發(fā)布時間:2021-12-06 15:28:36 人氣:4556
日前,國務(wù)院正式公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(以下簡稱《條例》)?!稐l例》對一系列重要制度、機制加以完善和固化,將推動開啟我國關(guān)鍵信息基礎(chǔ)設(shè)施保護的新格局,也將為產(chǎn)業(yè)發(fā)展指明方向。
一、《條例》以“兩個統(tǒng)籌”奠定關(guān)鍵信息基礎(chǔ)設(shè)施保護基礎(chǔ)
整體來看,《條例》內(nèi)容集中體現(xiàn)了“兩個統(tǒng)籌”的特點。一是注重立法內(nèi)容統(tǒng)籌。與此前的征求意見稿相比,《條例》大幅減少了有關(guān)授權(quán)立制(規(guī)定、標(biāo)準(zhǔn))的內(nèi)容,對相關(guān)保護工作要求盡可能在條文中明確、不再過多以開放的方式留待未來解決,從而能夠大大減少因立制周期長帶來的效率延誤。二是注重權(quán)責(zé)劃分統(tǒng)籌?!稐l例》立足關(guān)鍵信息基礎(chǔ)設(shè)施保護工作不同主體的核心角色,進一步明確了各主體擔(dān)負(fù)的權(quán)責(zé)、明確了各主體間的工作協(xié)同機制。這無疑有利于減少因工作邊界不清等帶來的效率延誤,也可充分調(diào)動各方面在保護工作中的主體意識和主動性。關(guān)鍵信息基礎(chǔ)設(shè)施安全是網(wǎng)絡(luò)安全的重要一環(huán),《條例》通過“兩個統(tǒng)籌”舉措的提升,為我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作奠定良好的效率基礎(chǔ)。
二、《條例》以“四個基本問題”明確關(guān)鍵信息基礎(chǔ)設(shè)施保護體系
從內(nèi)容來看,關(guān)鍵信息基礎(chǔ)設(shè)施的范圍界定、管理體系、檢查檢測機制和責(zé)任機制是《條例》重點明確的加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的四個基本問題。
(一)關(guān)鍵信息基礎(chǔ)設(shè)施的范圍界定
《條例》采用了“范圍列舉+授權(quán)認(rèn)定”的方法,對關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵和外延作出規(guī)定。
在范圍列舉方面。《條例》第二條將關(guān)鍵信息基礎(chǔ)設(shè)施定位于“重要網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)等”,并以列舉方式明確了其行業(yè)屬性和影響屬性兩大界定標(biāo)準(zhǔn)。一是“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等”重要行業(yè)和領(lǐng)域;二是“一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益”。
在授權(quán)認(rèn)定方面。《條例》以專章(第二章 關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定)明確了授權(quán)認(rèn)定的要點:一是認(rèn)定主體,即“關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門”(以下稱保護工作部門),主要包括了《條例》第二條所述重要行業(yè)和領(lǐng)域的主管或監(jiān)管部門;二是認(rèn)定依據(jù),即“關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則”,《條例》第九條還明確了制定“認(rèn)定規(guī)則”時應(yīng)依據(jù)的“重要程度”“危害程度”和“關(guān)聯(lián)影響”三個主要考量因素。此外,《條例》還對關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定流程、報備主體、變更認(rèn)定作出了規(guī)定。
(二)關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)管體系
《條例》在《網(wǎng)絡(luò)安全法》所確定的管理框架內(nèi),對關(guān)鍵信息基礎(chǔ)設(shè)施保護的管理體系進行了細(xì)化,主要包括三個方面:
一是確立了管理分類模式。《條例》將管理部門分為三類,即:統(tǒng)籌協(xié)調(diào)部門(國家網(wǎng)信部門)、指導(dǎo)監(jiān)督部門(國務(wù)院公安部門)、保護工作部門(重要行業(yè)和領(lǐng)域的主管、監(jiān)管部門)。各類管理部門分工不同、又協(xié)同配合,缺一不可。
