新世纪以来,以互联网为代表的信息技术革命在全球迅速普及和应用,推动经济社会的数字化转型并带来了生产力新的解放和飞跃。关键信息基础设施的安全保护已经成为各国推进数字经济发展、参与国际竞争的重要保障。习近平总书记的重要指示为我们建设国家关键信息基础设施安全保障体系指明了方向。当今世界正经历百年未有之大变局,国际环境日趋复杂,不稳定性不确定性明显增强。关键信息基础设施安全事关国家网络安全和数据安全,日益成为国家网络空间安全能力建设的核心和关键。
为此,国务院于2021年7月30日正式公布了《关键信息基础设施安全保护条例》(中华人民共和国国务院令第745号),并自2021年9月1日起施行。该《条例》是我国针对关键信息基础设施安全保护的专门性行政法规,也是指导国家网络安全保障工作的基础性行政法规。认真学习领会《条例》内容,对于推动关键信息基础设施安全保障能力建设,维护国家网络空间主权和安全利益具有深刻意义。该《条例》共有六章五十一条,具体详见下表0,包括章名称及对应的条数。若要详细了解该《条例》具体内容的请查阅下附件。
表 0:《关键信息基础设施安全保护条例》的目录
附件:《关键信息基础设施安全保护条例》(中华人民共和国令第745号)
欲更多了解电信法规体系介绍的请进入。
一、《条例》的立法背景
关键信息基础设施在国家经济和社会服务中承担着重要角色并发挥着关键作用。随着我国国民经济和社会信息化的全面推进,传统的社会活动不断向网络空间延伸扩展,经济与国家安全高度依赖于关键信息基础设施。完善关键信息基础设施保护法律体系,全面提升关键信息基础设施安全保护意识、保障能力和水平,已经成为网络安全博弈的制胜关键。
党的十八大以来,以习近平同志为核心的党中央高度重视关键信息基础设施安全保护工作,就加强关键信息基础设施安全保护工作作出了一系列重大决策和部署。在中央网络安全和信息化领导小组第一次会议上,习近平总书记指出,“要完善关键信息基础设施保护等法律法规”。在2016年的网络安全和信息化工作座谈会上,习近平总书记明确要求“加快构建关键信息基础设施安全保障体系”。2021年我国发布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确强调要“建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力”。作为“十四五”开局之年发布的一项重要法规,《条例》是推动我国网络安全法治化工作的又一项重要举措和成果,对建立健全我国关键信息基础设施安全保护体系具有里程碑式的意义。《条例》从突出重点保护、坚持问题导向、与已有相关法律法规有效衔接三方面出发,科学总结网络安全工作实践经验,并上升为法规制度,为关键信息基础设施安全保护工作提供法治保障。
二、《条例》重点内容理解
从内容上看,《条例》坚持总体国家安全观和习近平总书记关于网络强国的重要思想,坚持安全发展、改革创新、问题导向的指导方针,坚持综合协调、分工负责、依法保护,充分发挥行政法规的引领和推动作用,加快推进关键信息基础设施安全保障体系建设。具体来说,《条例》主要内容有以下几个亮点:
1、确定保护对象范围
《条例》第二条给出了关键信息基础设施明确定义,第九条提出了保护工作部门制定识别认定规则的重点考虑因素,确定了由保护工作部门负责制定本行业、本领域关键信息基础设施认定规则及清单。认定规则及清单的形成过程一方面须立足实际,充分结合本行业、本领域业务特性和重要性,在量化指标参数的基础上实现清单范围的准确界定;另一方面,清单应当伴随国家网络安全和信息化发展,实现动态调整更新。
2、明确监管职责分工
为保障关键信息基础设施安全保护工作顺利开展,《条例》设置了科学严谨的监督管理工作机制。在国家层面,国家网信部门负责统筹协调,国务院公安部门负责指导监督,国务院电信主管部门和其他有关部门负责行业关键信息基础设施安全保护和监督管理工作;在地方层面,由省级人民政府有关部门负责关键信息基础设施安全保护和监督管理工作。既有效保障了关键信息基础设施安全保护工作统一有序、协同推进,又能充分发挥具体行业部门的专业优势,提升关键信息基础设施安全保护力度。
