我国网络安全保护进入新阶段

□ 法治日报全媒体记者 张维

7月30日，国务院总理李克强签署第745号国务院令，公布《关键信息基础设施安全保护条例》（以下简称《条例》），自2021年9月1日起施行。

多位网络安全领域专家近日接受《法治日报》记者采访时表示，作为网络安全法的重要配套立法，《条例》的出台标志着我国网络安全保护进入以关键信息基础设施安全保护为重点的新阶段，将为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。

关乎国家安全

“在网络安全威胁和风险日益突出，关键信息基础设施面临的安全形势日趋严峻的大背景下，《条例》的出台正当其时，也时不我待。”中国网络空间安全协会秘书长李欲晓说。

放眼全球，关键信息基础设施安全保护立法正是各国网络安全战略重要一环。

“全球网络安全局势复杂严峻，对各国关键信息基础设施安全防护提出新挑战。”中国信息通信研究院院长余晓晖说，近期，世界主要国家和地区均强化关键基础设施安全防护，关键基础设施立法更是作为网络安全立法中最为关键的环节。

国家信息技术安全研究中心主任俞克群指出，围绕关键信息基础设施安全的网络攻防，已成为国家间战略博弈的重要领域和网络空间高强度对抗的主战场。

在我国，2016年出台的网络安全法强调对关键信息基础设施适用更高水平保护。“网络安全法在明确国家网络安全基本制度体系的基础上，对于关键信息基础设施规定了更高水平的安全防护要求。”余晓晖说，网络安全法规定对关键信息基础设施实行重点保护，并在第三章“网络运行安全”中单设一节对关键信息基础设施安全保护进行专门规定。

《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出了“加快数字化发展，建设数字中国”的目标。“要实现这一宏伟目标，就必须重点保障关键信息基础设施安全，否则信息化发展成果往往容易成为无本之木、无基之台。一旦遭到网络攻击，就可能毁于一旦。同时，保障关键信息基础设施的安全还是维护国家安全、政治安全的基础。关键信息基础设施一旦遭到攻击或丧失功能，将有可能危害国家安全。”北京邮电大学互联网治理与法律中心执行主任谢永江说。

确立监管体制

《条例》的出台实施，为开展关键信息基础设施安全保护工作提供了基本遵循，为关键信息基础设施保护补强了法治之网。

《条例》明晰了关键信息基础设施的定义，并按照抓重点、保关键的思路，围绕关键、信息、基础这三个要素科学界定了关键信息基础设施的范围。《条例》站在总体国家安全观的视角，对关键信息基础设施范围的明确界定，有利于更好地推动国家网络空间安全核心能力建设，筑牢国家网络空间安全的屏障。

《条例》明确了保护工作部门职责，在充分考虑重点行业、领域业务及网络安全需求的特殊性、专业性的前提下，将行业领域主管监管部门明确为关键信息基础设施安全保护部门，组织领导和监督管理本行业、本领域关键信息基础设施安全保护工作。

《条例》强化了运营者安全管理，特别强调建立“一把手”负责制，明确了运营者主要负责人负总责，切实保障人财物投入，为安全保护工作的物质基础提供了法律保障。

《条例》规定了国家保障和促进措施，明确了建立网络安全信息共享机制、完善监测预警和应急体系、组织开展检查检测、能源和通信服务优先保障、加强安全保卫和防范打击违法犯罪、出台相应标准指导规范等6个方面的保障措施。为体现国家重点支持，《条例》从人才培养、财政金融、技术创新、产业发展、军民融合、表彰奖励、宣传教育7个方面提出了促进措施。

《条例》确立了监督管理体制，规定在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作；国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责安全保护和监督管理工作；省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

谢永江认为，《条例》为关键信息基础设施的安全提供了体系化保护，也为各个责任主体落实关键信息基础设施安全保护责任提供了法律依据。

形成工作合力

《条例》正式实施后，我国关键信息基础设施安全保护工作将进入新的发展阶段，未来的工作重点任务将主要落在哪些方面？

李欲晓认为，关键信息基础设施是国家网络安全保障工作的核心和基石，需要国家总体部署、统筹协调。在中央网络安全和信息化委员会领导下，国家网信部门应发挥好统筹协调职能，不断强化关键信息基础设施安全保护工作的顶层设计、总体布局、统筹协调、整体推进。国务院公安部门加强对关键信息基础设施安全保护工作的指导监督。国务院电信主管部门和其他有关部门应根据《条例》规定的职责实施安全保护和监督管理。

在俞克群看来，运营者应重点从脆弱性和风险隐患自查自纠、安全事件和威胁分析研判、极端极限情况下关键信息基础设施的持续稳定运行等能力入手，加强相应的手段建设，逐步培养网络安全专业人才队伍，注重防护措施有效性的检验评价，强化网络安全防护持续运营理念；对于网络安全学术界、企业、研究机构而言，应针对关键信息基础设施的特殊性、重要性，以风险识别、评估、防范、化解为关注重点，从理论、方法、技术多个层面加强研发攻关，为关键信息基础设施安全防护提供技术支撑。

余晓晖提出，完善配套标准规范体系。围绕关键信息基础设施共性安全需求和基线安全要求，加快制定出台国家标准。保护工作部门聚焦行业实际和特点，深入推进行业关键信息基础设施标准建设，并组织实施。围绕运营者责任义务、信息共享模式、协同处置机制、安全防护能力认定等关键方面开展管理机制深入研究。

中国电子技术标准化研究院党委书记、副院长杨建军建议，持续增强标准化顶层设计。关键信息基础设施安全标准化工作应充分结合行业和领域需求，重点围绕网络安全法、数据安全法、关键信息基础设施安全保护条例等法律法规要求的落地实施，以整体提高关键信息基础设施运营者安全保护能力为主要目标，充分借鉴国际先进标准研制成果，加快推动监测预警、态势感知、信息共享等重点领域标准研制。