专家解读|贯彻落实总体安全观 建立健全关键信息基础设施安全保护统筹协调机制
2017年6月1日《网络安全法》正式实施,网络安全保障能力在逐步加强,但总体的保障体系尚未完善,特别是关键信息基础设施所面临的风险和保护能力欠缺的矛盾仍然很突出:关键信息基础设施面临的风险往往具有高度复杂、高度不确定性的特征,风险的系统性与风险来源的跨国界交织在一起,基于清晰权责界定的科层制组织遭遇前所未有的挑战,部门分割、条块分割、地域分割、军地分割的管理壁垒亟待被打破,需要建立健全常态化的统筹协调机构。《关键信息基础设施安全保护条例》(以下简称《条例》)第三条明确了国家网信部门的统筹协调职责,将进一步增强关键信息基础设施保护工作的系统性、整体性和协同性,有利于筑牢国家网络安全屏障,为经济社会发展和人民群众福祉提供安全保障。
一、关键信息基础设施统筹协调的必要性
关键信息基础设施安全保护工作点多线长,涉及金融、电信、交通、能源、水利、电子政务等多个重要行业和领域,需要行业主管监管部门依法履职,做好安全保护工作;另一方面,关键信息基础设施保护需要在经济、行政、科技、法律、外交、军事等层面采取囊括法律、技术、制度、管理等多角度、深层次、全方位的保护措施,需要保护工作部门、关键信息基础设施运营者、有关行业组织、网络安全服务机构等密切配合、高效联动,形成关键信息基础设施安全保护工作的有机整体。为了使保护工作部门、有关监管部门各司其职,政府、行业组织和社会等相互配合和共享网络安全信息和资源,使整体功能大于部分之和,应当建立关键信息基础设施的统筹协调机制,充分发挥国家网信部门的统筹协调作用,做到“一类事项原则上由一个部门统筹,一件事情原则上由一个部门负责”,这有利于避免条块分割和管理职能碎片化现象,体现了新时代党中央对关键信息基础设施安全保护工作的统一领导和整体布局。
二、关键信息基础设施统筹协调的积极意义
(一)通过统筹建立共同保护治理格局
关键信息基础设施作为网络安全的重中之重,其稳定运行影响着国家安全和社会稳定,因此政策必须得到落实。在2018年全国网络安全和信息化工作会议上习近平总书记指出:“要提高网络综合治理能力,形成党委领导、政府管理、企业履责、社会监督、网民自律等多主体参与,经济、法律、技术等多种手段相结合的综合治网格局。”综合治网格局体现在关键信息基础设施安全保护领域需要通过统筹协调,形成“共同保护关键信息基础设施安全”的治理格局,特别是需要行业保护工作部门和相关监督管理部门形成整体性安全保护决策和手段,以适应关键信息基础设施保护的关联性和领域性特征。
(二)通过协调形成安全保护合力
关键信息基础设施为社会生产生活提供着最基本同时也是最关键的服务,与社会个体有着紧密联系,从这一角度而言能够更好地调动社会力量。因此,社会的各方面都应该积极参与到关键信息基础设施安全保护工作中来,共同抵御网络威胁和网络攻击对关键信息基础设施的破坏:保护工作部门、运营单位和组织要按照法律法规、制度标准的要求,采取必要措施保障关键信息基础设施安全,加强关键信息基础设施风险评估,逐步实现先评估后使用。建立政府、行业与企业的网络安全信息有序共享机制,充分发挥网络安全行业组织、网络安全服务机构在保护关键信息基础设施中的重要作用。关键信息基础设施提供的服务具有基础性和关键性,这便使安全保护工作具有了全民性,通过协调,有效整合社会资源和社会力量,避免碎片化,形成全社会共同防控网络安全事件的合力。
(三)提升保障能力
当前,经济社会网络化、信息化、数字化和智能化的程度越来越高,中国经济社会的关联性、耦合性、复杂性越来越高。一个微小的扰动就可能是“一只煽动翅膀的蝴蝶”,沿着复杂的社会网络交织、叠加、传导、互动,导致整体性的瘫痪和崩溃,引发系统性危机。关键信息基础设施面临风险的高度不确定性和不可预测性,其发生和发展演进路径、危害后果往往超越个体和单个组织的理性预判能力,这需要关键信息基础设施保护体系必须将所有的关键信息基础设施有效地统筹协调起来,形成应对系统性风险的韧性。
