原則規定,在實(shí)踐過(guò)程中,要充分考慮我國國情,做好與已頒布或正在制定法律法規、標準規范等的有效配套和無(wú)縫銜接工作。具體涉及的主要法律包括《網(wǎng)絡(luò )安全法》《密碼法》《數據安全法》等,涉及的規章制度包括《網(wǎng)絡(luò )安全審查辦法》等,涉及的標準規范包括全國信息安全標準化技術(shù)委員會(huì )組織制定的《關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全保護基本要求》等。同時(shí),要進(jìn)一步重視關(guān)鍵信息基礎設施安全威脅信息共享、監測預警、應急處置等協(xié)同機制作用的發(fā)揮,在國家網(wǎng)絡(luò )安全法律、標準的統一框架下持續完善。

第三,要運用系統思維,科學(xué)、全面、準確地把握關(guān)鍵信息基礎設施安全保護工作的重點(diǎn)?!稐l例》給出的關(guān)鍵信息基礎設施保護制度框架是一個(gè)統一的整體,在貫徹實(shí)施過(guò)程中,要把握各類(lèi)主體全面責任、全流程動(dòng)態(tài)保護和監管、核心重點(diǎn)保護的辯證統一。關(guān)鍵信息基礎設施安全保護本身涉及規劃、建設、使用、運維乃至廢棄等全生命周期,國家、政府、監管、行業(yè)主管、運營(yíng)者等各類(lèi)主體在其安全保護方面責權不同,但共同維護安全的目標一致,因此需要堅持統籌協(xié)調、頂層設計、系統防護的整體思維,切實(shí)保障關(guān)鍵信息基礎設施安全。

第四,要高度重視和大力加強關(guān)鍵信息基礎設施安全保護的人才培養工作。習近平總書(shū)記明確指出,“網(wǎng)絡(luò )空間的競爭,歸根結底是人才競爭”。當前,國際信息技術(shù)發(fā)展日新月異,我國也處于數字化轉型升級關(guān)鍵期,各種新場(chǎng)景、新問(wèn)題、新技術(shù)、新方法層出不窮,關(guān)鍵信息基礎設施安全保護所面臨的任務(wù)越來(lái)越繁重、挑戰越來(lái)越艱巨。為此《條例》專(zhuān)門(mén)要求,國家將采取措施,鼓勵網(wǎng)絡(luò )安全專(zhuān)門(mén)人才從事關(guān)鍵信息基礎設施安全保護工作,并將運營(yíng)者的安全管理人員、安全技術(shù)人員培訓納入國家繼續教育體系,專(zhuān)門(mén)安全管理機構要履行組織網(wǎng)絡(luò )安全教育、培訓職責。在實(shí)踐中,需要協(xié)調動(dòng)員全社會(huì )相關(guān)企業(yè)、行業(yè)組織、高校和科研院所等協(xié)作配合,從在職培訓和學(xué)歷教育等多個(gè)層次,共同建立適應關(guān)鍵信息基礎設施安全保護人才需求特點(diǎn)的隊伍建設工作體系。

目前適逢我國新型基礎設施建設、數字經(jīng)濟轉型進(jìn)入發(fā)展勢頭如火如荼、保障體系亟需完善的重要戰略機遇期,《條例》的公布實(shí)施,及時(shí)開(kāi)啟了我國關(guān)鍵信息基礎設施安全保護進(jìn)程的新篇章,必將在我國關(guān)鍵信息基礎設施安全保護以及國家安全、國計民生、公共利益等保障方面發(fā)揮不可或缺、不可替代的積極影響和重要作用。(作者:閆懷志,北京理工大學(xué)網(wǎng)絡(luò )攻防研究所所長(cháng)


在線(xiàn)客服
聯(lián)系方式

熱線(xiàn)電話(huà)

0396-3620777

上班時(shí)間

周一到周五

公司電話(huà)

0396-3620666

二維碼
線(xiàn)