關鍵信息基礎設施 安全保護有法可依

◎本刊特約觀察員 李甄情

今年5月國家互聯網應急中心（CNCERT）發布的《2020年我國互聯網網絡安全態勢綜述》數據顯示，勒索病毒、APT攻擊、系統漏洞、數據安全等安全問題已逐漸成為企業、政府機構、金融機構等對網絡安全性要求較高用戶群體最為關心的核心問題之一。關鍵信息基礎設施網絡安全事故多發，嚴重危害網絡安全行業的健康、有序發展。

國務院總理李克強日前簽署國務院令，公布《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》），自2021年9月1日起施行。關鍵信息基礎設施安全決定網絡安全，此前《網絡安全審查辦法》也增加了對關鍵信息基礎設施的重視程度，同時在網絡安全審查重點第九條第二點中強調，“產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害”，并認為其可能帶來國家安全風險。《條例》從我國國情出發，借鑒國外通行做法，明確了關鍵信息基礎設施的定義和認定程序。一是明確關鍵信息基礎設施的定義。二是明確關鍵信息基礎設施所在行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門。三是明確由保護工作部門結合本行業、本領域實際，制定關鍵信息基礎設施認定規則，并組織認定本行業、本領域的關鍵信息基礎設施。四是規定關鍵信息基礎設施發生較大變化，可能影響其認定結果時，運營者應當及時報告保護工作部門，由保護工作部門重新認定。

《條例》是《網絡安全法》的一部重要配套法規，用較大的篇幅強化了關鍵信息基礎設施運營者的主體責任。傳統的安全建設往往注重先進和高效的技術防御平臺建設，卻忽視了平臺的持續運營能力和對事件的應急處置能力。大多數單位真正缺乏的是“用好安全產品”和“應對突發事件”的能力，這無論是對關鍵信息基礎設施運營單位的安全團隊還是對提供產品和服務的安全企業，都是一個需要投入精力去解決的問題。

運營者需重點做好以下三個方面工作。一是落實主體責任，通過建立安全保護制度、設立專門管理機構、加強網絡安全意識教育等多種形式，切實保障相關資金落實，建立網絡安全保障體系；二是高度重視安全保護工作，合規做好系統建設相關工作；三是定期開展網絡安全檢測和風險評估，發生重大安全事件應及時向相關部門報告。

總體來看，關鍵信息基礎設施安全保護體系的建設更強調總體規劃、技術可信、持續運營和有效性監管，要求整個行業的從業者共同協作，建立更完善的產業生態體系。