三、统筹协调的具体职责
(一)统筹建立健全关键信息基础设施安全保护的战略、法律和政策
制定或者修订关键信息基础设施相关的战略和政策;在《网络安全法》和《条例》的框架内,统筹制定完善关键信息基础设施认定、关键岗位认定和关键岗位人员安全背景审查、安全检测和评估、网络安全信息共享、网络安全服务机构管理等制度规范和标准。
(二)建立健全网络安全信息共享机制
统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营单位以及网络安全服务机构等之间的网络安全信息共享。
(三)组织实施网络安全审查
鉴于关键信息基础设施对网络产品和服务IT的依赖,网络产品和服务的IT供应链安全与国家安全的关系日益密切,为了防止关键信息基础设施因使用的产品和服务存在安全缺陷或其他隐患而受到攻击、破坏,或者其存储、处理的数据资源被窃取、泄露从而危害国家安全,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当通过国家网信部门组织的网络安全审查。
(四)处置应对特别重大网络安全事件
组织处置关键信息基础设施整体中断运行或者主要功能障碍、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者防控上述特别重大网络安全威胁。
(五)检查检测
制定关键信息基础设施检查检测管理办法,统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测,确保各部门之间协同配合、信息沟通,避免不必要的检查和交叉重复检查。
(六)优先保障
能源、电信等领域的关键信息基础设施是其他行业和领域的关键信息基础设施的运行基础。为体现重点保护的原则,国家网信部门应当统筹协调相关资源和采取有效措施,优先保障能源、电信等关键信息基础设施安全运行。同时,能源、电信行业应当采取措施,为关键信息基础设施安全运行提供重点保障。
(七)网络安全技术创新和产业发展
统筹推进关键信息基础设施安全保护、网络安全技术创新。在实施国家重大工程和相关专项时,将关键信息基础设施安全保护、网络安全技术创新和产业发展作为重要方向,组织力量实施关键信息基础设施安全技术攻关。
统筹加强网络安全服务机构建设和管理,制定管理要求并加强监督指导,不断提升服务机构能力水平,充分发挥其在关键信息基础设施安全保护中的作用。
(八)统筹推进军民融合
网络空间的产业性质以及网络空间的作战特点,决定了军民融合之路是实现网络主权保障力量建设的根本举措。军地在关键信息基础设施建设等高技术战略性产业领域具有深度融合发展的广阔空间,国家应当统筹推进网络安全军民融合,军地协同保护关键信息基础设施安全。
(九)统筹推进人才培养和奖励机制
统筹关键信息基础设施保护的人才培养,吸引和鼓励网络安全专门人才到关键信息基础设施运营单位工作,将运营单位安全管理、技术人员培训纳入国家继续教育体系。
对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。从国家层面加强对网络安全工作中有突出贡献的单位和个人给予表彰与奖励,以进一步激发网络安全工作者的工作积极性与国家荣誉感。
关键信息基础设施作为网络空间安全的重要组成部分,涉及的具体内容较为繁多,安全审查流程严谨,人员管理和技术要求高,面临的网络安全风险和威胁也处在不断变化之中。此外,行业规模的不同、接触群体的不同、地域限制的不同、行业属性的不同等众多方面对关键信息基础设施具体的安全保护工作提出了不同的要求,从事前对网络安全风险的监测、预警,到应对网络安全威胁采取的防御和抵制,再到对处置工作的惩治与恢复,每个环节都有着不同的技术要求、职责要求,因此在中央网络安全和信息化领导机构统一领导下,国家网信部门统筹协调下,每个具体环节的监管部门都必须严格遵循有法必依,执法必严,违法必究,做好关键信息基础设施的安全防护工作。(作者:崔聪聪,北京邮电大学人工智能法律研究中心主任)