习近平总书记在“4·19”重要讲话中明确指出“关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”。当前国际社会风云变幻,网络安全风险层出不穷,关键信息基础设施安全保护工作的重要性和紧迫性日益凸显。党的十八大以来,国家高度重视网络安全工作。近日,国务院颁布出台《关键信息基础设施安全保护条例》(以下简称《条例》),这是我国首部专门针对关键信息基础设施安全保护工作的行政法规,标志着中国网络安全向更高水平跃升。
一、《条例》是建设网络强国、应对全球网络安全形势新变化的必然要求
近几年,全球范围内针对关键信息基础设施的供应链攻击、勒索攻击等安全事件日益增多,不断动摇经济社会运行的根基。数据显示,2020年全球勒索攻击次数同比增长150%以上。世界主要国家和地区纷纷把关键信息基础设施安全保护上升到维护国家安全的高度。美国最大输油管道遭遇网络攻击和勒索后,拜登政府立即发布《关于改善关键基础设施控制系统网络安全》的国家备忘录,认为“关键基础设施的网络安全问题是美国面临的最重要和严峻的问题”。据不完全统计,拜登上台后,共出台19项互联网行政令,其中4项关于网络安全。欧盟、俄罗斯、日本、澳大利亚也纷纷针对关键信息基础设施进行立法保护。网络安全的细胞早已扩散到经济与贸易、政治与外交、军事与安全等各个关键领域。没有关键信息基础设施安全就没有网络安全,没有网络安全就没有国家安全。《条例》的出台,有利于进一步提升国家关键信息基础设施保护水平,提高国家维护网络安全的能力。
二、《条例》是新时期指导做好关键信息基础设施保护工作的纲领性文件,进一步完善了国家网络安全法规体系
党中央、国务院高度重视关键信息基础设施安全保护工作,习近平总书记明确提出:“必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护”、“要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者(以下简称运营者)承担主体防护责任,主管部门履行好监管责任”。
2017年6月1日正式实施的《网络安全法》用大量篇幅规定了关键信息基础设施保护的相关内容,突出了关键信息基础设施在国家整体网络安全制度体系中的重要地位。《条例》进一步细化完善了《网络安全法》所确立的关键信息基础设施安全保护制度,明确了网信部门、公安部门以及重要行业和领域主管、监督管理部门(以下简称保护工作部门)的责任边界和职责要求,明确了关键信息基础设施认定原则和认定机制,细化了运营者的主体责任和义务,形成了关键信息基础设施安全保护工作相关各方的责任体系。各相关主管部门已经开展的涉及关键信息基础设施安全保护的相关工作,需要在《条例》的要求框架下开展。重要行业和领域的主管部门还需要依据《条例》制定本行业、本领域的关键信息基础设施安全保护和监督管理相关工作要求。
总体来看,《条例》的出台为关键信息基础设施保护补强了法治之网,进一步明确了我国关键信息基础设施安全保护工作相关各方的职责要求和法律责任,有助于构建多方尽责、共同协作的关键信息基础设施立体安全防护体系,更好地应对网络安全风险挑战。
三、《条例》构建起新型关键信息基础设施网络安全工作体系
(一)突出统筹协调
《条例》第三条要求“在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作”。国务院电信主管部门、其他有关部门、省级人民政府有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。此外,还明确国家网信部门负责建立网络安全信息共享机制(第二十三条)、对关键信息基础设施进行网络安全检查检测(第二十七条)、为关键信息基础设施安全保护工作提供技术支持和协作(第二十九条)等。
鉴于网信部门的职责,《条例》的安排凸显了三方面考虑:一是统筹好关键信息基础设施建设与安全的关系;二是统筹好部门的工作;三是统筹好安全与创新的协同。
(二)明确部门权责
