专家解读《关键信息基础设施安全保护条例》开启关键信息基础设施安全保护新阶段

1、专家解读关键信息基础设施安全保护条例开启关键信息基础设施安全保护新阶段2021年7月30日，关键信息基础设施安全保护条 例（以下简称条例）正式公布，标志着我国网络安 全保护进入了以关键信息基础设施安全保护为重点的新 阶段。作为网络安全法的重要配套立法，条例积极应 对国内外网络安全保护的主要问题和发展趋势，为下一步 加强关键信息基础设施安全保护工作提供了重要法治保 障。一、关键信息基础设施安全保护立法是各国网络安全 战略重要一环（一）全球网络安全局势复杂严峻对各国关键信息基 础设施安全防护提出新挑战。近期，多国基础设施和重要 信息系统遭受网络攻击，引发全球震荡，对国家安全稳定 造成巨大风险。特别

2、是2021年，美国最大的燃油管道运 营商、全球最大的肉类加工企业均因黑客攻击而停摆，导 致影响国家乃至全球经济运行的基础设施受损，对全产业 链产生连锁影响，也引发了全球关于加强关键信息基础设 施安全保护的思考。近期，世界主要国家和地区均强化关 键基础设施安全防护。美国不仅大幅增加关键基础设施网 络安全方面的资金投入，而且提出多部强化关键基础设施 网络安全、预防勒索软件攻击等方面的法案和官方指南。 欧盟也在欧盟安全联盟战略中将提升关键基础设施的 保护和恢复能力作为未来五年网络安全工作的重中之重。（二）世界主要国家和地区将关键基础设施立法作为 网络安全立法中最为关键的环节。美欧在关键基础设施立 法

3、方面起步较早，美国早在2001年即颁布了2001年关 键基础设施保护法，之后相继出台改进关键基础设施 网络安全行政令增强联邦政府网络与关键基础设施网 络安全行政令等相关立法。随着网络安全形势的日益严 峻，美国积极调整网络安全保护战略，近期发布了2021 年临时国家安全战略方针2021年关于加强国家网络 安全的行政命令等相关政策。欧盟出台了2008年欧 盟关键基础设施认定和安全评估指令2016年网络与 信息安全指令等多部关键基础设施保护相关立法。俄罗 斯2017年颁布了联邦关键信息基础设施安全法，澳 大利亚2018年颁布了关键基础设施安全法。此外， 英国、德国、日本等国也出台了关键基础设施保护的

4、相关 立法和政策。（三）我国网络安全法强调对关键信息基础设施适用更高水平保护。我国2016年出台的网络安全法在明确国家网络安全基本制度体系的基础上，对于关键信息基础设 施规定了更高水平的安全防护要求。网络安全法规定对关 键信息基础设施实行重点保护，并在第三章“网络运行安 全”中单设一节对关键信息基础设施安全保护进行专门规 定。针对关键信息基础设施安全保护工作中涉及的技术措 施、人员机制、数据安全、风险评估等安全管理举措提出 更高要求，并强调通过配套立法进一步完善关键信息基础 设施安全保护制度，突出了关键信息基础设施在国家整体 网络安全制度体系中的重要地位。二、条例确立了我国关键信息基础设施安全

5、保护 的具体制度要求网络安全法对关键信息基础设施安全保护制度相关 实施对象、责任主体、工作内容等进行了总体性规定，条 例作为网络安全法重要配套法规，立足工作落实，界定 了适用范围、监管主体、评估对象等关键信息基础设施安 全保护相关系列基本要素，提出了安全保护要求和安全保 障措施，确保对象具体、权责清晰、任务明确，为安全保 护工作开展提供系统指引和工作遵循。（一）确定保护对象范围。条例第二条给出了关 键信息基础设施明确定义，第九条提出了保护工作部门制 定识别认定规则的重点考虑因素，确定了由保护工作部门 负责制定本行业、本领域关键信息基础设施认定规则及清 单。认定规则及清单的形成过程一方面须立足实

