专家解读| 从《关键信息基础设施安全保护条例》看我国关基安全保护体系
一、前言
近日,国务院总理李克强签署国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。
《条例》的正式出台是我国网络安全顶层设计的又一里程碑事件,标志着从十年前开始酝酿的关键信息基础设施保护法规制定工作,经过漫长的探索、讨论、尝试、试点,终于迎来了有规可依、有章可循的新时代。理解好、落实好、执行好《条例》,对维护国家网络安全、保障关键信息基础设施平稳运行具有重要意义。
二、关键信息基础设施安全综合保护体系
《条例》最突出的特点,就是建立了以国家网信部门、国务院公安部门、关键信息基础设施保护工作部门(以下简称“保护工作部门”)、关键信息基础设施运营者(以下简称“运营者”)为主体的三层架构的关键信息基础设施安全综合保护责任体系。另外,省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
(一)综合保护体系的第一层是国家网信部门和国务院公安部门等国家有关职能部门
国家网信部门负责关键信息基础设施安全保护工作的统筹协调。“党政军民学,东南西北中,党是领导一切的”。国家网信部门负责统筹协调关键信息基础设施安全保护工作,既是落实“党管互联网”原则的应有之义,也是确保党中央将关键信息基础设施安全保护的重要部署和重大举措落实到位的有力保障。国家网信部门位于关键信息基础设施安全保护责任体系的顶层,在具有全局性、方向性、基础性的问题上发挥关键作用,统筹协调国务院公安部门、保护工作部门开展工作。
公安部门负责指导监督关键信息基础设施安全保护工作。《条例》赋予了公安部门除了打击网络违法犯罪之外更多的工作职能,具体体现在:关键信息基础设施认定规则备案、协助运营者开展安全背景审查、为保护工作部门提供技术支持和协助等方面。
除此之外,国家安全、保密行政管理、密码管理等部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
(二)综合保护体系的第二层是保护工作部门
国务院电信主管部门和其他有关部门在各自职责范围内负责关键信息基础设施安全保护和监管管理工作。在关键信息基础设施保护体系中,保护工作部门是与运营者联系最密切、打交道最直接、具体职责最丰富的国家主管、监管部门。
首先,关键信息基础设施的认定规则,由保护工作部门负责制定。开展关键信息基础设施保护,第一步是弄清关键信息基础设施保护的具体对象。《条例》规定,认定关键信息基础设施,应结合本行业、本领域的实际情况和不同特点,综合考虑重要程度、破坏后的危害程度、与其他行业的关联性等因素。由此可见,关键信息基础设施的认定工作与行业关键业务高度相关,由保护工作部门制定认定规则最为合理。
其次,保护工作部门是运营者的主要报告对象。运营者的报告义务主要有四种,分别在《条例》第十一条、十七条、十八条、二十一条中规定,主要有:影响关键信息基础设施认定结果的重大变化、年度网络安全检测和风险评估情况、发生重大网络安全事件和发现重大网络安全威胁、运营者发生合并分立解散等情况。以上四种情况的报告对象都为保护工作部门。
第三,《条例》规定了保护工作部门对关键信息基础设施的保障促进职能。具体包括:在本行业、本领域制定关键信息基础设施安全规划、建立监测预警制度、建立健全应急预案、定期组织应急演练、组织开展检查检测等。
特别值得一提的是,前不久刚刚公开的《党委(党组)网络安全工作责任制实施办法》规定了行业主管监管部门对本行业本领域的网络安全工作所承担的一系列职责,与《条例》中对保护工作部门职责的规定相一致。《条例》的相关规定,既是贯彻落实党的方针路线政策的具体实践,也是把党的主张通过法定程序转化为国家法律法规的具体体现。
(三)综合保护体系的第三层是关键信息基础设施运营者
《条例》第四条规定,“强化和落实关键信息基础设施运营者主体责任”。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,应发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。尽管需要全社会共同保护,但仍然改变不了运营者在综合保护体系中的主体责任地位。《条例》第三章集中规定了运营者的主体责任义务,具体表现有:一是落实“三同步”安全要求。二是建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。三是设置专门安全管理机构。四是按照《条例》第十五条的规定,落实专门安全管理机构的各项职责。五是每年至少进行一次网络安全检测和风险评估。六是及时报告重大网络安全事件和网络安全威胁。七是优先采购安全可信的网络产品和服务。八是明确其网络产品和服务提供者的技术支持和安全保密义务与责任,并对履行情况进行监督。九是在发生合并、分立、解散等情况时,及时报告保护工作部门,并按保护工作部门的要求进行处置。
另外,《条例》不仅规定了运营者的责任义务,还充分发挥政府及社会各方面的支撑保障和协助支持作用,以增加运营者在开展关键信息基础设施保护工作方面的“获得感”。具体表现有:一是在开展机构负责人和关键岗位人员的安全背景审查方面,《条例》第十四条规定公安机关、国家安全机关应当予以协助。二是《条例》第七条规定,对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。三是《条例》第十六条规定开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与,改变了以往安全部门“有职无权”的困境。四是《条例》第二十五条规定在开展网络安全事件处置时,可由保护工作部门提供技术支持与协助。五是《条例》第三十五条规定,国家采取措施,鼓励网络安全专门人才从事关键信息基础设施安全保护工作;将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。六是《条例》第三十二条规定,能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。
(四)省级人民政府有关部门
《条例》第三条规定,省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。省级人民政府有关部门在关键信息基础设施保护工作体系中的职能主要体现在:一是根据条块管理的职责划分,在国家网信部门的统筹协调下,与国务院公安部门、保护工作部门协调开展关键信息基础设施保护工作。二是根据《党委(党组)网络安全工作责任制实施办法》的规定,对本地区没有主管监管部门的运营者负指导监管责任。
三、结语
《条例》建立的关键信息基础设施安全综合保护体系是以运营者为主体的综合治理体系,在压实运营者主体责任的基础上,充分发挥政府和社会力量,赋予运营者必要的支持协助。从层次结构上看,形成了“网信公安-保护工作部门-运营者”的三层体系结构;从参与部门看,既有本行业的主管部门,也涵盖了电信、能源、国家安全、保密、密码等对关键信息基础设施至关重要的主管监管部门;从职能协调看,明确了部门与部门、部门与地方、部门与运营者的各方职责。总体上看,《条例》充分调动了全社会的积极力量,建立起一套完整、科学、严密的制度框架。我们有理由相信,随着《条例》的正式施行,我国的关键信息基础设施保护工作将翻开新的篇章。(作者:林星辰,国家计算机网络应急技术处理协调中心)