为您推荐
随着数字经济时代来临,带来产业技术路线革命性变化和商业模式突破性创新,行业应[...]
随着数字化时代的发展,新业务场景持续涌现,所带来的安全威胁不断升级,比如无文[...]
专家解读丨《关键信息基础设施安全保护条例》对网络安全行业有哪些指导意义?
新世纪以来,以互联网为代表的信息技术革命在全球迅速普及和应用,推动经济社会的数字化转型并带来了生产力新的解放和飞跃。关键信息基础设施的安全保护已经成为各国推进数字经济发展、参与国际竞争的重要保障。习近平总书记的重要指示为我们建设国家关键信息基础设施安全保障体系指明了方向。当今世界正经历百年未有之大变局,国际环境日趋复杂,不稳定性不确定性明显增强。关键信息基础设施安全事关国家网络安全和数据安全,日益成为国家网络空间安全能力建设的核心和关键。
立法背景
国际背景
美欧等率先启动关键信息基础设施安全标准研制
随着网络和信息化的快速发展,关键信息基础设施已成为各国的重要战略资源,对关键信息基础设施发动网络攻击成为敌对势力蓄意破坏国家安全和社会稳定的重要途径。为保障国家安全和社会稳定,美国、欧盟等积极制定出台关键信息基础设施安全法律法规,早在2014年就启动了包含关键信息基础设施的识别、安全保护框架、要求和评估规范等内容的标准化文件。
2014年美国发布了《改善关键基础设施网络安全的框架》。该框架定义了一套应用于关键基础设施安全的风险管控流程。为支撑该框架的落地执行,美国能源部和国土安全部针对关键信息基础设施开发了网络安全能力成熟度模型(简称“C2M2模型”),用于指导运营者对其信息系统、工控系统等信息资产进行安全评估,并通过划分安全域的方式,分别从内部网络安全实践的实现情况(方法层面)和安全实践的制度化程度(管理层面)对组织安全能力进行评估。
欧洲网络与信息安全局(ENISA)于2014年发布《识别关键信息基础设施服务和资产的方法论》,给出了识别关键信息基础设施中服务和资产的方法。随后,又先后发布了《保护关键信息基础设施的考量、分析和建议》《数字服务提供商实施最低安全控制措施技术指南》等技术指导文件,就关键信息基础设施领域开展公私合作、安全事件演练、风险评估、信息共享和建立控制措施等提出标准化建议。此外,ENISA还在互联网基础设施、工控系统、智能电网、金融、健康医疗、船舶等领域发布了相关安全规定。
国内现实背景
我国正加快布局关键信息基础设施安全标准体系
全国信息安全标准化技术委员会(以下简称“全国信安标委”)作为网络安全国家标准的统一技术归口组织,积极落实网络安全法、《条例》等法律法规要求,紧密围绕关键信息基础设施安全保障体系建设,推动了9项相关标准的研制工作,实现了标准“从无到有”的突破。
《条例》从深入推进关键信息基础设施安全保护统筹协调机制、识别认定范围、加强安全防护指导与监督、保障安全防护重要环节、提升运营者安全能力等方面描述了关键信息基础设施安全保障体系的蓝图。全国信安标委在充分考虑我国关键信息基础设施安全特性的基础上,围绕安全保障体系建设各维度,从边界识别、保护要求、控制措施、保障指标、应急体系、检查评估以及供应链安全、数据安全、信息共享、监测预警等方面系统开展标准研制与标准试点工作,用标准筑牢关键信息基础设施安全保障体系建设的基础。
其中,《信息安全技术关键信息基础设施安全保护要求》站在运营者的角度,对开展安全保护工作提出了安全基本要求,为运营者落实安全主体责任提供依据;《信息安全技术关键信息基础设施安全检查评估指南》提出了对关键信息基础设施安全检查评估的流程和指标;《信息安全技术关键信息基础设施安全控制措施》、《信息安全技术关键信息基础设施安全防护能力评价方法》、《信息安全技术关键信息基础设施信息技术产品供应链安全要求》等标准提出了运营者加强安全保护的措施手段,为有效开展自身安全能力建设、提高安全防护水平提供了全方位、系统化、层次化的标准化指导。此外,《信息安全技术网络安全事件应急演练指南》、《信息安全技术网络安全信息共享指南》、《信息安全技术网络安全态势感知通用技术要求》等关键信息基础设施支撑标准为建立各行业间信息共享和应急演练协同机制提供了重要技术基础。
