股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
以关键信息基础设施安(ān)全防护,筑牢网络安(ān)全之基
发布时间 :2021年11月12日
类型 :公(gōng)司新(xīn)闻
分(fēn)享:
2021年7月30日,國(guó)務(wù)院正式颁布《关键信息基础设施安(ān)全保护条例》(以下简称《条例》)。作(zuò)為(wèi)《网络安(ān)全法》的重要配套法规,《条例》突出维护关键信息基础设施安(ān)全在经济、政治、社会中(zhōng)的价值定位,确立了我國(guó)关键信息基础设施范围和保护工(gōng)作(zuò)原则目标,理(lǐ)清了监督管理(lǐ)體(tǐ)制,完善了关键信息基础设施认定机制,明确了运营者责任义務(wù),正式开启了我國(guó)关键信息基础设施安(ān)全保护的新(xīn)格局。
一、《条例》出台意义重大
当前,随着数字化发展的不断深入,國(guó)家关键信息基础设施已被视為(wèi)國(guó)家的重要战略资源,面临的网络安(ān)全形势和外部环境复杂多(duō)变。一方面,美國(guó)将我國(guó)视為(wèi)网络空间主要战略对手,中(zhōng)美网络博弈日趋严峻激烈,新(xīn)技(jì )术新(xīn)应用(yòng)发展迅猛,安(ān)全风险错综交织,关键信息基础设施面临的安(ān)全风险和隐患愈加突出。另一方面,由于历史和现实原因,我國(guó)关键信息基础设施和核心要害部位仍大量使用(yòng)國(guó)外信息技(jì )术产(chǎn)品和服務(wù),一旦发生重大安(ān)全事件,将产(chǎn)生巨大的破坏力和杀伤力,造成巨大经济损失,危害國(guó)家政治稳定。加强國(guó)家关键信息基础设施安(ān)全保护已成為(wèi)新(xīn)形势下切实维护國(guó)家网络安(ān)全的迫切需要。
党的十八大以来,以习近平同志(zhì)為(wèi)核心的党中(zhōng)央提出了依法治國(guó)战略,加强和推进网络空间法治化进程。《条例》的出台是贯彻落实“依法治國(guó)”战略、新(xīn)形势下应对重大战略风险挑战的强基固本之举,是推进网络安(ān)全法治化的重要成果,是落实《网络安(ān)全法》的具(jù)體(tǐ)體(tǐ)现,為(wèi)我國(guó)加强國(guó)家关键信息基础设施的网络安(ān)全保护工(gōng)作(zuò)提供有(yǒu)力抓手和法治保障。以立法形式保护关键基础设施安(ān)全,已成為(wèi)当今世界各國(guó)网络空间安(ān)全制度建设的核心内容和基本实践。
《条例》的出台,立足工(gōng)作(zuò)落实,明确了关键信息基础设施范围界定、职责分(fēn)工(gōng)、安(ān)全检查检测机制等安(ān)全保护要求和保障措施,确保对象具(jù)體(tǐ)、权责清晰、任務(wù)明确,既是积极应对网络空间形势的现实需要,也有(yǒu)利于进一步提升我國(guó)网络安(ān)全保障的整體(tǐ)水平。
二、《条例》重点内容解读
作(zuò)為(wèi)关键信息基础设施安(ān)全保护的专项行政法规,《条例》通过统筹立法内容和权责划分(fēn)两方面,进一步聚焦关键信息基础设施安(ān)全保护工(gōng)作(zuò)实践中(zhōng)的突出问题,强化和落实各主體(tǐ)担负的权责和工(gōng)作(zuò)协同机制,规定了我國(guó)关键信息基础设施保护的基本制度架构,為(wèi)我國(guó)关键信息基础设施的网络安(ān)全保护工(gōng)作(zuò)奠定良好的效力基础。
一是采用(yòng)“范围列举 + 授权认定”方式界定概念。《条例》从立法和规范等层面入手,采用(yòng)了“范围列举+授权认定”的方法,对关键信息基础设施的概念定义作(zuò)出明确法律界定,将关键信息基础设施定位于“重要网络设施和信息系统”,并以列举方式明确了其行业属性和影响属性两大界定标准,确保有(yǒu)法可(kě)依、监管到位。
