習(xí)近平總書記在“4·19”重要講話中明確指出“關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)”。當(dāng)前國際社會(huì)風(fēng)云變幻，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)層出不窮，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的重要性和緊迫性日益凸顯。黨的十八大以來，國家高度重視網(wǎng)絡(luò)安全工作。近日，國務(wù)院頒布出臺(tái)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡(jiǎn)稱《條例》），這是我國首部專門針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的行政法規(guī)，標(biāo)志著中國網(wǎng)絡(luò)安全向更高水平躍升。

一、《條例》是建設(shè)網(wǎng)絡(luò)強(qiáng)國、應(yīng)對(duì)全球網(wǎng)絡(luò)安全形勢(shì)新變化的必然要求

近幾年，全球范圍內(nèi)針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈攻擊、勒索攻擊等安全事件日益增多，不斷動(dòng)搖經(jīng)濟(jì)社會(huì)運(yùn)行的根基。數(shù)據(jù)顯示，2020年全球勒索攻擊次數(shù)同比增長150%以上。世界主要國家和地區(qū)紛紛把關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)上升到維護(hù)國家安全的高度。美國最大輸油管道遭遇網(wǎng)絡(luò)攻擊和勒索后，拜登政府立即發(fā)布《關(guān)于改善關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)網(wǎng)絡(luò)安全》的國家備忘錄，認(rèn)為“關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全問題是美國面臨的最重要和嚴(yán)峻的問題”。據(jù)不完全統(tǒng)計(jì)，拜登上臺(tái)后，共出臺(tái)19項(xiàng)互聯(lián)網(wǎng)行政令，其中4項(xiàng)關(guān)于網(wǎng)絡(luò)安全。歐盟、俄羅斯、日本、澳大利亞也紛紛針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行立法保護(hù)。網(wǎng)絡(luò)安全的細(xì)胞早已擴(kuò)散到經(jīng)濟(jì)與貿(mào)易、政治與外交、軍事與安全等各個(gè)關(guān)鍵領(lǐng)域。沒有關(guān)鍵信息基礎(chǔ)設(shè)施安全就沒有網(wǎng)絡(luò)安全，沒有網(wǎng)絡(luò)安全就沒有國家安全?！稐l例》的出臺(tái)，有利于進(jìn)一步提升國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)水平，提高國家維護(hù)網(wǎng)絡(luò)安全的能力。

二、《條例》是新時(shí)期指導(dǎo)做好關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的綱領(lǐng)性文件，進(jìn)一步完善了國家網(wǎng)絡(luò)安全法規(guī)體系

黨中央、國務(wù)院高度重視關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，習(xí)近平總書記明確提出：“必須深入研究，采取有效措施，切實(shí)做好國家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)”、“要落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)責(zé)任，行業(yè)、企業(yè)作為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（以下簡(jiǎn)稱運(yùn)營者）承擔(dān)主體防護(hù)責(zé)任，主管部門履行好監(jiān)管責(zé)任”。

2017年6月1日正式實(shí)施的《網(wǎng)絡(luò)安全法》用大量篇幅規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的相關(guān)內(nèi)容，突出了關(guān)鍵信息基礎(chǔ)設(shè)施在國家整體網(wǎng)絡(luò)安全制度體系中的重要地位?！稐l例》進(jìn)一步細(xì)化完善了《網(wǎng)絡(luò)安全法》所確立的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度，明確了網(wǎng)信部門、公安部門以及重要行業(yè)和領(lǐng)域主管、監(jiān)督管理部門（以下簡(jiǎn)稱保護(hù)工作部門）的責(zé)任邊界和職責(zé)要求，明確了關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定原則和認(rèn)定機(jī)制，細(xì)化了運(yùn)營者的主體責(zé)任和義務(wù)，形成了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作相關(guān)各方的責(zé)任體系。各相關(guān)主管部門已經(jīng)開展的涉及關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的相關(guān)工作，需要在《條例》的要求框架下開展。重要行業(yè)和領(lǐng)域的主管部門還需要依據(jù)《條例》制定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理相關(guān)工作要求。

總體來看，《條例》的出臺(tái)為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)補(bǔ)強(qiáng)了法治之網(wǎng)，進(jìn)一步明確了我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作相關(guān)各方的職責(zé)要求和法律責(zé)任，有助于構(gòu)建多方盡責(zé)、共同協(xié)作的關(guān)鍵信息基礎(chǔ)設(shè)施立體安全防護(hù)體系，更好地應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)挑戰(zhàn)。

