专家解读一(北京理工大学网络攻防研究所所长 闫怀志 )
2017年6月1日施行的《网络安全法》首次正式明确了关键信息基础设施的概念并提出了关键信息基础设施安全保护的原则要求。2017年7月10日,国家互联网信息办公室向社会公开发布《关键信息基础设施安全保护条例(征求意见稿)》。经广泛征求意见,国家互联网信息办公室对该征求意见稿进行了系统修订和完善,国务院于2021年8月17日正式发布《关键信息基础设施安全保护条例》(下称《条例》)。我们对《条例》的基本定位、重要意义与基本架构,《条例》体现的关键信息基础设施安全保护的基本原则等进行了解读,并给出了关于《条例》贯彻实施的四点建议。
一、《条例》的基本定位、重要意义与基本架构
《条例》是在《网络安全法》框架下全面规范关键信息基础设施安全保护的基础性法规,是加强网络安全领域立法、完善网络安全保护法律法规体系的重要举措,是依法治理关键信息基础设施的纲领性文件之一,是化解关键信息基础设施安全风险的法律法规重器和重要里程碑。《条例》的出台为我国科学、有效开展关键信息基础设施安全保护工作提供了重要的基础规范与法律法规支撑。作为《网络安全法》的重要配套法规,《条例》对关键信息基础设施安全保护的适用范围、关键信息基础设施认定、运营者责任义务、关键信息基础设施安全保护保障与促进以及攸关各方法律责任等提出了更为具体、更具操作性的基本要求。
《条例》以六章共计五十一条的篇幅,对于关键信息基础设施保护一系列相关要素作出具体规定,涵盖:总则(第一至七条)、关键信息基础设施认定(第八至十一条)、运营者责任义务(第十二至二十一条)、保障和促进(第二十二至三十八条)、法律责任(第三十九至四十九条)和附则(第五十至五十一条)。《条例》详细阐明了关键信息基础设施的范围及认定、运营者责任义务,对政府机构、行业主管及监管部门,以及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的关键信息基础设施运营者的责权利进行了规定,并对建立关键信息基础设施网络安全监测预警体系、信息通报制度以及网络安全人才培养等提出了要求,还就违反该条例可能会受到的行政处罚、判处罚金甚至是承担刑事法律责任作出了明确规定。
二、《条例》体现的关键信息基础设施安全保护基本原则
第一,遵循了以《网络安全法》为上位法的基本原则,体现了该法的自然延伸和具体细化。《网络安全法》明确了我国关键信息基础设施安全保护和监督管理要求,该法第三章第二节“关键信息基础设施的运行安全”中对关键信息基础设施安全保护的基本要求、部门分工以及主体责任等问题作了基本法层面的总体制度安排和原则性规范。《条例》是该法在关键信息基础设施安全保护领域的自然延伸和表现,同时将我国近年在该领域一些成熟的好做法制度化,并对未来可能的制度创新作了原则性规定,为后续发展预留了必要的、足够的制度空间。
第二,给出了关键信息基础设施的规范定义,体现了其“大”安全保护原则。《条例》在总则部分给出了关键信息基础设施的定义,该定义聚焦关键信息基础设施范围认定中的“非穷尽列举重要行业和领域+功能保障+危害后果”因素,明确了设施的范围及其性质评判的核心标准,针对重要网络设施、信息系统面临的威胁和风险使用的“一旦遭到攻击、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”这种描述,表明关键信息基础设施的安全保护要从物理安全、功能安全以及信息安全等方面综合考虑,彰显了我国对关键信息基础设施安全保护核心价值的深刻认知。
第三,坚持了统筹协调、共同治理的原则。关键信息基础设施安全保护需要综合协调、分工负责、依法保护。为此,《条例》规定,关键信息基础设施安全保护工作由国家网信部门统筹协调,由国务院公安部门负责指导监督,国务院电信主管部门和其他有关部门、省级人民政府有关部门在各自职责范围内负责关键信息基础设施的安全保护和监督管理,公安、国家安全、保密行政管理、密码管理等有关部门依法实施相关的网络安全检查工作等。这种“1+X”的安全监管体制设计,可形成攸关各方责权清晰、齐抓共管、共同保护关键信息基础设施安全的良好局面,高度契合我国当前关键信息基础设施与现实社会深度融合的特点和保护、监管的实际需要。
第四,明确了运营者主体责任的原则。《条例》单独以整章篇幅,明确要求强化落实关键信息基础设施运营者主体责任,主要包括:建立健全网络安全保护制度和责任制,保障人力、财力和物力投入;运营者主要负责人对关键信息基础设施安全保护负总责;运营者应当设立专门安全管理机构并负责实施相关人员安全背景审查;专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作;运营者负责自行或委托机构实施每年不低于一次的网络安全检测和风险评估,及时整改问题并向保护工作部门报送情况;运营者应就重大网络安全事件或潜在重大安全威胁向保护工作部门或公安机关报告;运营者应优先采购安全可信的网络产品和服务、签订安全保密协议等。