二是確立了管理分層模式?!稐l例》主要規(guī)定了屬地、行業(yè)兩種管理分層。從屬地分層模式來看,《條例》第三條明確了“省級人民政府有關(guān)部門”是監(jiān)管和保護工作在地方的實施主體,相比之前征求意見稿中的“縣級以上”提升了層級,突出了關(guān)鍵信息基礎(chǔ)設(shè)施保護實施的統(tǒng)籌性要求。從行業(yè)分層模式來看,《條例》第三十二條強調(diào)“優(yōu)先保障能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運行”,并明確能源、電信行業(yè)“為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全運行提供重點保障”,可見該兩類行業(yè)在關(guān)鍵信息基礎(chǔ)設(shè)施保護中,應(yīng)發(fā)揮更加基礎(chǔ)的保障作用。
三是明確了重點管理內(nèi)容。在確立監(jiān)管分類分層模式基礎(chǔ)上,《條例》對主要監(jiān)管部門的管理內(nèi)容也做了進一步明確。如:國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)相關(guān)部門建立網(wǎng)絡(luò)安全信息共享機制、及網(wǎng)絡(luò)安全檢查檢測等;國務(wù)院公安部門負(fù)責(zé)開展關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定相關(guān)備案、打擊相關(guān)違法犯罪活動等;各保護部門負(fù)責(zé)制定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃等。通過對重點管理內(nèi)容的明確,有助于增進關(guān)鍵信息基礎(chǔ)設(shè)施運營者、以及相關(guān)產(chǎn)學(xué)研用等社會各界對關(guān)鍵信息基礎(chǔ)設(shè)施保護工作的知悉度,推動形成共識與合力,保障保護工作的推進實施。
(三)關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查檢測機制
《條例》注重對落地實施情況的監(jiān)督手段建設(shè),設(shè)置了專門的檢查檢測機制。
《條例》規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查檢測機制包括三類。一是運營檢測。該類檢測的執(zhí)行主體是關(guān)鍵信息基礎(chǔ)設(shè)施運營者,具體開展形式是“自行或委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)”進行。運營檢測應(yīng)定期開展“每年至少進行一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估”,并需“按照保護工作部門要求報送情況”。二是保護檢查檢測。該類檢查檢測由保護工作部門組織開展,目的是通過檢查檢測對運營者予以指導(dǎo)監(jiān)督,及時整改安全隱患、完善安全措施。三是監(jiān)督檢查檢測。該類檢查檢測由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào),國務(wù)院公安部門、保護工作部門開展,通過檢查提出改進措施意見。
這三類檢測檢查工作由不同主體負(fù)責(zé),分別立足于運行、保護、監(jiān)督的不同要求,共同構(gòu)筑關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的監(jiān)測防線。
(四)關(guān)鍵信息基礎(chǔ)設(shè)施安全責(zé)任機制
《條例》對于責(zé)任機制的規(guī)定主要包括三個方面。
一是突出主體責(zé)任?!稐l例》首先對“主體責(zé)任”做出界定,即第四條明確的“強化和落實關(guān)鍵信息基礎(chǔ)設(shè)施運營者主體責(zé)任”,這充分反映了運營者在整個保護工作中,因其肩負(fù)重要職責(zé)而具有的不可替代作用。根據(jù)《條例》第三章“運營者責(zé)任義務(wù)”,我們可以將運營者肩負(fù)的重要職責(zé)歸納為:建設(shè)管理、安全審查、事件報告、檢查配合等4類13項。對于這些職責(zé)和義務(wù),《條例》在第五章“法律責(zé)任”中,也做出了逐條對應(yīng)的責(zé)任規(guī)定。
二是健全責(zé)任范圍?!稐l例》在強化運營者主體責(zé)任的基礎(chǔ)上,還明確了監(jiān)管責(zé)任、保護責(zé)任,使責(zé)任機制覆蓋了保護工作的全部主體和全部主要職責(zé)。對于監(jiān)管部門的監(jiān)督管理行為、保護部門的保護指導(dǎo)行為,以及其他個人或組織實施的惡意破壞行為等,都明確規(guī)定了相應(yīng)的法律責(zé)任,從而形成對關(guān)鍵信息基礎(chǔ)設(shè)施保護工作的全方位責(zé)任保障。
三是明確責(zé)任方式。《條例》規(guī)定的責(zé)任方式,涵蓋了行政責(zé)任、民事責(zé)任和刑事責(zé)任三大類別。其中,對于大部分運營者責(zé)任適用行政責(zé)任的追究方式,包括責(zé)令改正、警告和罰款等;對于監(jiān)管人員的違法行為,主要適用行政或刑事責(zé)任;對于從事破壞行為的其他個人,除了適用相應(yīng)的拘留、罰款等行政責(zé)任外,還對該人員的網(wǎng)絡(luò)安全從業(yè)資格做出限制,與《條例》規(guī)定的相關(guān)崗位人員安全背景審查相銜接。