6、际，充分 结合本行业、本领域业务特性和重要性，在量化指标参数 的基础上实现清单范围的准确界定；另一方面，清单应当 伴随国家网络安全和信息化发展，实现动态调整更新。（二）明确监管职责分工。为保障关键信息基础设施 安全保护工作顺利开展，条例设置了科学严谨的监督 管理工作机制。在国家层面，国家网信部门负责统筹协调， 国务院公安部门负责指导监督，国务院电信主管部门和其 他有关部门负责行业关键信息基础设施安全保护和监督 管理工作；在地方层面，由省级人民政府有关部门负责关 键信息基础设施安全保护和监督管理工作。既有效保障了 关键信息基础设施安全保护工作统一有序、协同推进，又 能充分发挥具体行业部门的专业优

7、势，提升关键信息基础 设施安全保护力度。（三）强化安全主体责任。条例强调关键信息基 础设施运营者（以下简称运营者）在关键信息基础设施安 全保护中承担主体责任，并对于运营者自身安全管理机制 的设置进行了严格要求。一是强调主要负责人责任，明确 运营者的主要负责人对关键信息基础设施的安全保护负 责。二是要求设立专门的安全管理机构，具体负责本单位 关键信息基础设施的安全保护工作。三是对关键岗位人员 实施安全背景审查，其中包括运营者专门安全管理机构的 负责人及其认定的关键岗位人员。四是保障专门安全管理 机构运行，为本单位专门安全管理机构提供经费和专业人 员保障。（四）细化安全保护要求。条例强化关键信息基

8、 础设施的安全保护，在网络安全法的基础上对运营者提出 了更高的安全防护要求。一是落实“三同步”要求，要求 安全保护措施与关键信息基础设施同步规划、同步建设、同步使用，关键信息基础设施自列入关基清单之日起，在 设计建设（改扩建）、运行维护、应急恢复、停用废弃各 阶段，应确保落实覆盖全生命周期的安全保护。二是开展 定期安全检测和风险评估，运营者须每年至少进行一次网 络安全检测和风险评估，可以自行或委托网络安全服务机 构进行。三是履行安全事件和威胁报告义务，在发生重大 网络安全事件或发现重大网络安全威胁时，运营者应当向 相关部门报告。四是落实网络安全审查要求，运营者采购 网络产品和服务可能影响国家安

9、全的，应当按照国家网络 安全规定进行安全审查。五是强化监测预警和信息共享，条例提出建立健全关键信息基础设施网络安全监测预 警制度，准确把握关键信息基础设施运行状况，促进网络 安全信息共享。（五）强化重点安全保障。一是针对关键信息基础设 施实施的漏洞探测、渗透测试等活动，应得到国家网信部 门、国务院公安部门批准或者保护工作部门、运营者授权。 对基础电信网络实施漏洞探测、渗透测试等活动，应当事 先向国务院电信主管部门报告。二是能源、电信行业为金 融、水利和交通等行业关键信息基础设施稳定运行提供重 要支撑及资源保障，基础电信网络还具有基础性、全局性， 承载着其他关键信息基础设施。国家将采取措施，优先

10、保 障能源、电信等关键信息基础设施安全运行。能源、电信 行业将为其他行业和领域的关键信息基础设施安全运行 提供重点保障。三、关键信息基础设施安全保护工作新阶段的思考（一）完善配套标准规范体系。一是围绕关键信息基 础设施共性安全需求和基线安全要求，加快制定出台国家 标准。二是保护工作部门聚焦行业实际和特点，深入推进 行业关键信息基础设施标准建设，并组织实施。三是围绕 运营者责任义务、信息共享模式、协同处置机制、安全防 护能力认定等关键方面开展管理机制深入研究。（二）深化行业监管职责落实。一是指导监督行业运 营者落实安全主体责任，扎实做好网络安全威胁监测与处 置、网络安全审查等关键信息基础设施安全保护相关工 作。二是完善监督检查机制，加强行业关键信息基础设施 安全防护检查与风险评估。三是构建完善应急保障体系， 建立态势感知、应急指挥等技术支撑手段，组织开展场景 式、专题化、联合型应急演练，打造专家队伍。（三）加强新技术新模式应用示范。一是强化创新发