貫徹落實總體安全觀,建立健全關鍵信息基礎設施安全保護統籌協調機制
2017年6月1日《網絡安全法》正式實施,網絡安全保障能力在逐步加強,但總體的保障體系尚未完善,特別是關鍵信息基礎設施所面臨的風險和保護能力欠缺的矛盾仍然很突出:關鍵信息基礎設施面臨的風險往往具有高度復雜、高度不確定性的特征,風險的系統性與風險來源的跨國界交織在一起,基于清晰權責界定的科層制組織遭遇前所未有的挑戰,部門分割、條塊分割、地域分割、軍地分割的管理壁壘亟待被打破,需要建立健全常態化的統籌協調機構。《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)第三條明確了國家網信部門的統籌協調職責,將進一步增強關鍵信息基礎設施保護工作的系統性、整體性和協同性,有利于筑牢國家網絡安全屏障,為經濟社會發展和人民群眾福祉提供安全保障。
一、關鍵信息基礎設施
統籌協調的必要性
關鍵信息基礎設施安全保護工作點多線長,涉及金融、電信、交通、能源、水利、電子政務等多個重要行業和領域,需要行業主管監管部門依法履職,做好安全保護工作;另一方面,關鍵信息基礎設施保護需要在經濟、行政、科技、法律、外交、軍事等層面采取囊括法律、技術、制度、管理等多角度、深層次、全方位的保護措施,需要保護工作部門、關鍵信息基礎設施運營者、有關行業組織、網絡安全服務機構等密切配合、高效聯動,形成關鍵信息基礎設施安全保護工作的有機整體。為了使保護工作部門、有關監管部門各司其職,政府、行業組織和社會等相互配合和共享網絡安全信息和資源,使整體功能大于部分之和,應當建立關鍵信息基礎設施的統籌協調機制,充分發揮國家網信部門的統籌協調作用,做到“一類事項原則上由一個部門統籌,一件事情原則上由一個部門負責”,這有利于避免條塊分割和管理職能碎片化現象,體現了新時代黨中央對關鍵信息基礎設施安全保護工作的統一領導和整體布局。
二、關鍵信息基礎設施
統籌協調的積極意義
01 通過統籌建立共同保護治理格局
關鍵信息基礎設施作為網絡安全的重中之重,其穩定運行影響著國家安全和社會穩定,因此政策必須得到落實。在2018年全國網絡安全和信息化工作會議上習近平總書記指出:“要提高網絡綜合治理能力,形成黨委領導、政府管理、企業履責、社會監督、網民自律等多主體參與,經濟、法律、技術等多種手段相結合的綜合治網格局。”綜合治網格局體現在關鍵信息基礎設施安全保護領域需要通過統籌協調,形成“共同保護關鍵信息基礎設施安全”的治理格局,特別是需要行業保護工作部門和相關監督管理部門形成整體性安全保護決策和手段,以適應關鍵信息基礎設施保護的關聯性和領域性特征。
02 通過協調形成安全保護合力
關鍵信息基礎設施為社會生產生活提供著最基本同時也是最關鍵的服務,與社會個體有著緊密聯系,從這一角度而言能夠更好地調動社會力量。因此,社會的各方面都應該積極參與到關鍵信息基礎設施安全保護工作中來,共同抵御網絡威脅和網絡攻擊對關鍵信息基礎設施的破壞:保護工作部門、運營單位和組織要按照法律法規、制度標準的要求,采取必要措施保障關鍵信息基礎設施安全,加強關鍵信息基礎設施風險評估,逐步實現先評估后使用。建立政府、行業與企業的網絡安全信息有序共享機制,充分發揮網絡安全行業組織、網絡安全服務機構在保護關鍵信息基礎設施中的重要作用。關鍵信息基礎設施提供的服務具有基礎性和關鍵性,這便使安全保護工作具有了全民性,通過協調,有效整合社會資源和社會力量,避免碎片化,形成全社會共同防控網絡安全事件的合力。
03 提升保障能力
當前,經濟社會網絡化、信息化、數字化和智能化的程度越來越高,中國經濟社會的關聯性、耦合性、復雜性越來越高。一個微小的擾動就可能是“一只煽動翅膀的蝴蝶”,沿著復雜的社會網絡交織、疊加、傳導、互動,導致整體性的癱瘓和崩潰,引發系統性危機。關鍵信息基礎設施面臨風險的高度不確定性和不可預測性,其發生和發展演進路徑、危害后果往往超越個體和單個組織的理性預判能力,這需要關鍵信息基礎設施保護體系必須將所有的關鍵信息基礎設施有效地統籌協調起來,形成應對系統性風險的韌性。