二是明确“分(fēn)类管理(lǐ)+重点保护”的监管體(tǐ)系。《条例》在《网络安(ān)全法》所确定的管理(lǐ)框架内,对关键信息基础设施保护的管理(lǐ)體(tǐ)系进行细分(fēn)细化,强化保护工(gōng)作(zuò)的组织管理(lǐ)基础,包括明确不同部门职能(néng),涉及统筹协调部门(國(guó)家网信部门)、指导监督部门(國(guó)務(wù)院公(gōng)安(ān)部门)、保护工(gōng)作(zuò)部门(重要行业和领域的主管、监管部门);明确主要部门的重点管理(lǐ)内容,进一步理(lǐ)顺统一领导、相互协作(zuò)的工(gōng)作(zuò)机制,保障保护工(gōng)作(zuò)的推进实施。
三是实行“动态全面+综合防护”的安(ān)全防护措施。《网络安(ān)全法》强调在等级保护的基础上实行重点保护,对关键信息基础设施采取监测预警、风险评估、信息共享、应急处置等安(ān)全保护措施。《条例》基于风险控制的动态安(ān)全保护周期过程,明确了关键信息基础设施保护的识别认定、安(ān)全防护、检测评估、监测预警和应急处置五个基本环节,进一步细化对关键信息基础设施保护的实施细则,确保安(ān)全防护覆盖关键信息基础设施的全生命周期,保证安(ān)全保护措施与关键信息基础设施同步规划、同步建设、同步使用(yòng),共同构建起对关键信息基础设施安(ān)全合规的综合安(ān)全防护防線(xiàn)。
三、加强构建國(guó)家关键信息基础设施网络安(ān)全保障能(néng)力
面对我國(guó)建设网络强國(guó)重要目标,唯有(yǒu)不断提升对关键信息基础设施中(zhōng)潜在问题和隐患的发现能(néng)力,明确存在的能(néng)力短板、找到制约的因素与亟待解决的问题,方能(néng)开创新(xīn)的治理(lǐ)篇章。
一是进一步优化完善配套标准规范體(tǐ)系。尽快制订关键信息基础设施安(ān)全标准是落实关键信息基础设施安(ān)全保护的重要抓手,其与已有(yǒu)等级保护、信息系统安(ān)全等标准存在相互支撑、相互补充的关系。以事件管理(lǐ)、信息共享、应急响应、供应链安(ān)全等作(zuò)為(wèi)支撑,以现有(yǒu)信息安(ān)全标准,包括管理(lǐ)、技(jì )术、测评等标准作(zuò)為(wèi)补充,结合关键信息基础设施主要安(ān)全风险及國(guó)内外相关标准情况,尽快健全完善关键信息基础设施识别认定指南,完善监测预警、态势感知、信息共享、评估检测等相关标准體(tǐ)系,指导规范各方关键信息基础设施安(ān)全保护工(gōng)作(zuò)。
二是以风险為(wèi)导向持续深化安(ān)全检测评估。《条例》要求:“运营者应当自行或者委托网络安(ān)全服務(wù)机构对关键信息基础设施每年至少进行一次网络安(ān)全检测和风险评估”。如何推进以风险為(wèi)导向的安(ān)全检测和风险评估工(gōng)作(zuò),实际上就是落实关键信息基础设施需要重点保护的要求,充分(fēn)考虑关键信息基础设施承载业務(wù)的关键属性,结合严峻复杂的外部环境,在现有(yǒu)等级保护、行业标准等传统合规风险评估基础上,建立一套动态性、扩展性的网络安(ān)全综合风险评估體(tǐ)系,以发现安(ān)全风险隐患和网络攻击窃密線(xiàn)索為(wèi)主線(xiàn),消除现实安(ān)全威胁,堵塞漏洞隐患,提升反间谍安(ān)全防范能(néng)力,适应新(xīn)时代网络安(ān)全防护要求。
三是加强对关键敏感数据的安(ān)全监管。在《条例》的基础上,结合《数据安(ān)全法》,积极探索建立“关键信息基础设施数据安(ān)全管理(lǐ)制度”,构建國(guó)家、重点敏感行业和核心骨干企业三个层面的数据安(ān)全防护机制与體(tǐ)系,切实保障关键信息基础设施数据收集、存储、使用(yòng)、加工(gōng)、传输、提供、公(gōng)开等各个环节的安(ān)全高效与可(kě)信应用(yòng)。特别是加强对涉及关键信息基础设施的核心业務(wù)数据和关键敏感数据的出入境安(ān)全检测,形成“全生命周期”“全链条环节”的数据安(ān)全监管體(tǐ)系,确保监管到位、不留死角。
分(fēn)享到微信
X