专题·原创 | 以关键信息基础设施安全防护 筑牢网络安全之基
2021-11-09
来源: 中国信息安全
2021 年 7 月 30 日,国务院正式颁布《关键信息基础设施安全保护条例》(以下简称《条例》)。作为《网络安全法》的重要配套法规,《条例》突出维护关键信息基础设施安全在经济、政治、社会中的价值定位,确立了我国关键信息基础设施范围和保护工作原则目标,理清了监督管理体制,完善了关键信息基础设施认定机制,明确了运营者责任义务,正式开启了我国关键信息基础设施安全保护的新格局。
一、《条例》出台意义重大
当前,随着数字化发展的不断深入,国家关键信息基础设施已被视为国家的重要战略资源,面临的网络安全形势和外部环境复杂多变。一方面,美国将我国视为网络空间主要战略对手,中美网络博弈日趋严峻激烈,新技术新应用发展迅猛,安全风险错综交织,关键信息基础设施面临的安全风险和隐患愈加突出。另一方面,由于历史和现实原因,我国关键信息基础设施和核心要害部位仍大量使用国外信息技术产品和服务,一旦发生重大安全事件,将产生巨大的破坏力和杀伤力,造成巨大经济损失,危害国家政治稳定。加强国家关键信息基础设施安全保护已成为新形势下切实维护国家网络安全的迫切需要。
党的十八大以来,以习近平同志为核心的党中央提出了依法治国战略,加强和推进网络空间法治化进程。《条例》的出台是贯彻落实“依法治国”战略、新形势下应对重大战略风险挑战的强基固本之举,是推进网络安全法治化的重要成果,是落实《网络安全法》的具体体现,为我国加强国家关键信息基础设施的网络安全保护工作提供有力抓手和法治保障。以立法形式保护关键基础设施安全,已成为当今世界各国网络空间安全制度建设的核心内容和基本实践。
《条例》的出台,立足工作落实,明确了关键信息基础设施范围界定、职责分工、安全检查检测机制等安全保护要求和保障措施,确保对象具体、权责清晰、任务明确,既是积极应对网络空间形势的现实需要,也有利于进一步提升我国网络安全保障的整体水平。
二、《条例》重点内容解读
作为关键信息基础设施安全保护的专项行政法规,《条例》通过统筹立法内容和权责划分两方面,进一步聚焦关键信息基础设施安全保护工作实践中的突出问题,强化和落实各主体担负的权责和工作协同机制,规定了我国关键信息基础设施保护的基本制度架构,为我国关键信息基础设施的网络安全保护工作奠定良好的效力基础。
一是采用“范围列举 + 授权认定”方式界定概念。《条例》从立法和规范等层面入手,采用了“范围列举+授权认定”的方法,对关键信息基础设施的概念定义作出明确法律界定,将关键信息基础设施定位于“重要网络设施和信息系统”,并以列举方式明确了其行业属性和影响属性两大界定标准,确保有法可依、监管到位。
二是明确“分类管理+重点保护”的监管体系。《条例》在《网络安全法》所确定的管理框架内,对关键信息基础设施保护的管理体系进行细分细化,强化保护工作的组织管理基础,包括明确不同部门职能,涉及统筹协调部门(国家网信部门)、指导监督部门(国务院公安部门)、保护工作部门(重要行业和领域的主管、监管部门);明确主要部门的重点管理内容,进一步理顺统一领导、相互协作的工作机制,保障保护工作的推进实施。
三是实行“动态全面+综合防护”的安全防护措施。《网络安全法》强调在等级保护的基础上实行重点保护,对关键信息基础设施采取监测预警、风险评估、信息共享、应急处置等安全保护措施。《条例》基于风险控制的动态安全保护周期过程,明确了关键信息基础设施保护的识别认定、安全防护、检测评估、监测预警和应急处置五个基本环节,进一步细化对关键信息基础设施保护的实施细则,确保安全防护覆盖关键信息基础设施的全生命周期,保证安全保护措施与关键信息基础设施同步规划、同步建设、同步使用,共同构建起对关键信息基础设施安全合规的综合安全防护防线。
三、加强构建国家关键信息基础设施网络安全保障能力
面对我国建设网络强国重要目标,唯有不断提升对关键信息基础设施中潜在问题和隐患的发现能力,明确存在的能力短板、找到制约的因素与亟待解决的问题,方能开创新的治理篇章。
一是进一步优化完善配套标准规范体系。尽快制订关键信息基础设施安全标准是落实关键信息基础设施安全保护的重要抓手,其与已有等级保护、信息系统安全等标准存在相互支撑、相互补充的关系。以事件管理、信息共享、应急响应、供应链安全等作为支撑,以现有信息安全标准,包括管理、技术、测评等标准作为补充,结合关键信息基础设施主要安全风险及国内外相关标准情况,尽快健全完善关键信息基础设施识别认定指南,完善监测预警、态势感知、信息共享、评估检测等相关标准体系,指导规范各方关键信息基础设施安全保护工作。
二是以风险为导向持续深化安全检测评估。《条例》要求:“运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估”。如何推进以风险为导向的安全检测和风险评估工作,实际上就是落实关键信息基础设施需要重点保护的要求,充分考虑关键信息基础设施承载业务的关键属性,结合严峻复杂的外部环境,在现有等级保护、行业标准等传统合规风险评估基础上,建立一套动态性、扩展性的网络安全综合风险评估体系,以发现安全风险隐患和网络攻击窃密线索为主线,消除现实安全威胁,堵塞漏洞隐患,提升反间谍安全防范能力,适应新时代网络安全防护要求。
三是加强对关键敏感数据的安全监管。在《条例》的基础上,结合《数据安全法》,积极探索建立“关键信息基础设施数据安全管理制度”,构建国家、重点敏感行业和核心骨干企业三个层面的数据安全防护机制与体系,切实保障关键信息基础设施数据收集、存储、使用、加工、传输、提供、公开等各个环节的安全高效与可信应用。特别是加强对涉及关键信息基础设施的核心业务数据和关键敏感数据的出入境安全检测,形成“全生命周期”“全链条环节”的数据安全监管体系,确保监管到位、不留死角。