第五,强调了关键信息基础设施安全与信息化发展并重的原则。习近平总书记指出:“安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”具体到关键信息基础设施领域,其安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。为此,《条例》明确提出,安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。因此,既要大力推进关键信息基础设施建设,又要建立健全其安全保护体系、提升其安全保护能力和水平,力求做到“双轮驱动、两翼齐飞”。
第六,突出了关键信息基础设施重点保护的原则。《网络安全法》重点强调了关键信息基础设施的运行安全保护,《条例》继承并发展了该法的原则精神和相关规定,进一步强调并细化了在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者的安全保护主体责任义务,并配以国家安全审查、检查检测等法律行政措施,确保关键信息基础设施的运行安全。其中,特别强调了能源、电信等关键信息基础设施安全运行的优先保障权利,并要求能源、电信行业应采取措施为其他行业和领域的关键信息基础设施安全运行提供重点保障。
三、关于《条例》贯彻实施的四点建议
第一,要对标《条例》,做好关键信息基础设施的认定工作。《网络安全法》对关键信息基础设施运营者的网络安全保护义务设定了明确的法律要求,但并未就关键信息基础设施认定给出明确的认定机构和认定标准。《条例》明确关键信息基础设施需由所涉重要行业和领域的主管部门、监督管理部门来负责其安全保护工作及认定规则制定。认定规则需要考虑的主要因素是网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度、一旦遭到破坏后可能带来的危害程度及对其他行业和领域的关联性影响。因此,关键信息基础设施的认定权限在于该行业和领域的保护工作部门,保护工作部门将认定结果通知运营者,并向国务院公安部门通报。
在《条例》贯彻实施中,可结合关键信息基础设施确定及其网络安全检查实践,重点考虑“关键业务”“支撑关键业务的信息系统或工业控制系统”“根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失”等因素。比如“电信与互联网”领域,关键业务可包括DNS、DC/云服务、语音/数据/互联网基础网络及枢纽等业务。对于认定关键信息基础设施的量化标准,可根据网站、平台和生产业务等不同具体类型确定相应的量化标准。
第二,要坚持从法律法规、政策、标准、技术、实践等多维度开展关键信息基础设施安全保护工作。《条例》从法律法规层面对关键信息基础设施安全保护工作进行了原则规定,在实践过程中,要充分考虑我国国情,做好与已颁布或正在制定法律法规、标准规范等的有效配套和无缝衔接工作。具体涉及的主要法律包括《网络安全法》《密码法》《数据安全法》等,涉及的规章制度包括《网络安全审查办法》等,涉及的标准规范包括全国信息安全标准化技术委员会组织制定的《关键信息基础设施网络安全保护基本要求》等。同时,要进一步重视关键信息基础设施安全威胁信息共享、监测预警、应急处置等协同机制作用的发挥,在国家网络安全法律、标准的统一框架下持续完善。
第三,要运用系统思维,科学、全面、准确地把握关键信息基础设施安全保护工作的重点。《条例》给出的关键信息基础设施保护制度框架是一个统一的整体,在贯彻实施过程中,要把握各类主体全面责任、全流程动态保护和监管、核心重点保护的辩证统一。关键信息基础设施安全保护本身涉及规划、建设、使用、运维乃至废弃等全生命周期,国家、政府、监管、行业主管、运营者等各类主体在其安全保护方面责权不同,但共同维护安全的目标一致,因此需要坚持统筹协调、顶层设计、系统防护的整体思维,切实保障关键信息基础设施安全。
第四,要高度重视和大力加强关键信息基础设施安全保护的人才培养工作。习近平总书记明确指出,“网络空间的竞争,归根结底是人才竞争”。当前,国际信息技术发展日新月异,我国也处于数字化转型升级关键期,各种新场景、新问题、新技术、新方法层出不穷,关键信息基础设施安全保护所面临的任务越来越繁重、挑战越来越艰巨。为此《条例》专门要求,国家将采取措施,鼓励网络安全专门人才从事关键信息基础设施安全保护工作,并将运营者的安全管理人员、安全技术人员培训纳入国家继续教育体系,专门安全管理机构要履行组织网络安全教育、培训职责。在实践中,需要协调动员全社会相关企业、行业组织、高校和科研院所等协作配合,从在职培训和学历教育等多个层次,共同建立适应关键信息基础设施安全保护人才需求特点的队伍建设工作体系。