三、《條例》構(gòu)建起新型關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全工作體系

（一）突出統(tǒng)籌協(xié)調(diào)

《條例》第三條要求“在國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)下，國務(wù)院公安部門負(fù)責(zé)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作”。國務(wù)院電信主管部門、其他有關(guān)部門、省級(jí)人民政府有關(guān)部門依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理工作。此外，還明確國家網(wǎng)信部門負(fù)責(zé)建立網(wǎng)絡(luò)安全信息共享機(jī)制（第二十三條）、對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)安全檢查檢測(cè)（第二十七條）、為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作提供技術(shù)支持和協(xié)作（第二十九條）等。

鑒于網(wǎng)信部門的職責(zé)，《條例》的安排凸顯了三方面考慮：一是統(tǒng)籌好關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)與安全的關(guān)系；二是統(tǒng)籌好部門的工作；三是統(tǒng)籌好安全與創(chuàng)新的協(xié)同。

（二）明確部門權(quán)責(zé)

在關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定機(jī)制方面，《條例》第二條對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的定義和范圍延續(xù)了《網(wǎng)絡(luò)安全法》第三十一條的說法，并在第二章專門明確了關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定機(jī)制。《條例》第九條明確由保護(hù)工作部門制定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則，并從重要程度、危害程度和關(guān)聯(lián)性影響三方面給出了三條考慮因素。保護(hù)工作部門負(fù)責(zé)組織認(rèn)定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，并將結(jié)果通報(bào)國務(wù)院公安部門（第十條）。如果關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生較大變化可能影響認(rèn)定結(jié)果的，保護(hù)工作部門需組織重新認(rèn)定，結(jié)果通知運(yùn)營單位并通報(bào)國務(wù)院公安部門（第十一條）。

在行業(yè)監(jiān)管方面，《條例》明確各保護(hù)工作部門負(fù)責(zé)本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)相關(guān)工作，包括制定安全規(guī)劃（第二十二條）、建立健全監(jiān)測(cè)預(yù)警制度（第二十四條）、建立應(yīng)急預(yù)案、組織應(yīng)急演練（第二十五條）、檢查檢測(cè)（第二十六條）等。

（三）強(qiáng)化主體責(zé)任

《網(wǎng)絡(luò)安全法》第三十三條至第三十八條對(duì)運(yùn)營者責(zé)任提出了相關(guān)要求，《條例》在此基礎(chǔ)上作了進(jìn)一步補(bǔ)充完善，特別強(qiáng)調(diào)了運(yùn)營者要落實(shí)主體責(zé)任（第四條），對(duì)運(yùn)營者提出了更全面細(xì)化的責(zé)任要求。包括在網(wǎng)絡(luò)安全等級(jí)保護(hù)基礎(chǔ)上采取保護(hù)措施（第六條），安全保護(hù)措施與關(guān)鍵信息基礎(chǔ)設(shè)施三同步原則（第十二條），建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制、保障人財(cái)物投入、明確運(yùn)營者的主要負(fù)責(zé)人負(fù)總責(zé)（第十三條），設(shè)置專門安全管理機(jī)構(gòu)并對(duì)相關(guān)人員進(jìn)行安全背景審查（第十四條），明確專門安全管理機(jī)構(gòu)的八條具體職責(zé)（第十五條），保障專門管理機(jī)構(gòu)運(yùn)行經(jīng)費(fèi)、人員配備和參與網(wǎng)絡(luò)安全和信息化有關(guān)決策（第十六條），每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估（第十七條），遇到重大或特別重大的網(wǎng)絡(luò)安全事件和威脅時(shí)履行報(bào)告制度（第十八條），采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的原則和進(jìn)行安全審查的情形（第十九條），要求并監(jiān)督產(chǎn)品和服務(wù)提供者履行保密義務(wù)和責(zé)任（第二十條），發(fā)生合并、分立、解散等情況的工作要求（第二十一條）。

上述規(guī)定細(xì)化明確了運(yùn)營者的責(zé)任義務(wù)要求，從責(zé)任體系、制度建設(shè)、人員管理、能力建設(shè)、運(yùn)行維護(hù)、供應(yīng)鏈管理等方面指導(dǎo)運(yùn)營者建立健全關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系。