在关键信息基础设施认定机制方面,《条例》第二条对关键信息基础设施的定义和范围延续了《网络安全法》第三十一条的说法,并在第二章专门明确了关键信息基础设施的认定机制。《条例》第九条明确由保护工作部门制定本行业、本领域的关键信息基础设施认定规则,并从重要程度、危害程度和关联性影响三方面给出了三条考虑因素。保护工作部门负责组织认定本行业、本领域的关键信息基础设施,并将结果通报国务院公安部门(第十条)。如果关键信息基础设施发生较大变化可能影响认定结果的,保护工作部门需组织重新认定,结果通知运营单位并通报国务院公安部门(第十一条)。
在行业监管方面,《条例》明确各保护工作部门负责本行业、本领域的关键信息基础设施安全保护相关工作,包括制定安全规划(第二十二条)、建立健全监测预警制度(第二十四条)、建立应急预案、组织应急演练(第二十五条)、检查检测(第二十六条)等。
(三)强化主体责任
《网络安全法》第三十三条至第三十八条对运营者责任提出了相关要求,《条例》在此基础上作了进一步补充完善,特别强调了运营者要落实主体责任(第四条),对运营者提出了更全面细化的责任要求。包括在网络安全等级保护基础上采取保护措施(第六条),安全保护措施与关键信息基础设施三同步原则(第十二条),建立健全网络安全保护制度和责任制、保障人财物投入、明确运营者的主要负责人负总责(第十三条),设置专门安全管理机构并对相关人员进行安全背景审查(第十四条),明确专门安全管理机构的八条具体职责(第十五条),保障专门管理机构运行经费、人员配备和参与网络安全和信息化有关决策(第十六条),每年至少进行一次网络安全检测和风险评估(第十七条),遇到重大或特别重大的网络安全事件和威胁时履行报告制度(第十八条),采购网络产品和服务的原则和进行安全审查的情形(第十九条),要求并监督产品和服务提供者履行保密义务和责任(第二十条),发生合并、分立、解散等情况的工作要求(第二十一条)。
上述规定细化明确了运营者的责任义务要求,从责任体系、制度建设、人员管理、能力建设、运行维护、供应链管理等方面指导运营者建立健全关键信息基础设施安全保障体系。
(四)规范行为管控
关于禁止行为,《条例》明确要求任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全(第五条),未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等活动,对基础电信网络实施漏洞探测、渗透性测试等活动,应事先向国务院电信主管部门报告(第三十一条),公安机关和国家安全机关负责防范打击相关违法犯罪活动(第三十三条)。
(五)加强生态建设
为加强国家关键信息基础设施安全保护生态体系建设,《条例》还对关键信息基础设施安全标准制定(第三十四条)、人才队伍建设(第三十五条)、技术创新和产业发展(第三十六条)、服务机构建设和管理(第三十七条)、军民融合和军地合作(第三十八条)等作了原则性要求,此外《条例》第三十二条还特别规定了能源、电信等关键信息基础设施的优先保障原则。
四、加强政企协同是落实《条例》的有效路径
今年是“十四五”开局之年,是关键信息基础设施安全建设规划的关键年,立足新时期,面向新要求,各级政府和企业应当严格按照《条例》要求切实履行主体责任,建立健全内部网络安全制度体系,强化以能力为导向的安全防护体系建设。
一是要建立切实可操作的政企协同联动机制。加强政府与企业之间网络安全信息、资源的共享,推动政府安全基础设施向网络安全企业开放,鼓励安全企业赋能关键信息基础设施的安全建设,加快建立保护关键信息基础设施网络安全的政产学研用生态体系。
二是要以新一代网络安全框架指导关键信息基础设施网络安全体系建设。“十四五”时期的网络安全建设,每一个任务设置都要将管理、技术、运行等各方面的要素综合考虑,避免割裂。推动各任务之间相互关联、能力互补,打造具备体系化作战能力的有机整体。
三是要强化网络安全与信息化的融合发展。推动安全能力对信息化的全面覆盖融合,实现安全规划、建设、运营与信息化建设的全周期同步开展,使安全成为信息化业务的内在属性,实现安全体系对信息化系统的全覆盖。伴随信息化水平的持续升级,整体安全能力实现同步阶梯式上升。
四是要建立安全运营体系与评估优化体系。安全运营体系全面涵盖安全团队、安全运行流程、安全操作规程、安全运行支撑平台和安全工具等。建立面向效果而非过程的评价体系,并以数据分析的方式对整改优化提供支撑,以数据分析结果牵引新安全建设工作,持续提升网络安全工作成熟度。(作者:齐向东,奇安信集团董事长)