三、統籌協調的具體職責
01 統籌建立健全關鍵信息基礎設施安全保護的戰略、法律和政策
制定或者修訂關鍵信息基礎設施相關的戰略和政策;在《網絡安全法》和《條例》的框架內,統籌制定完善關鍵信息基礎設施認定、關鍵崗位認定和關鍵崗位人員安全背景審查、安全檢測和評估、網絡安全信息共享、網絡安全服務機構管理等制度規范和標準。
02 建立健全網絡安全信息共享機制
統籌協調有關部門建立網絡安全信息共享機制,及時匯總、研判、共享、發布網絡安全威脅、漏洞、事件等信息,促進有關部門、保護工作部門、運營單位以及網絡安全服務機構等之間的網絡安全信息共享。
03 組織實施網絡安全審查
鑒于關鍵信息基礎設施對網絡產品和服務IT的依賴,網絡產品和服務的IT供應鏈安全與國家安全的關系日益密切,為了防止關鍵信息基礎設施因使用的產品和服務存在安全缺陷或其他隱患而受到攻擊、破壞,或者其存儲、處理的數據資源被竊取、泄露從而危害國家安全,關鍵信息基礎設施運營者采購網絡產品和服務,影響或可能影響國家安全的,應當通過國家網信部門組織的網絡安全審查。
04 處置應對特別重大網絡安全事件
組織處置關鍵信息基礎設施整體中斷運行或者主要功能障礙、國家基礎信息以及其他重要數據泄露、較大規模個人信息泄露、造成較大經濟損失、違法信息較大范圍傳播等特別重大網絡安全事件或者防控上述特別重大網絡安全威脅。
05 檢查檢測
制定關鍵信息基礎設施檢查檢測管理辦法,統籌協調國務院公安部門、保護工作部門對關鍵信息基礎設施進行網絡安全檢查檢測,確保各部門之間協同配合、信息溝通,避免不必要的檢查和交叉重復檢查。
06 優先保障
能源、電信等領域的關鍵信息基礎設施是其他行業和領域的關鍵信息基礎設施的運行基礎。為體現重點保護的原則,國家網信部門應當統籌協調相關資源和采取有效措施,優先保障能源、電信等關鍵信息基礎設施安全運行。同時,能源、電信行業應當采取措施,為關鍵信息基礎設施安全運行提供重點保障。
07 網絡安全技術創新和產業發展
統籌推進關鍵信息基礎設施安全保護、網絡安全技術創新。在實施國家重大工程和相關專項時,將關鍵信息基礎設施安全保護、網絡安全技術創新和產業發展作為重要方向,組織力量實施關鍵信息基礎設施安全技術攻關。
統籌加強網絡安全服務機構建設和管理,制定管理要求并加強監督指導,不斷提升服務機構能力水平,充分發揮其在關鍵信息基礎設施安全保護中的作用。
08 統籌推進軍民融合
網絡空間的產業性質以及網絡空間的作戰特點,決定了軍民融合之路是實現網絡主權保障力量建設的根本舉措。軍地在關鍵信息基礎設施建設等高技術戰略性產業領域具有深度融合發展的廣闊空間,國家應當統籌推進網絡安全軍民融合,軍地協同保護關鍵信息基礎設施安全。
09 統籌推進人才培養和獎勵機制
統籌關鍵信息基礎設施保護的人才培養,吸引和鼓勵網絡安全專門人才到關鍵信息基礎設施運營單位工作,將運營單位安全管理、技術人員培訓納入國家繼續教育體系。
對在關鍵信息基礎設施安全保護工作中取得顯著成績或者作出突出貢獻的單位和個人,按照國家有關規定給予表彰。從國家層面加強對網絡安全工作中有突出貢獻的單位和個人給予表彰與獎勵,以進一步激發網絡安全工作者的工作積極性與國家榮譽感。
關鍵信息基礎設施作為網絡空間安全的重要組成部分,涉及的具體內容較為繁多,安全審查流程嚴謹,人員管理和技術要求高,面臨的網絡安全風險和威脅也處在不斷變化之中。此外,行業規模的不同、接觸群體的不同、地域限制的不同、行業屬性的不同等眾多方面對關鍵信息基礎設施具體的安全保護工作提出了不同的要求,從事前對網絡安全風險的監測、預警,到應對網絡安全威脅采取的防御和抵制,再到對處置工作的懲治與恢復,每個環節都有著不同的技術要求、職責要求,因此在中央網絡安全和信息化領導機構統一領導下,國家網信部門統籌協調下,每個具體環節的監管部門都必須嚴格遵循有法必依,執法必嚴,違法必究,做好關鍵信息基礎設施的安全防護工作。