同时,全国信安标委积极发挥标准化价值,积极探索关键信息基础设施安全保护工作实践新模式,选取金融、能源、交通、电信、卫生健康等行业20余家关键信息基础设施运营者联合开展标准试点,对标准技术条款的可行性、合理性、完备性和科学性进行综合验证,有效提高了标准质量,初步摸清了相关行业的安全防护底数。
法案内容亮点
从内容上看,《条例》坚持总体国家安全观和习近平总书记关于网络强国的重要思想,坚持安全发展、改革创新、问题导向的指导方针,坚持综合协调、分工负责、依法保护,充分发挥行政法规的引领和推动作用,加快推进关键信息基础设施安全保障体系建设。具体来说,《条例》主要内容有以下几个亮点:
一是明晰了关键信息基础设施的定义,并按照抓重点、保关键的思路,围绕关键、信息、基础这三个要素科学界定了关键信息基础设施的范围。《条例》站在总体国家安全观的视角,对关键信息基础设施范围的明确界定,有利于更好地推动国家网络空间安全核心能力建设,筑牢国家网络空间安全的屏障。
二是明确了保护工作部门职责,在充分考虑重点行业、领域业务及网络安全需求的特殊性、专业性的前提下,将行业领域主管监管部门明确为关键信息基础设施安全保护部门,组织领导和监督管理本行业、本领域关键信息基础设施安全保护工作。
三是强化了运营者安全管理,特别强调建立“一把手负责制”,明确了运营者主要负责人负总责,切实保障人财物投入,为安全保护工作的物质基础提供了法律保障。
四是规定了国家保障和促进措施。《条例》明确了建立网络安全信息共享机制、完善监测预警和应急体系、组织开展检查检测、能源和通信服务优先保障、加强安全保卫和防范打击违法犯罪、出台相应标准指导规范等6个方面的保障措施。为体现国家重点支持,《条例》从人才培养、财政金融、技术创新、产业发展、军民融合、表彰奖励、宣传教育等7个方面提出了促进措施。
五是确立了监督管理体制。《条例》规定,在国家网信部门统筹协调下,国务院**部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责安全保护和监督管理工作;省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
法案出台后对中国网络安全的意义
一、关键信息基础设施安全保护立法是各国网络安全战略重要一环
(一)全球网络安全局势复杂严峻对各国关键信息基础设施安全防护提出新挑战。近期,多国基础设施和重要信息系统遭受网络攻击,引发全球震荡,对国家安全稳定造成巨大风险。特别是2021年,美国最大的燃油管道运营商、全球最大的肉类加工企业均因黑客攻击而停摆,导致影响国家乃至全球经济运行的基础设施受损,对全产业链产生连锁影响,也引发了全球关于加强关键信息基础设施安全保护的思考。近期,世界主要国家和地区均强化关键基础设施安全防护。美国不仅大幅增加关键基础设施网络安全方面的资金投入,而且提出多部强化关键基础设施网络安全、预防勒索软件攻击等方面的法案和官方指南。欧盟也在《欧盟安全联盟战略》中将提升关键基础设施的保护和恢复能力作为未来五年网络安全工作的重中之重。
(二)世界主要国家和地区将关键基础设施立法作为网络安全立法中最为关键的环节。美欧在关键基础设施立法方面起步较早,美国早在2001年即颁布了《2001年关键基础设施保护法》,之后相继出台《改进关键基础设施网络安全行政令》《增强联邦政府网络与关键基础设施网络安全行政令》等相关立法。随着网络安全形势的日益严峻,美国积极调整网络安全保护战略,近期发布了《2021年临时国家安全战略方针》《2021年关于加强国家网络安全的行政命令》等相关政策。欧盟出台了《2008年欧盟关键基础设施认定和安全评估指令》《2016年网络与信息安全指令》等多部关键基础设施保护相关立法。俄罗斯2017年颁布了《联邦关键信息基础设施安全法》,澳大利亚2018年颁布了《关键基础设施安全法》。此外,英国、德国、日本等国也出台了关键基础设施保护的相关立法和政策。
