以關鍵信息基礎設施安全防護 筑牢網絡安全之基

2021 年 7 月 30 日，國務院正式頒布《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）。作為《網絡安全法》的重要配套法規，《條例》突出維護關鍵信息基礎設施安全在經濟、政治、社會中的價值定位，確立了我國關鍵信息基礎設施范圍和保護工作原則目標，理清了監督管理體制，完善了關鍵信息基礎設施認定機制，明確了運營者責任義務，正式開啟了我國關鍵信息基礎設施安全保護的新格局。

一、《條例》出臺意義重大

當前，隨著數字化發展的不斷深入，國家關鍵信息基礎設施已被視為國家的重要戰略資源，面臨的網絡安全形勢和外部環境復雜多變。一方面，美國將我國視為網絡空間主要戰略對手，中美網絡博弈日趨嚴峻激烈，新技術新應用發展迅猛，安全風險錯綜交織，關鍵信息基礎設施面臨的安全風險和隱患愈加突出。另一方面，由于歷史和現實原因，我國關鍵信息基礎設施和核心要害部位仍大量使用國外信息技術產品和服務，一旦發生重大安全事件，將產生巨大的破壞力和殺傷力，造成巨大經濟損失，危害國家政治穩定。加強國家關鍵信息基礎設施安全保護已成為新形勢下切實維護國家網絡安全的迫切需要。

黨的十八大以來，以習近平同志為核心的黨中央提出了依法治國戰略，加強和推進網絡空間法治化進程。《條例》的出臺是貫徹落實“依法治國”戰略、新形勢下應對重大戰略風險挑戰的強基固本之舉，是推進網絡安全法治化的重要成果，是落實《網絡安全法》的具體體現，為我國加強國家關鍵信息基礎設施的網絡安全保護工作提供有力抓手和法治保障。以立法形式保護關鍵基礎設施安全，已成為當今世界各國網絡空間安全制度建設的核心內容和基本實踐。

《條例》的出臺，立足工作落實，明確了關鍵信息基礎設施范圍界定、職責分工、安全檢查檢測機制等安全保護要求和保障措施，確保對象具體、權責清晰、任務明確，既是積極應對網絡空間形勢的現實需要，也有利于進一步提升我國網絡安全保障的整體水平。

二、《條例》重點內容解讀

作為關鍵信息基礎設施安全保護的專項行政法規，《條例》通過統籌立法內容和權責劃分兩方面，進一步聚焦關鍵信息基礎設施安全保護工作實踐中的突出問題，強化和落實各主體擔負的權責和工作協同機制，規定了我國關鍵信息基礎設施保護的基本制度架構，為我國關鍵信息基礎設施的網絡安全保護工作奠定良好的效力基礎。

一是采用“范圍列舉 + 授權認定”方式界定概念。《條例》從立法和規范等層面入手，采用了“范圍列舉+授權認定”的方法，對關鍵信息基礎設施的概念定義作出明確法律界定，將關鍵信息基礎設施定位于“重要網絡設施和信息系統”，并以列舉方式明確了其行業屬性和影響屬性兩大界定標準，確保有法可依、監管到位。

二是明確“分類管理+重點保護”的監管體系。《條例》在《網絡安全法》所確定的管理框架內，對關鍵信息基礎設施保護的管理體系進行細分細化，強化保護工作的組織管理基礎，包括明確不同部門職能，涉及統籌協調部門（國家網信部門）、指導監督部門（國務院公安部門）、保護工作部門（重要行業和領域的主管、監管部門）；明確主要部門的重點管理內容，進一步理順統一領導、相互協作的工作機制，保障保護工作的推進實施。

三是實行“動態全面+綜合防護”的安全防護措施。《網絡安全法》強調在等級保護的基礎上實行重點保護，對關鍵信息基礎設施采取監測預警、風險評估、信息共享、應急處置等安全保護措施。《條例》基于風險控制的動態安全保護周期過程，明確了關鍵信息基礎設施保護的識別認定、安全防護、檢測評估、監測預警和應急處置五個基本環節，進一步細化對關鍵信息基礎設施保護的實施細則，確保安全防護覆蓋關鍵信息基礎設施的全生命周期，保證安全保護措施與關鍵信息基礎設施同步規劃、同步建設、同步使用，共同構建起對關鍵信息基礎設施安全合規的綜合安全防護防線。

三、加強構建國家關鍵信息基礎設施網絡安全保障能力

面對我國建設網絡強國重要目標，唯有不斷提升對關鍵信息基礎設施中潛在問題和隱患的發現能力，明確存在的能力短板、找到制約的因素與亟待解決的問題，方能開創新的治理篇章。

一是進一步優化完善配套標準規范體系。盡快制訂關鍵信息基礎設施安全標準是落實關鍵信息基礎設施安全保護的重要抓手，其與已有等級保護、信息系統安全等標準存在相互支撐、相互補充的關系。以事件管理、信息共享、應急響應、供應鏈安全等作為支撐，以現有信息安全標準，包括管理、技術、測評等標準作為補充，結合關鍵信息基礎設施主要安全風險及國內外相關標準情況，盡快健全完善關鍵信息基礎設施識別認定指南，完善監測預警、態勢感知、信息共享、評估檢測等相關標準體系，指導規范各方關鍵信息基礎設施安全保護工作。

二是以風險為導向持續深化安全檢測評估。《條例》要求：“運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估”。如何推進以風險為導向的安全檢測和風險評估工作，實際上就是落實關鍵信息基礎設施需要重點保護的要求，充分考慮關鍵信息基礎設施承載業務的關鍵屬性，結合嚴峻復雜的外部環境，在現有等級保護、行業標準等傳統合規風險評估基礎上，建立一套動態性、擴展性的網絡安全綜合風險評估體系，以發現安全風險隱患和網絡攻擊竊密線索為主線，消除現實安全威脅，堵塞漏洞隱患，提升反間諜安全防范能力，適應新時代網絡安全防護要求。

三是加強對關鍵敏感數據的安全監管。在《條例》的基礎上，結合《數據安全法》，積極探索建立“關鍵信息基礎設施數據安全管理制度”，構建國家、重點敏感行業和核心骨干企業三個層面的數據安全防護機制與體系，切實保障關鍵信息基礎設施數據收集、存儲、使用、加工、傳輸、提供、公開等各個環節的安全高效與可信應用。特別是加強對涉及關鍵信息基礎設施的核心業務數據和關鍵敏感數據的出入境安全檢測，形成“全生命周期”“全鏈條環節”的數據安全監管體系，確保監管到位、不留死角。