目前适逢我国新型基础设施建设、数字经济转型进入发展势头如火如荼、保障体系亟需完善的重要战略机遇期,《条例》的公布实施,及时开启了我国关键信息基础设施安全保护进程的新篇章,必将在我国关键信息基础设施安全保护以及国家安全、国计民生、公共利益等保障方面发挥不可或缺、不可替代的积极影响和重要作用。(作者:闫怀志,北京理工大学网络攻防研究所所长)
专家解读二(国家计算机网络应急技术处理协调中心 林星辰)
一、前言
近日,国务院总理李克强签署国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。《条例》的正式出台是我国网络安全顶层设计的又一里程碑事件,标志着从十年前开始酝酿的关键信息基础设施保护法规制定工作,经过漫长的探索、讨论、尝试、试点,终于迎来了有规可依、有章可循的新时代。理解好、落实好、执行好《条例》,对维护国家网络安全、保障关键信息基础设施平稳运行具有重要意义。
二、关键信息基础设施安全综合保护体系
《条例》最突出的特点,就是建立了以国家网信部门、国务院公安部门、关键信息基础设施保护工作部门(以下简称“保护工作部门”)、关键信息基础设施运营者(以下简称“运营者”)为主体的三层架构的关键信息基础设施安全综合保护责任体系。另外,省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
(一)综合保护体系的第一层是国家网信部门和国务院公安部门等国家有关职能部门
国家网信部门负责关键信息基础设施安全保护工作的统筹协调。“党政军民学,东南西北中,党是领导一切的”。国家网信部门负责统筹协调关键信息基础设施安全保护工作,既是落实“党管互联网”原则的应有之义,也是确保党中央将关键信息基础设施安全保护的重要部署和重大举措落实到位的有力保障。国家网信部门位于关键信息基础设施安全保护责任体系的顶层,在具有全局性、方向性、基础性的问题上发挥关键作用,统筹协调国务院公安部门、保护工作部门开展工作。
公安部门负责指导监督关键信息基础设施安全保护工作。《条例》赋予了公安部门除了打击网络违法犯罪之外更多的工作职能,具体体现在:关键信息基础设施认定规则备案、协助运营者开展安全背景审查、为保护工作部门提供技术支持和协助等方面。
除此之外,国家安全、保密行政管理、密码管理等部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
(二)综合保护体系的第二层是保护工作部门
国务院电信主管部门和其他有关部门在各自职责范围内负责关键信息基础设施安全保护和监管管理工作。在关键信息基础设施保护体系中,保护工作部门是与运营者联系最密切、打交道最直接、具体职责最丰富的国家主管、监管部门。
首先,关键信息基础设施的认定规则,由保护工作部门负责制定。开展关键信息基础设施保护,第一步是弄清关键信息基础设施保护的具体对象。《条例》规定,认定关键信息基础设施,应结合本行业、本领域的实际情况和不同特点,综合考虑重要程度、破坏后的危害程度、与其他行业的关联性等因素。由此可见,关键信息基础设施的认定工作与行业关键业务高度相关,由保护工作部门制定认定规则最为合理。
其次,保护工作部门是运营者的主要报告对象。运营者的报告义务主要有四种,分别在《条例》第十一条、十七条、十八条、二十一条中规定,主要有:影响关键信息基础设施认定结果的重大变化、年度网络安全检测和风险评估情况、发生重大网络安全事件和发现重大网络安全威胁、运营者发生合并分立解散等情况。以上四种情况的报告对象都为保护工作部门。
第三,《条例》规定了保护工作部门对关键信息基础设施的保障促进职能。具体包括:在本行业、本领域制定关键信息基础设施安全规划、建立监测预警制度、建立健全应急预案、定期组织应急演练、组织开展检查检测等。
特别值得一提的是,前不久刚刚公开的《党委(党组)网络安全工作责任制实施办法》规定了行业主管监管部门对本行业本领域的网络安全工作所承担的一系列职责,与《条例》中对保护工作部门职责的规定相一致。《条例》的相关规定,既是贯彻落实党的方针路线政策的具体实践,也是把党的主张通过法定程序转化为国家法律法规的具体体现。
(三)综合保护体系的第三层是关键信息基础设施运营者