3、强化安全主体责任
《条例》强调关键信息基础设施运营者在关键信息基础设施安全保护中承担主体责任,并对于运营者自身安全管理机制的设置进行了严格要求,具体详见下表2-3中。
表 2-3:《条例》对关键信息基础设施运营者自身安全管理机制的设置要求
4、细化安全保护要求
《条例》强化关键信息基础设施的安全保护,在《网络安全法》的基础上对运营者提出了更高的安全防护要求,具体详见下表2-4中。
表 2-4:《条例》对关键信息基础设施运营者的安全防护要求
5、强化重点安全保障
一是针对关键信息基础设施实施的漏洞探测、渗透测试等活动,应得到国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权。对基础电信网络实施漏洞探测、渗透测试等活动,应当事先向国务院电信主管部门报告。二是能源、电信行业为金融、水利和交通等行业关键信息基础设施稳定运行提供重要支撑及资源保障,基础电信网络还具有基础性、全局性,承载着其他关键信息基础设施。国家将采取措施,优先保障能源、电信等关键信息基础设施安全运行。能源、电信行业将为其他行业和领域的关键信息基础设施安全运行提供重点保障。
三、关键信息基础设施安全保护的工作重点任务
在网络安全威胁和风险日益突出,关键信息基础设施面临的安全形势日趋严峻的大背景下,《条例》的出台正当其时,也时不我待。《条例》正式实施后,我国关键信息基础设施安全保护工作将进入新的发展阶段,关于未来相关工作重点任务主要有以下几方面的考量:
1、关键信息基础设施是国家网络安全保障工作的核心和基石,需要国家总体部署、统筹协调
关键信息基础设施承载或支撑着重要行业和领域关键业务,并成为各行各业运行体系所依赖的关键节点,一旦遭到破坏,通过关联行业、领域逐渐传递,会给国民经济和国家安全造成连锁连片影响的严重后果。作为经济社会运行的神经中枢,关键信息基础设施日益发挥着基础性、全局性、支撑性作用,“牵一发而动全身”。因此,提升我国网络安全保障能力,筑牢国家网络安全屏障,维护国家网络空间主权和国家安全,就要切实抓住关键信息基础设施安全这个“牛鼻子”。
作为国家网络安全保障的核心及全局性工作,关键信息基础设施安全保护必须要坚持总体部署。从这个意义上来说,在中央网络安全和信息化委员会领导下,国家网信部门应发挥好统筹协调职能,不断强化关键信息基础设施安全保护工作的顶层设计、总体布局、统筹协调、整体推进。国务院公安部门加强对关键信息基础设施安全保护工作的指导监督。国务院电信主管部门和其他有关部门应根据《条例》规定的职责实施安全保护和监督管理。
2、持续性的能力评估是完善关键信息基础设施安全保护工作的引导和方向
通过总结我国关键信息基础设施保护实践经验以及相关法律政策的保护要求,在“十四五”时期,提出适合于我国的关键信息基础设施安全保护能力水平评估体系具有重要的现实意义。安全能力评估是关键信息基础设施安全保护的重要环节,其结果可以直接反映关键信息基础设施的安全保护状况,发现存在的薄弱点,并为关键信息基础设施安全整改和后期安全规划制定提供依据。从长远上看,持续性能力评估是为关键信息基础设施的建设运维管理保障提供了方向,能够起到以评促建、以评促管、以评促改的效果。
3、做好关键信息基础设施安全保护工作要切实发挥我国制度优势,集聚社会各界力量
对于此,下表3-3列出了一些相关思路。
表 3-3:关键信息基础设施安全保护工作的相关思路
四、结语
《关键信息基础设施安全保护条例》为我国营造开放、安全、健康的数字生态,巩固国家网络安全保障基础,强化数字资源安全保护能力提供了坚强的法治后盾,也为关键信息基础设施安全保护工作提供了科学化、系统化、精细化的工作指引。展望“十四五”时期,随着《条例》的实施,我国网络安全工作必将乘势而上,向着实现网络强国战略目标不断奋勇前进。另外,《条例》是《中华人民共和国网络安全法》的进一步细化,为该法的实施提供了具体的支撑。
欲进一步了解《中华人民共和国网络安全法》内容的请进入。
248.79KB