(三)我国网络安全法强调对关键信息基础设施适用更高水平保护。我国2016年出台的网络安全法在明确国家网络安全基本制度体系的基础上,对于关键信息基础设施规定了更高水平的安全防护要求。网络安全法规定对关键信息基础设施实行重点保护,并在第三章“网络运行安全”中单设一节对关键信息基础设施安全保护进行专门规定。针对关键信息基础设施安全保护工作中涉及的技术措施、人员机制、数据安全、风险评估等安全管理举措提出更高要求,并强调通过配套立法进一步完善关键信息基础设施安全保护制度,突出了关键信息基础设施在国家整体网络安全制度体系中的重要地位。
二、《条例》确立了我国关键信息基础设施安全保护的具体制度要求
网络安全法对关键信息基础设施安全保护制度相关实施对象、责任主体、工作内容等进行了总体性规定,《条例》作为网络安全法重要配套法规,立足工作落实,界定了适用范围、监管主体、评估对象等关键信息基础设施安全保护相关系列基本要素,提出了安全保护要求和安全保障措施,确保对象具体、权责清晰、任务明确,为安全保护工作开展提供系统指引和工作遵循。
(一)确定保护对象范围。《条例》第二条给出了关键信息基础设施明确定义,第九条提出了保护工作部门制定识别认定规则的重点考虑因素,确定了由保护工作部门负责制定本行业、本领域关键信息基础设施认定规则及清单。认定规则及清单的形成过程一方面须立足实际,充分结合本行业、本领域业务特性和重要性,在量化指标参数的基础上实现清单范围的准确界定;另一方面,清单应当伴随国家网络安全和信息化发展,实现动态调整更新。
(二)明确监管职责分工。为保障关键信息基础设施安全保护工作顺利开展,《条例》设置了科学严谨的监督管理工作机制。在国家层面,国家网信部门负责统筹协调,国务院**部门负责指导监督,国务院电信主管部门和其他有关部门负责行业关键信息基础设施安全保护和监督管理工作;在地方层面,由省级人民政府有关部门负责关键信息基础设施安全保护和监督管理工作。既有效保障了关键信息基础设施安全保护工作统一有序、协同推进,又能充分发挥具体行业部门的专业优势,提升关键信息基础设施安全保护力度。
(三)强化安全主体责任。《条例》强调关键信息基础设施运营者(以下简称运营者)在关键信息基础设施安全保护中承担主体责任,并对于运营者自身安全管理机制的设置进行了严格要求。一是强调主要负责人责任,明确运营者的主要负责人对关键信息基础设施的安全保护负责。二是要求设立专门的安全管理机构,具体负责本单位关键信息基础设施的安全保护工作。三是对关键岗位人员实施安全背景审查,其中包括运营者专门安全管理机构的负责人及其认定的关键岗位人员。四是保障专门安全管理机构运行,为本单位专门安全管理机构提供经费和专业人员保障。
(四)细化安全保护要求。《条例》强化关键信息基础设施的安全保护,在网络安全法的基础上对运营者提出了更高的安全防护要求。一是落实“三同步”要求,要求安全保护措施与关键信息基础设施同步规划、同步建设、同步使用,关键信息基础设施自列入关基清单之日起,在设计建设(改扩建)、运行维护、应急恢复、停用废弃各阶段,应确保落实覆盖全生命周期的安全保护。二是开展定期安全检测和风险评估,运营者须每年至少进行一次网络安全检测和风险评估,可以自行或委托网络安全服务机构进行。三是履行安全事件和威胁报告义务,在发生重大网络安全事件或发现重大网络安全威胁时,运营者应当向相关部门报告。四是落实网络安全审查要求,运营者采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定进行安全审查。五是强化监测预警和信息共享,《条例》提出建立健全关键信息基础设施网络安全监测预警制度,准确把握关键信息基础设施运行状况,促进网络安全信息共享。
