日前����,國務院正式公布《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)����。《條例》對一系列重要制度���、機制加以完善和固化���,將推動開啟我國關鍵信息基礎設施保護的新格局,也將為產業(yè)發(fā)展指明方向���。
一、《條例》以“兩個統(tǒng)籌”奠定關鍵信息基礎設施保護基礎
整體來看�����,《條例》內容集中體現(xiàn)了“兩個統(tǒng)籌”的特點����。一是注重立法內容統(tǒng)籌。與此前的征求意見稿相比�,《條例》大幅減少了有關授權立制(規(guī)定、標準)的內容���,對相關保護工作要求盡可能在條文中明確����、不再過多以開放的方式留待未來解決,從而能夠大大減少因立制周期長帶來的效率延誤��。二是注重權責劃分統(tǒng)籌�。《條例》立足關鍵信息基礎設施保護工作不同主體的核心角色�,進一步明確了各主體擔負的權責、明確了各主體間的工作協(xié)同機制���。這無疑有利于減少因工作邊界不清等帶來的效率延誤����,也可充分調動各方面在保護工作中的主體意識和主動性�。關鍵信息基礎設施安全是網絡安全的重要一環(huán),《條例》通過“兩個統(tǒng)籌”舉措的提升��,為我國關鍵信息基礎設施安全保護工作奠定良好的效率基礎���。
二����、《條例》以“四個基本問題”明確關鍵信息基礎設施保護體系
從內容來看����,關鍵信息基礎設施的范圍界定��、管理體系���、檢查檢測機制和責任機制是《條例》重點明確的加強關鍵信息基礎設施安全保護的四個基本問題。
(一)關鍵信息基礎設施的范圍界定
《條例》采用了“范圍列舉+授權認定”的方法���,對關鍵信息基礎設施的內涵和外延作出規(guī)定���。
在范圍列舉方面?��!稐l例》第二條將關鍵信息基礎設施定位于“重要網絡設施和信息系統(tǒng)等”,并以列舉方式明確了其行業(yè)屬性和影響屬性兩大界定標準��。一是“公共通信和信息服務�、能源、交通����、水利、金融���、公共服務����、電子政務、國防科技工業(yè)等”重要行業(yè)和領域�����;二是“一旦遭到破壞�����、喪失功能或者數據泄露���,可能嚴重危害國家安全�、國計民生����、公共利益”。
在授權認定方面�。《條例》以專章(第二章 關鍵信息基礎設施認定)明確了授權認定的要點:一是認定主體�����,即“關鍵信息基礎設施安全保護工作的部門”(以下稱保護工作部門),主要包括了《條例》第二條所述重要行業(yè)和領域的主管或監(jiān)管部門�����;二是認定依據�,即“關鍵信息基礎設施認定規(guī)則”,《條例》第九條還明確了制定“認定規(guī)則”時應依據的“重要程度”“危害程度”和“關聯(lián)影響”三個主要考量因素�����。此外��,《條例》還對關鍵信息基礎設施的認定流程��、報備主體��、變更認定作出了規(guī)定�����。
(二)關鍵信息基礎設施安全監(jiān)管體系
《條例》在《網絡安全法》所確定的管理框架內��,對關鍵信息基礎設施保護的管理體系進行了細化���,主要包括三個方面:
一是確立了管理分類模式。《條例》將管理部門分為三類����,即:統(tǒng)籌協(xié)調部門(國家網信部門)、指導監(jiān)督部門(國務院公安部門)��、保護工作部門(重要行業(yè)和領域的主管���、監(jiān)管部門)�����。各類管理部門分工不同���、又協(xié)同配合,缺一不可�。
二是確立了管理分層模式?!稐l例》主要規(guī)定了屬地、行業(yè)兩種管理分層�。從屬地分層模式來看,《條例》第三條明確了“省級人民政府有關部門”是監(jiān)管和保護工作在地方的實施主體�,相比之前征求意見稿中的“縣級以上”提升了層級,突出了關鍵信息基礎設施保護實施的統(tǒng)籌性要求��。從行業(yè)分層模式來看,《條例》第三十二條強調“優(yōu)先保障能源����、電信等關鍵信息基礎設施安全運行”,并明確能源����、電信行業(yè)“為其他行業(yè)和領域的關鍵信息基礎設施安全運行提供重點保障”,可見該兩類行業(yè)在關鍵信息基礎設施保護中�,應發(fā)揮更加基礎的保障作用。
三是明確了重點管理內容��。在確立監(jiān)管分類分層模式基礎上�����,《條例》對主要監(jiān)管部門的管理內容也做了進一步明確��。如:國家網信部門統(tǒng)籌協(xié)調相關部門建立網絡安全信息共享機制�����、及網絡安全檢查檢測等����;國務院公安部門負責開展關鍵信息基礎設施認定相關備案、打擊相關違法犯罪活動等�;各保護部門負責制定本行業(yè)、本領域關鍵信息基礎設施安全規(guī)劃等���。通過對重點管理內容的明確�,有助于增進關鍵信息基礎設施運營者�、以及相關產學研用等社會各界對關鍵信息基礎設施保護工作的知悉度,推動形成共識與合力�����,保障保護工作的推進實施����。
(三)關鍵信息基礎設施安全檢查檢測機制
《條例》注重對落地實施情況的監(jiān)督手段建設,設置了專門的檢查檢測機制���。
