國務院發布關基保護條例，落實安全責任義務需遵循何種標準？

小貝案語

■  2021年8月17日，“中國政府網”公布了國務院第745號令《關鍵信息基礎設施安全保護條例》（后文簡稱《條例》）。《條例》于4月27日經國務院常務會議審議通過，將于9月1日起施行。《條例》對關鍵信息基礎設施運營者提出了一系列安全要求，因屬法定義務，故受到各方密切關注。那么，運營者應當如何落實這些義務？今后主管部門將依據什么對運營者進行監督檢查？此前的網絡安全等級保護工作中，監督檢查要以GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》為依據，且基于此建立了一整套等級保護標準體系。與此類似，關鍵信息基礎設施安全保護也有安全標準體系設計，其中與GB/T 22239-2019同等地位的是兩個基礎標準《信息安全技術 關鍵信息基礎設施安全保護要求》和《信息安全技術 關鍵信息基礎設施安全控制措施》。今天，小貝團隊對關鍵信息基礎設施安全保護基礎標準作解讀。解讀的重點不在技術細節，而是分析《條例》中安全責任義務如何落實，介紹有關工作進展，闡述標準起草思路。

《條例》規定，關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。這是我國網絡安全保護的重中之重，是各行各業安全生產的基礎，保關鍵信息基礎設施就是保國家安全。

同時，由于各類大型互聯網平臺不但擁有海量用戶，且支撐了經濟社會很多基礎功能的運轉，不排除會有一批大型互聯網平臺被列為關鍵信息基礎設施。因此，《條例》受到了普遍關注。

顯然，這是一項影響廣泛的重要制度。鑒于9月1日施行日期已然臨近，如何理解并落實《條例》中的法定責任義務要求成為當務之急。

對于法律法規中規定的運營者責任義務，很多人認識上可能存在誤區，認為法律法規中規定了幾條就是幾條，逐條落實就可以了。實則不然。國外有一種文件類型叫做“技術性法規”，它首先是法規，靠法律實施機制去保證落實，但其規范的又是技術問題，所以可能會寫得很厚，上百頁不足為奇。大家耳熟能詳的歐盟《通用數據保護條例》（GDPR）便是一例。這在我們國家是不可想象的，因為我們的法律規定必然是抽象的、原則的，不可能寫成技術文檔。

但網絡安全的技術要求又不可能幾句話說清楚，怎么辦？

一般而言，法律法規只會列舉幾條或幾款主要要求，但往往很難窮盡，更重要的是規定相應的保護制度，明確主管部門。后續由主管部門建立和實施保護制度，并組織制定標準，在標準中提出具體的安全要求。只有遵循法律法規中確立的保護制度，落實主管部門的標準要求，這才算履行了法律法規的安全責任義務。

這兩天，各方都在積極解讀《條例》，一些企業甚至宣稱已經推出了《條例》合規產品與服務，事實上這是不可能的。

因為存在著關鍵信息基礎設施安全標準體系，而落實這些標準，特別是落實安全保護方面的基礎標準、主要標準，才能算是真正意義上落實了《條例》的責任義務要求。因此，在談及落實《條例》時，絕對不可回避的事項是關鍵信息基礎設施安全標準體系。

《條例》規定，在國家網信部門統籌協調下，國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作。目前，在公安部指導下，在全國信息安全標準化技術委員會的組織下，這個標準體系正在抓緊建立。就安全保護的責任義務而言，其中最基礎的兩個標準是《信息安全技術關鍵信息基礎設施安全保護要求》（以下簡稱《保護要求》）和《信息安全技術關鍵信息基礎設施安全控制措施》（以下簡稱《控制措施》）。

一、關鍵信息基礎設施安全標準體系

《條例》指出，關鍵信息基礎設施運營者應當在網絡安全等級保護的基礎上，采取技術保護措施和其他必要措施，保障關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。因此，運營者首先需要遵循網絡安全等級保護系列標準，以及其他可適用的標準。除此之外，也還需要針對關鍵信息基礎設施保護制定若干新的專門標準。就其功能而言，這些專門標準可分為重要標準、支撐標準以及特定領域標準（如金融類關鍵信息基礎設施安全保護要求）。

下圖列出了關鍵信息基礎設施安全保護的重要標準（不含支撐標準和特定領域標準），分別從分析識別、安全防護、檢測評估、監測預警、技術對抗、事件處置六個環節展開。其中，以綠色方框表示的標準正在制定之中，以黃色方框表示的標準正在規劃。需要指出，該圖僅為示意，不代表最終狀態，一些標準的名稱也可能會發生變化。為方便展示，圖中將“關鍵信息基礎設施”簡寫為“CII”，并略去了標準名中的“信息安全技術”前綴。

上圖中，《保護要求》和《控制措施》是安全保護的基礎標準，也是運營者在法律意義上不可或缺的責任義務要求。

二、《信息安全技術關鍵信息基礎設施安全保護要求》和《信息安全技術關鍵信息基礎設施安全控制措施》進展

《保護要求》和《控制措施》是什么關系呢？這與信息安全管理體系系列標準中的ISO/IEC 27001和ISO/IEC 27002關系類似。ISO/IEC 27001是總體要求，ISO/IEC 27002則是實現ISO/IEC 27001總體要求的具體措施。這就相當于，某標準提出了要保護數據的保密性，但不指定具體實現方式，另一標準則規定了要使用密碼技術來保護數據。

