我国《关键信息基础设施安全保护条例》昨日正式施行,这标志着我国网络安全保护进入了以关键信息基础设施安全保护为重点的新阶段。
2021年4月27日,国务院第133次常务会议通过,2021年7月30日中华人民共和国国务院令第745号公布《关键信息基础设施安全保护条例》,自2021年9月1日起施行。
当前,关键基础设施正在成为网络攻击的主要目标。中国、德国、俄罗斯、以色列、智利、伊朗等多个国家的关键基础设施均遭受过不同类型、不同程度的网络攻击,在全球范围内拉响了“红色警报”。 而更为严峻的是,在全球地缘政治热度回归背景下,通过网络手段破坏关键信息基础设施已成为一些国家进行情报收集、获取竞争优势的主要手段。一定程度上恶化了网络空间的不安全和不稳定局面,对一国网络安全保障能力造成了巨大压力。 作为我国首部专门针对关键信息技术设施安全保护工作的行政法规,《关键信息基础设施安全保护条例》(以下简称《条例》),为网络安全行业的健康、有序发展点亮了一盏“航标灯”。
事实上,党中央、国务院一直高度重视网络安全。关于如何加强关键信息基础设施安全工作,习总书记也多次作出重要指示批示:
2014年,习总书记指出“要完善关键信息基础设施保护等法律法规”;
2016年,习总书记明确要求“加快构建关键信息基础设施安全保障体系”;
2018年,习总书记指出“要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任”。
《条例》明确提出了关键信息基础设施的定义,保护范围,相关责任和监管机制,提出了安全保障措施等,让关键信息基础设施安全保护做到了有法可依。从《条例》具体内容来看,《条例》共六章五十一条,大致可梳理为“一二一二一”架构,即围绕关键基础设施及其安全保障,提出一个总纲(界定保护范围及原则目标),设立两大机制(监管机制及认定机制),明确一个主体责任(运营者的责任义务),提出两类措施“协防”(保障和促进措施),承担一切法律责任(约束各方)。
关键词:范围界定
《条例》第二条以列举方式明确了其行业属性和影响属性两大界定标准:一是“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等”八个重要行业和领域;二是“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”。核心标准,主要考虑三个方面的因素:
一是网络设施、信息系统等对本行业、本领域关键核心业务起到基础支撑作用。
二是网络设施、信息系统等一旦遭到破坏,丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。
三是对其他行业和领域具有重要关联性影响。
值得关注的是,鉴于新兴互联网平台用户规模普遍在亿级以上,掌握着海量的高价值数据,如遇网络攻击,其危害程度不亚于传统行业,因此多位专家认为这些平台也可能被纳入关键信息基础设施的范围。
关键词:授权认定
《条例》第二章则对授权认定做出了规定,主要明确了两个要点:一是认定主体,即“关键信息基础设施安全保护工作的部门,主要包括了《条例》第二条所述八个重要行业和领域的主管或监管部门;二是认定依据,《条例》第九条还明确了制定“认定规则”时应依据的“重要程度”“危害程度”和“关联影响”三个主要考量因素。
关键词:责任机制
《条例》对于责任机制的规定主要有三点:一是突出主体责任,运营者在整个保护工作中,因其肩负重要职责而具有的不可替代作用。二是健全责任范围,形成对关键信息基础设施保护工作的全方位责任保障;三是明确责任方式,主要涵盖行政责任、民事责任和刑事责任三大类别。
应该怎么做?
“运营者需重点做好以下三个方面工作。一是落实主体责任,通过建立安全保护制度、设立专门管理机构、加强网络安全意识教育等多种形式,切实保障相关资金落实,建立网络安全保障体系;二是高度重视安全保护工作,合规做好系统建设相关工作;三是定期开展网络安全检测和风险评估,发生重大安全事件应及时向相关部门报告。”
另一方面,企业与安全从业者也是重要参与者,需提供更符合实际场景需求的安全解决方案。作为信息安全领域的从业者,需要加紧进一步提升业内整体威胁分析以及威胁情报运营能力,释放行业、领域的安全态势与通报预警类平台建设需求,进一步拉动端点统一安全管理和响应、欺骗式防御、流量监测与响应等安全服务的采购需求。这样才能与《条例》的要求尽快匹配,从而快速提升我国网络安全综合能力。
随着《条例》的正式施行,关键信息基础实施安全保护将实现有法可依,这将对我国网络安全产业带来发展新机遇,切实加快我国网络强国建设进程。