近日,我国关键信息基础设施安全保护重要法规《关键信息基础设施安全保护条例》(以下简称《条例》)正式公布,并于今年9月1日起施行。关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。关键信息基础设施关乎国家安全,是我国网络安全工作的重中之重。《条例》的出台,是确保关键信息基础设施安全的关键手段,对于保障国家安全、经济发展和社会稳定,以及推进信息化建设具有十分重要的意义。
一是深入贯彻落实习近平总书记关于网络强国的重要思想和“四个坚持”的重要指示要求,落实《网络安全法》要求,进一步健全了关键信息基础设施安全保护的相关法律法规
党的十八大以来,以习近平同志为核心的党中央高度重视网络安全工作,系统阐述了网络安全的重大理论问题和实践问题,提出了一系列新思想新观点新论断,形成了习近平总书记关于网络强国的重要思想。2019年国家网络安全宣传周期间,习近平总书记作出了“四个坚持”的重要指示。深入贯彻落实中央领导重要指示要求,国家已出台了《网络安全法》,在第三章“网络运行安全”第31-39条内容中,用了近三分之一的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全,对于关键信息基础设施安全保护的基本要求、部门分工以及主体责任等问题作了基本法层面的总体制度安排,并规定关键信息基础设施的具体范围和安全保护办法应由国务院制定。《条例》正是以此为依据,通过6章共计51条内容对关键信息基础设施保护相关的一系列制度作了更为具体的规定,涵盖总则、关键信息基础设施认定、运营者责任义务、保障和促进、法律责任、附则等诸多方面,进一步健全了我国网络安全和关键信息基础设施安全保护的相关法律法规。
二是应对当前复杂的国际形势带来的安全风险,成为我国关键信息基础设施安全重要制度保障
当前,关键信息基础设施面临的安全形势严峻,网络攻击威胁事件频发。在网络产品和服务采购全球化的态势下,供应链安全与国家安全间的关系愈发密切。美国将网络产品和服务供应链安全作为其维护技术领先地位、实施贸易制裁的重要手段,针对中国高科技企业发起单边制裁与措施,近年美国商务部将海康威视等公司列入出口管制的“实体清单”,对我国中兴、华为等公司的“断供事件”,以及进一步限制人工智能等软件的出口等等,这不仅使网络产品和服务企业的供应链安全受到威胁,还将威胁我国关键信息基础设施的安全与自主控制权,进而影响我国的政治、经济和社会安全。因此,《条例》出台恰逢其时,成为关键信息基础设施网络产品和服务供应链安全的重要保障。
三是《条例》明确了各层级监督管理职能,特别是关键信息基础设施安全保护工作部门和运营者的职责分工
《条例》阐述了监督管理工作机制,国家网信部门负责统筹协调,国务院公安部门负责指导监督,并进一步明确了电信、能源等保护工作部门的监督管理职责,负责认定本行业、本领域的关键信息基础设施,并对其安全保护进行持续监督管理。省级人民政府有关部门也肩负关键信息基础设施安全保护和监督管理职责。通过各层级的协同监督和管理,进一步提升了关键信息基础设施安全保护力度。《条例》指出运营者在关键信息基础设施安全保护中承担主体责任,并对运营者自身安全管理机制、人员机构设置、安全防护、保障服务等方面进行了具体规定。
四是强化关键信息基础设施供应链安全风险意识,对采购网络产品和服务提出了具体要求
关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。为有效应对关键信息基础设施供应链安全风险,《条例》第19条和20条,均对运营者采购网络产品和服务提出了具体要求,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。
为确保《条例》落实落地,未来可以从以下方面开展工作:一是应继续细化条例中各项要求,出台指导意见,指导相关部门、行业主管部门和运营者等开展工作。二是建立完善关键信息基础设施网络安全相关的国家标准。三是研究制定关键信息基础设施供应链安全管理措施。(作者:王昕,中国航天科工集团有限公司)