(五)强化重点安全保障。一是针对关键信息基础设施实施的漏洞探测、渗透测试等活动,应得到国家网信部门、国务院**部门批准或者保护工作部门、运营者授权。对基础电信网络实施漏洞探测、渗透测试等活动,应当事先向国务院电信主管部门报告。二是能源、电信行业为金融、水利和交通等行业关键信息基础设施稳定运行提供重要支撑及资源保障,基础电信网络还具有基础性、全局性,承载着其他关键信息基础设施。国家将采取措施,优先保障能源、电信等关键信息基础设施安全运行。能源、电信行业将为其他行业和领域的关键信息基础设施安全运行提供重点保障。
实施后,未来工作重点与思考
在网络安全威胁和风险日益突出,关键信息基础设施面临的安全形势日趋严峻的大背景下,《条例》的出台正当其时,也时不我待。《条例》正式实施后,我国关键信息基础设施安全保护工作将进入新的发展阶段,关于未来相关工作重点任务主要有以下几方面的思考:
(一)关键信息基础设施是国家网络安全保障工作的核心和基石,需要国家总体部署、统筹协调。
关键信息基础设施承载或支撑着重要行业和领域关键业务,并成为各行各业运行体系所依赖的关键节点,一旦遭到破坏,通过关联行业、领域逐渐传递,会给国民经济和国家安全造成连锁连片影响的严重后果。作为经济社会运行的神经中枢,关键信息基础设施日益发挥着基础性、全局性、支撑性作用,“牵一发而动全身”。因此,提升我国网络安全保障能力,筑牢国家网络安全屏障,维护国家网络空间主权和国家安全,就要切实抓住关键信息基础设施安全这个“牛鼻子”。
作为国家网络安全保障的核心及全局性工作,关键信息基础设施安全保护必须要坚持总体部署。从这个意义上来说,在中央网络安全和信息化委员会领导下,国家网信部门应发挥好统筹协调职能,不断强化关键信息基础设施安全保护工作的顶层设计、总体布局、统筹协调、整体推进。国务院**部门加强对关键信息基础设施安全保护工作的指导监督。国务院电信主管部门和其他有关部门应根据《条例》规定的职责实施安全保护和监督管理。
(二)持续性的能力评估是完善关键信息基础设施安全保护工作的引导和方向。
通过总结我国关键信息基础设施保护实践经验以及相关法律政策的保护要求,在“十四五”时期,提出适合于我国的关键信息基础设施安全保护能力水平评估体系具有重要的现实意义。安全能力评估是关键信息基础设施安全保护的重要环节,其结果可以直接反映关键信息基础设施的安全保护状况,发现存在的薄弱点,并为关键信息基础设施安全整改和后期安全规划制定提供依据。从长远上看,持续性能力评估是为关键信息基础设施的建设运维管理保障提供了方向,能够起到以评促建、以评促管、以评促改的效果。
(三)做好关键信息基础设施安全保护工作要切实发挥我国制度优势,集聚社会各界力量。
一是要充分发挥我国集中力量办大事的体制优势,进一步加强政企合作、军地协同,发挥政策优势,要由自我保护向国家、行业、运营者共同保护转变,形成工作合力,共同推动关键信息基础设施安全保护工作,应对风险挑战。二是要继续做大做强我国网络安全产业,培育一批自主核心技术突出、经济效益优势明显、生态引领能力显著的领航型品牌企业,以及保障具有技术特色、成长性好的中小企业健康成长,依托其技术、产品、人力和服务优势,整合共享资源,推进安全保护的集约化、专业化、常态化,更好地为关键信息基础设施安全保障提供支撑。三是要发挥行业组织的桥梁纽带作用,积极对接关键信息基础设施运营者与网络安全技术、服务提供者供需双方的实际需求,有力支撑关键信息基础设施安全保护技术创新和产业发展。四是要持续做好关键信息基础设施安全保护相关政策宣贯工作,建议将关键信息基础设施安全保护的相关法律法规学习纳入领导干部和相关企业负责同志的网络安全意识培训之中,将贯彻落实情况逐步纳入各级关键信息基础设施安全保护责任部门和机构的考核之中,并通过“国家网络安全宣传周”等常态化网络安全宣传教育活动,动员全社会共同参与,切实提升全社会关键信息基础设施安全保护意识,形成国家网络安全的强大凝聚力和向心力。
(本文来源于“网信中国”,如有侵权,请联系删除)