換言之，《保護要求》提出的是原則性要求，側重于安全保護的基本措施、目標效果；《控制措施》則對《保護要求》作了充分展開，規定了達到目標效果的具體實現方式。

《保護要求》和《控制措施》均于2017年在國家標準化管理委員會立項，由全國信息安全標準化技術委員會歸口管理。《保護要求》的牽頭起草單位是中國電子技術標準化研究院，《控制措施》的牽頭起草單位是中國信息安全研究院。

總體看來，這兩個標準的進度慢于預期。近幾年，關鍵信息基礎設施安全保護職責經歷了一個協調的過程，兩個標準進度滯后與此有關。職責明確后，《保護要求》和《控制措施》正在公安部的指導和周密組織下，加速推進。

需要指出，《保護要求》和《控制措施》最初先后經歷了草稿、征求意見稿、送審稿階段，并已于2019年形成報批稿、2020年4月上報國標委。現在一些人手上拿到的“報批稿”即為2019年的報批稿狀態。但在關鍵信息基礎設施安全明確由國家網信部門統籌協調、國務院公安部門指導監督后，公安部根據國內外網絡安全形勢發展和實際工作需要，對《保護要求》和《控制措施》提出了更具體的要求，這也是為了同《條例》保持一致。為保證標準的科學性合理性，公安部網絡安全保衛局的領導親自參加起草組，直接領導標準起草，花費了大量心血。因此，《保護要求》和《控制措施》絕不等同于一般的標準，其反映了關鍵信息基礎設施安全保護指導監督部門的意志。

因此，雖然《保護要求》和《控制措施》已經報批，但此后還是經歷了較大改動。為科學嚴謹計，兩個標準退回到最初狀態，重新經過評審與嚴格把關。目前，《保護要求》已經通過了送審稿的審查，按程序將進入報批稿階段；《控制措施》尚處于草稿階段（這與《控制措施》需看齊《保護要求》有關）。建議各方不要以2019年的報批稿作為合規依據。

隨著《條例》的公布和即將實施，《保護要求》和《控制措施》的制定速度料將加快。僅僅將《條例》的條款作為責任義務來源顯然不夠。

三、關鍵信息基礎設施安全基礎標準的起草思路和主要內容

《保護要求》提出，關鍵信息基礎設施安全保護應遵循以下基本原則：

——在等級保護制度基礎上加強保護。關鍵信息基礎設施安全保護應首先符合網絡安全等級保護制度相關要求，在滿足“合規性”防護的基礎上，重點加強關鍵信息基礎設施關鍵業務的風險識別能力、抗攻擊能力、可恢復能力，確保關鍵信息基礎設施業務穩定、持續運行。

——以關鍵業務為核心的整體防控。關鍵信息基礎設施安全保護應以保護關鍵業務為目標，對業務所涉及的一個或多個網絡和信息系統進行體系化安全設計，構建整體安全保障體系。

——以風險管理為導向的動態防護。根據關鍵信息基礎設施所面臨的安全威脅態勢進行持續監測和安全控制措施的動態調整，形成動態的安全防護機制，及時有效的防范應對安全風險。

——以信息共享為基礎的協同聯控。在國家監管部門、保護工作部門建立的聯防聯控機制下，積極構建與國家監管部門、保護工作部門以及其他相關組織的信息共享、協同聯動的共同防護機制，提升關鍵信息基礎設施應對國家級網絡攻擊威脅的能力。

《保護要求》將關鍵信息基礎設施安全保護分為分析識別、安全防護、檢測評估、監測預警、技術對抗、事件處置六個環節。“技術對抗”容易引起歧義。這里指的是運營者以對攻擊行為的監測發現為基礎，主動采取誘捕、溯源、干擾和阻斷等措施，提升對網絡威脅與攻擊行為的識別、分析和對抗能力。

在分析識別環節，《保護要求》規定了業務識別、資產識別、風險識別，并要求在關鍵信息基礎設施發生改建、擴建、所有人變更等重大變化有可能影響認定結果時（如網絡拓撲改變、業務鏈改變等），重新開展識別工作，并更新資產清單。

在安全防護環節，《保護要求》規定了貫徹落實網絡安全等級保護制度，并要求在安全管理制度、安全管理機構、安全管理人員、安全通信網絡、安全計算環境、安全建設管理、安全運維管理等方面開展工作。

在檢測評估環節，《保護要求》規定了運營者應建立健全關鍵信息基礎設施安全檢測評估制度，應包括但不限于檢測評估流程、方式方法、周期、人員組織、資金保障等。《保護要求》還明確了檢測評估方式和內容。

在監測預警環節，《保護要求》規定了監測預警制度的主要內容，并分別對監測和預警提出了較為具體的要求。

在技術對抗環節，《保護要求》規定了收斂暴露面、識別和分析攻擊行為、攻防演練等內容。

在事件處置環節，《保護要求》提出了事件管理制度、應急預案、響應和處置、重新識別等要求。

《控制措施》則提出了對《保護要求》的具體實現方式。

小貝結語

■  建立關鍵信息基礎設施安全保護標準體系，完善相關責任義務要求，這將是一個較長的過程。我們在參與有關工作的過程中，得到了很多方面的指導和支持。本文僅就安全保護方面兩部最基礎的標準作了說明，但這兩個標準對落實《條例》而言卻是必不可少和最核心的。由于標準尚未制定完成，若標準內容在后續有重大變化，小貝說安全將及時向業界更新。