（四）規(guī)范行為管控

關(guān)于禁止行為，《條例》明確要求任何個(gè)人和組織不得實(shí)施非法侵入、干擾、破壞關(guān)鍵信息基礎(chǔ)設(shè)施的活動(dòng)，不得危害關(guān)鍵信息基礎(chǔ)設(shè)施安全（第五條），未經(jīng)國家網(wǎng)信部門、國務(wù)院公安部門批準(zhǔn)或者保護(hù)工作部門、運(yùn)營者授權(quán)，任何個(gè)人和組織不得對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施漏洞探測(cè)、滲透性測(cè)試等活動(dòng)，對(duì)基礎(chǔ)電信網(wǎng)絡(luò)實(shí)施漏洞探測(cè)、滲透性測(cè)試等活動(dòng)，應(yīng)事先向國務(wù)院電信主管部門報(bào)告（第三十一條），公安機(jī)關(guān)和國家安全機(jī)關(guān)負(fù)責(zé)防范打擊相關(guān)違法犯罪活動(dòng)（第三十三條）。

（五）加強(qiáng)生態(tài)建設(shè)

為加強(qiáng)國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)生態(tài)體系建設(shè)，《條例》還對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)制定（第三十四條）、人才隊(duì)伍建設(shè)（第三十五條）、技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展（第三十六條）、服務(wù)機(jī)構(gòu)建設(shè)和管理（第三十七條）、軍民融合和軍地合作（第三十八條）等作了原則性要求，此外《條例》第三十二條還特別規(guī)定了能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施的優(yōu)先保障原則。

四、加強(qiáng)政企協(xié)同是落實(shí)《條例》的有效路徑

今年是“十四五”開局之年，是關(guān)鍵信息基礎(chǔ)設(shè)施安全建設(shè)規(guī)劃的關(guān)鍵年，立足新時(shí)期，面向新要求，各級(jí)政府和企業(yè)應(yīng)當(dāng)嚴(yán)格按照《條例》要求切實(shí)履行主體責(zé)任，建立健全內(nèi)部網(wǎng)絡(luò)安全制度體系，強(qiáng)化以能力為導(dǎo)向的安全防護(hù)體系建設(shè)。

一是要建立切實(shí)可操作的政企協(xié)同聯(lián)動(dòng)機(jī)制。加強(qiáng)政府與企業(yè)之間網(wǎng)絡(luò)安全信息、資源的共享，推動(dòng)政府安全基礎(chǔ)設(shè)施向網(wǎng)絡(luò)安全企業(yè)開放，鼓勵(lì)安全企業(yè)賦能關(guān)鍵信息基礎(chǔ)設(shè)施的安全建設(shè)，加快建立保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的政產(chǎn)學(xué)研用生態(tài)體系。

二是要以新一代網(wǎng)絡(luò)安全框架指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全體系建設(shè)。“十四五”時(shí)期的網(wǎng)絡(luò)安全建設(shè)，每一個(gè)任務(wù)設(shè)置都要將管理、技術(shù)、運(yùn)行等各方面的要素綜合考慮，避免割裂。推動(dòng)各任務(wù)之間相互關(guān)聯(lián)、能力互補(bǔ)，打造具備體系化作戰(zhàn)能力的有機(jī)整體。

三是要強(qiáng)化網(wǎng)絡(luò)安全與信息化的融合發(fā)展。推動(dòng)安全能力對(duì)信息化的全面覆蓋融合，實(shí)現(xiàn)安全規(guī)劃、建設(shè)、運(yùn)營與信息化建設(shè)的全周期同步開展，使安全成為信息化業(yè)務(wù)的內(nèi)在屬性，實(shí)現(xiàn)安全體系對(duì)信息化系統(tǒng)的全覆蓋。伴隨信息化水平的持續(xù)升級(jí)，整體安全能力實(shí)現(xiàn)同步階梯式上升。

四是要建立安全運(yùn)營體系與評(píng)估優(yōu)化體系。安全運(yùn)營體系全面涵蓋安全團(tuán)隊(duì)、安全運(yùn)行流程、安全操作規(guī)程、安全運(yùn)行支撐平臺(tái)和安全工具等。建立面向效果而非過程的評(píng)價(jià)體系，并以數(shù)據(jù)分析的方式對(duì)整改優(yōu)化提供支撐，以數(shù)據(jù)分析結(jié)果牽引新安全建設(shè)工作，持續(xù)提升網(wǎng)絡(luò)安全工作成熟度。（作者：齊向東，奇安信集團(tuán)董事長）