三、支撐構(gòu)建“三位一體”的關(guān)鍵信息基礎(chǔ)設(shè)施安全產(chǎn)業(yè)供給體系
《條例》進一步完善了我國“十四五”及今后一個時期網(wǎng)絡(luò)安全保障體系建設(shè)的要求,也必將成為新階段實現(xiàn)網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展的重要指引之一。筆者認(rèn)為,將《條例》放在供給側(cè)結(jié)構(gòu)性改革這一背景下理解,就是要強化網(wǎng)絡(luò)安全產(chǎn)業(yè)供給能力,集聚業(yè)界和各方的共同努力,秉持網(wǎng)絡(luò)安全新理念,為關(guān)鍵信息基礎(chǔ)設(shè)施保護打造涵蓋產(chǎn)品、技術(shù)和服務(wù)的“三位一體”網(wǎng)絡(luò)安全產(chǎn)業(yè)供給體系。
一是“可信任”的技術(shù)供給。在數(shù)字化環(huán)境中強化關(guān)鍵信息基礎(chǔ)設(shè)施保護,需要緊密依靠技術(shù)手段,而關(guān)鍵信息基礎(chǔ)設(shè)施對國家網(wǎng)絡(luò)安全乃至國家安全的重要性,則直接決定了技術(shù)必須應(yīng)具備可信任的屬性。這種信任不僅包括能力可信任、訪問可信任,也包括供應(yīng)鏈可信任。因此,落實《條例》要求強化技術(shù)供給,需要在遵循可信任理念的基礎(chǔ)上,大力發(fā)展相關(guān)網(wǎng)絡(luò)安全技術(shù),包括但不限于:關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險感知和識別技術(shù)、關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)漏洞檢測技術(shù)、關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)標(biāo)識和管理技術(shù)、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)威脅溯源和取證技術(shù)等等。
二是“全場景”的產(chǎn)品供給?!肮び破涫卤叵壤淦鳌保瑥摹稐l例》界定的重要領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施情況來看,其運行狀態(tài)各異、防護需求更是千差萬別。因此,對于網(wǎng)絡(luò)安全產(chǎn)品供給的最基本要求就是全領(lǐng)域、全要素、全類型的產(chǎn)品覆蓋。需要盡快建立健全關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全產(chǎn)品體系,重要產(chǎn)品包括但不限于:關(guān)鍵信息基礎(chǔ)設(shè)施安全評估產(chǎn)品、安全檢測產(chǎn)品、安全增強防護產(chǎn)品、安全運行監(jiān)測平臺等等。
三是“實戰(zhàn)化”的服務(wù)供給。服務(wù)比重逐步提升是網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的趨勢和規(guī)律,而信息技術(shù)與關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)應(yīng)用的深度融合則決定了網(wǎng)絡(luò)安全服務(wù)的最終衡量指標(biāo)必然是實戰(zhàn)化。即,關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全服務(wù)應(yīng)當(dāng)滿足以戰(zhàn)領(lǐng)建、按需調(diào)度、高效攻防等基本特征。從關(guān)鍵信息基礎(chǔ)設(shè)施保護所需的網(wǎng)絡(luò)安全服務(wù)體系來看,關(guān)鍵服務(wù)類型包括但不限于:關(guān)鍵信息基礎(chǔ)設(shè)施安全應(yīng)急處置服務(wù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全演練服務(wù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全教育培訓(xùn)服務(wù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全一體化運營服務(wù)等等。
《條例》的公布及施行,是我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的一個重要里程碑,其不僅明確細(xì)化了關(guān)鍵信息基礎(chǔ)設(shè)施保護工作體系,更將成為拉動網(wǎng)絡(luò)安全產(chǎn)業(yè)邁向高質(zhì)量發(fā)展的重要引擎。作為網(wǎng)絡(luò)安全行業(yè)的一分子,我們將繼續(xù)秉承“專攻術(shù)業(yè),成就所托”的宗旨,務(wù)實創(chuàng)新,為加強國家網(wǎng)絡(luò)安全保障體系和能力建設(shè)作出更大貢獻。(作者:沈繼業(yè),綠盟科技集團股份有限公司)
熱線電話
0396-3620777
上班時間
周一到周五
公司電話
0396-3620666