《条例》第四条规定,“强化和落实关键信息基础设施运营者主体责任”。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,应发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。尽管需要全社会共同保护,但仍然改变不了运营者在综合保护体系中的主体责任地位。《条例》第三章集中规定了运营者的主体责任义务,具体表现有:一是落实“三同步”安全要求。二是建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。三是设置专门安全管理机构。四是按照《条例》第十五条的规定,落实专门安全管理机构的各项职责。五是每年至少进行一次网络安全检测和风险评估。六是及时报告重大网络安全事件和网络安全威胁。七是优先采购安全可信的网络产品和服务。八是明确其网络产品和服务提供者的技术支持和安全保密义务与责任,并对履行情况进行监督。九是在发生合并、分立、解散等情况时,及时报告保护工作部门,并按保护工作部门的要求进行处置。
另外,《条例》不仅规定了运营者的责任义务,还充分发挥政府及社会各方面的支撑保障和协助支持作用,以增加运营者在开展关键信息基础设施保护工作方面的“获得感”。具体表现有:一是在开展机构负责人和关键岗位人员的安全背景审查方面,《条例》第十四条规定公安机关、国家安全机关应当予以协助。二是《条例》第七条规定,对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。三是《条例》第十六条规定开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与,改变了以往安全部门“有职无权”的困境。四是《条例》第二十五条规定在开展网络安全事件处置时,可由保护工作部门提供技术支持与协助。五是《条例》第三十五条规定,国家采取措施,鼓励网络安全专门人才从事关键信息基础设施安全保护工作;将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。六是《条例》第三十二条规定,能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。
(四)省级人民政府有关部门
《条例》第三条规定,省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。省级人民政府有关部门在关键信息基础设施保护工作体系中的职能主要体现在:一是根据条块管理的职责划分,在国家网信部门的统筹协调下,与国务院公安部门、保护工作部门协调开展关键信息基础设施保护工作。二是根据《党委(党组)网络安全工作责任制实施办法》的规定,对本地区没有主管监管部门的运营者负指导监管责任。
三、结语
《条例》建立的关键信息基础设施安全综合保护体系是以运营者为主体的综合治理体系,在压实运营者主体责任的基础上,充分发挥政府和社会力量,赋予运营者必要的支持协助。从层次结构上看,形成了“网信公安-保护工作部门-运营者”的三层体系结构;从参与部门看,既有本行业的主管部门,也涵盖了电信、能源、国家安全、保密、密码等对关键信息基础设施至关重要的主管监管部门;从职能协调看,明确了部门与部门、部门与地方、部门与运营者的各方职责。总体上看,《条例》充分调动了全社会的积极力量,建立起一套完整、科学、严密的制度框架。我们有理由相信,随着《条例》的正式施行,我国的关键信息基础设施保护工作将翻开新的篇章。(作者:林星辰,国家计算机网络应急技术处理协调中心)
专家解读三(国家信息技术安全研究中心 俞克群)
关键信息基础设施是国家重要的战略资源,关系国家安全、国计民生和公共利益,具有基础性、支撑性、全局性作用,保护关键信息基础设施安全是国家网络安全工作的重中之重。出台实施《关键信息基础设施安全保护条例》(以下简称《条例》)是完善我国网络空间治理,强化关键信息基础设施安全保护,维护国家安全和发展利益的应时应势之举,意义重大,影响深远。
一、关键信息基础设施安全是网络安全的重中之重
习近平总书记在网络安全和信息化工作座谈会上指出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标......我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。”习近平总书记的重要指示为我们开展关键信息基础设施安全保护工作指明了方向。
世界各国高度重视关键信息基础设施安全,美欧等通过立法或发布政策文件将关键基础设施安全的网络安全保护提升到国家安全战略层面。围绕关键信息基础设施安全的网络攻防已成为国家间战略博弈的重要领域和网络空间高强度对抗的主战场。