《條例》規(guī)定的關鍵信息基礎設施安全檢查檢測機制包括三類��。一是運營檢測�。該類檢測的執(zhí)行主體是關鍵信息基礎設施運營者�,具體開展形式是“自行或委托網絡安全服務機構”進行。運營檢測應定期開展“每年至少進行一次網絡安全檢測和風險評估”����,并需“按照保護工作部門要求報送情況”�。二是保護檢查檢測�。該類檢查檢測由保護工作部門組織開展,目的是通過檢查檢測對運營者予以指導監(jiān)督�����,及時整改安全隱患����、完善安全措施。三是監(jiān)督檢查檢測��。該類檢查檢測由國家網信部門統(tǒng)籌協(xié)調�,國務院公安部門、保護工作部門開展��,通過檢查提出改進措施意見�����。
這三類檢測檢查工作由不同主體負責�,分別立足于運行、保護�、監(jiān)督的不同要求�,共同構筑關鍵信息基礎設施安全保護的監(jiān)測防線�。
(四)關鍵信息基礎設施安全責任機制
《條例》對于責任機制的規(guī)定主要包括三個方面��。
一是突出主體責任���?���!稐l例》首先對“主體責任”做出界定����,即第四條明確的“強化和落實關鍵信息基礎設施運營者主體責任”,這充分反映了運營者在整個保護工作中����,因其肩負重要職責而具有的不可替代作用。根據《條例》第三章“運營者責任義務”��,我們可以將運營者肩負的重要職責歸納為:建設管理��、安全審查�、事件報告、檢查配合等4類13項��。對于這些職責和義務,《條例》在第五章“法律責任”中��,也做出了逐條對應的責任規(guī)定�。
二是健全責任范圍?��!稐l例》在強化運營者主體責任的基礎上����,還明確了監(jiān)管責任����、保護責任,使責任機制覆蓋了保護工作的全部主體和全部主要職責�。對于監(jiān)管部門的監(jiān)督管理行為、保護部門的保護指導行為����,以及其他個人或組織實施的惡意破壞行為等,都明確規(guī)定了相應的法律責任����,從而形成對關鍵信息基礎設施保護工作的全方位責任保障。
三是明確責任方式?!稐l例》規(guī)定的責任方式,涵蓋了行政責任��、民事責任和刑事責任三大類別��。其中�����,對于大部分運營者責任適用行政責任的追究方式���,包括責令改正、警告和罰款等�����;對于監(jiān)管人員的違法行為����,主要適用行政或刑事責任;對于從事破壞行為的其他個人�����,除了適用相應的拘留�、罰款等行政責任外�,還對該人員的網絡安全從業(yè)資格做出限制���,與《條例》規(guī)定的相關崗位人員安全背景審查相銜接�����。
三�、支撐構建“三位一體”的關鍵信息基礎設施安全產業(yè)供給體系
《條例》進一步完善了我國“十四五”及今后一個時期網絡安全保障體系建設的要求���,也必將成為新階段實現(xiàn)網絡安全產業(yè)高質量發(fā)展的重要指引之一����。筆者認為�����,將《條例》放在供給側結構性改革這一背景下理解��,就是要強化網絡安全產業(yè)供給能力���,集聚業(yè)界和各方的共同努力���,秉持網絡安全新理念�,為關鍵信息基礎設施保護打造涵蓋產品�、技術和服務的“三位一體”網絡安全產業(yè)供給體系。
一是“可信任”的技術供給���。在數字化環(huán)境中強化關鍵信息基礎設施保護����,需要緊密依靠技術手段����,而關鍵信息基礎設施對國家網絡安全乃至國家安全的重要性���,則直接決定了技術必須應具備可信任的屬性���。這種信任不僅包括能力可信任、訪問可信任���,也包括供應鏈可信任�����。因此����,落實《條例》要求強化技術供給,需要在遵循可信任理念的基礎上��,大力發(fā)展相關網絡安全技術�����,包括但不限于:關鍵信息基礎設施安全風險感知和識別技術��、關鍵信息基礎設施系統(tǒng)漏洞檢測技術����、關鍵信息基礎設施數據標識和管理技術、關鍵信息基礎設施網絡威脅溯源和取證技術等等����。
二是“全場景”的產品供給?�!肮び破涫卤叵壤淦鳌?,從《條例》界定的重要領域關鍵信息基礎設施情況來看,其運行狀態(tài)各異����、防護需求更是千差萬別����。因此�����,對于網絡安全產品供給的最基本要求就是全領域���、全要素���、全類型的產品覆蓋。需要盡快建立健全關鍵信息基礎設施網絡安全產品體系�����,重要產品包括但不限于:關鍵信息基礎設施安全評估產品����、安全檢測產品����、安全增強防護產品��、安全運行監(jiān)測平臺等等�。
三是“實戰(zhàn)化”的服務供給���。服務比重逐步提升是網絡安全產業(yè)發(fā)展的趨勢和規(guī)律�,而信息技術與關鍵信息基礎設施行業(yè)應用的深度融合則決定了網絡安全服務的最終衡量指標必然是實戰(zhàn)化��。即�,關鍵信息基礎設施網絡安全服務應當滿足以戰(zhàn)領建、按需調度�����、高效攻防等基本特征�����。從關鍵信息基礎設施保護所需的網絡安全服務體系來看�,關鍵服務類型包括但不限于:關鍵信息基礎設施安全應急處置服務、關鍵信息基礎設施安全演練服務�、關鍵信息基礎設施安全教育培訓服務、關鍵信息基礎設施安全一體化運營服務等等�����。
《條例》的公布及施行,是我國關鍵信息基礎設施安全保護工作的一個重要里程碑��,其不僅明確細化了關鍵信息基礎設施保護工作體系����,更將成為拉動網絡安全產業(yè)邁向高質量發(fā)展的重要引擎。作為網絡安全行業(yè)的一分子�����,我們將繼續(xù)秉承“專攻術業(yè)����,成就所托”的宗旨,務實創(chuàng)新���,為加強國家網絡安全保障體系和能力建設作出更大貢獻�����。(作者:沈繼業(yè),綠盟科技集團股份有限公司)