我国2017年正式实施的网络安全法明确就关键信息基础设施运行安全提出要求。《条例》的出台实施,是践行习近平总书记关于网络强国的重要思想,贯彻党中央、国务院重大决策部署的重要举措,是落实网络安全法有关要求,完善我国关键信息基础设施安全保护工作的法治保障,也是网络空间领域贯彻总体国家安全观,应对当前国际形势新变局,维护网络空间主权安全的应有之义。
二、《条例》的出台实施,为开展关键信息基础设施安全保护工作提供了基本遵循
《条例》作为依据网络安全法制定的行政法规,是对网络安全法关于关键信息基础设施运行安全相关规定的落实和细化,促进了我国关键信息基础设施安全保护的法律法规体系构建完善。
(一)明确关键信息基础设施安全保护工作的对象和关键流程。《条例》对关键信息基础设施的概念和范围作出了明确界定。同时,还对关键信息基础设施认定和变更、运营者设置专门安全管理机构、网络安全事件和威胁报告等关键环节设置了流程化、规范化的要求指引。
(二)明确国家对关键信息基础设施的重点保护、保障和促进措施。《条例》确立了“综合协调、分工负责、依法保护”的工作原则,明确了国家网信部门、国务院公安部门、保护工作部门、地方政府的职责分工,形成监管保护合力;另一方面,《条例》提出了围绕关键信息基础设施的信息共享、监测预警、应急处置、检查检测、军地协同等保护保障措施,以及专业人才培养、技术创新和产业发展、网络安全服务机构建设管理等促进措施,体现了国家对关键信息基础设施实行重点保护的意志和决心;此外,《条例》还作出特别规定,禁止非法侵入、干扰、破坏关键信息基础设施,任何组织和个人一旦实施危害关键信息基础设施安全的行为将面临法律法规的严惩。
(三)明确关键信息基础设施运营者的责任义务。《条例》重点压实了关键信息基础设施运营者(以下简称“运营者”)的主体责任,从安全保护措施、建立健全保护制度和责任制、设置专门安全管理机构、经费和人员投入、检测评估、网络安全事件及威胁报告、网络产品和服务采购等多个层面提出了明确要求,构建了开展关键信息基础设施安全保护工作的长效机制。
三、落实《条例》要求,提升关键信息基础设施安全保护能力水平的几点思考
一是强化意识,深刻认识关键信息基础设施安全保护工作的重要性。从事关键信息基础设施运营和保护工作的单位和个人应充分意识到,做好关键信息基础设施安全保护工作不仅事关自身系统安全和业务稳定运行,更关乎国计民生,要深刻认识到确保关键信息基础设施安全的极端重要性,站立高位、保持清醒、敢于担当、勇于作为,以国家网络安全为己任,严格落实相关法律、政策、制度的要求。
二是明晰底数,精准掌握关键信息基础设施安全运行情况。掌握关键信息基础设施安全运行的网络和数据资产信息,是国家主管监管部门和保护工作部门开展指导监督工作的重要前提;对于运营者而言,更是落实主体责任,加强防护工作的必要手段。一方面,应全面梳理关键信息基础设施网络产品和服务情况,在掌握关键信息基础设施网络资产的基础上,进一步梳理组件级的型号信息、配置设置信息等,支撑供应链网络攻击发生后的快速定位和准确研判。另一方面,应厘清关键信息基础设施承载的数据资产,梳理数据采集、加工、传输情况,分析数据流动条件和路径。此外,对于涉及控制类系统的关键信息基础设施,应在上述措施基础上,重点加强分析识别,最大限度地掌握触发或可能触发控制动作的协议、指令情况,以及可能触及核心控制设备、系统的数据流及具有操作权限的人员情况。
三是提升能力,全面加强关键信息基础设施安全防护。运营者应重点从脆弱性和风险隐患自查自纠、安全事件和威胁分析研判、极端极限情况下关键信息基础设施的持续稳定运行等能力入手,加强相应的手段建设,逐步培养网络安全专业人才队伍,注重防护措施有效性的检验评价,强化网络安全防护持续运营理念;对于网络安全学术界、企业、研究机构而言,应针对关键信息基础设施的特殊性、重要性,以风险识别、评估、防范、化解为关注重点,从理论、方法、技术多个层面加强研发攻关,为关键信息基础设施安全防护提供技术支撑。
四是全面贯通,合力推动关键信息基础设施安全保护工作。一方面,《条例》中的信息共享、监测预警、应急处置、检查检测等措施需要各有关部门进一步体系化、制度化、常态化推动完善;另一方面,《条例》中对运营者“采购网络产品和服务可能影响国家安全的”情况的相关要求与国家网络安全审查制度一脉相承,运营者应在落实网络安全审查、保障关键信息基础设施供应链安全的工作过程中进一步提升主动性。
落实关键信息基础设施保护制度,需要政、产、学、研、用各个层面的通力合作,社会各界应强化认识、找准定位、贡献力量,共同筑牢国家网络安全屏障,进而为维护国家安全、经济发展和社会稳定提供坚实支撑。
(信息中心供稿)
附件: 《关键信息基础设施安全保护条例》原文