本报记者 孙琳
8月17日,国务院总理李克强签署国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。这是我国首部专门针对关键信息技术设施安全保护工作的行政法规。《条例》一出,随即引起了业界的关注和热议。作为业内人士,全国政协委员、上海市信息安全行业协会名誉会长谈剑锋,全国政协委员、中国网络安全产业联盟理事长、安天科技集团董事长肖新光日前接受人民政协报记者专访,对此进行解读。
谈剑锋认为,《条例》作为网络安全法的配套立法,在网络安全等级保护制度基础上,提出增强性安全要求和安全措施,既是针对关键信息基础设施安全保护的专门性行政法规,也是指导国家网络安全保障工作的基础性行政法规,在维护国家网络空间主权和安全利益方面意义重大、影响深远。
肖新光表示,关键信息基础设施是国家战略性基础设施。必须认识到,以关键信息基础设施为底座的数字经济具有对信息化技术的全链依赖,具有牵一发而动全身的连锁风险效应。此次《条例》的发布是我国推进网络安全法治工作的重要成果,将为我国加强关键信息基础设施的网络安全保护工作提供有力抓手和法治保障,是新形势下国家面向重大战略风险挑战的强基固本之举。
事实上,党中央、国务院一直高度重视网络安全。关于如何加强关键信息基础设施安全工作,习近平总书记也多次作出重要指示批示。2014年,习近平总书记指出“要完善关键信息基础设施保护等法律法规”;2016年,习近平总书记明确要求“加快构建关键信息基础设施安全保障体系”;2018年,习近平总书记指出“要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任”。
而此次《条例》的发布让关键信息基础设施安全保护做到了有法可依。从《条例》具体内容来看,《条例》共六章五十一条,大致可梳理为“一二一二一”架构,即围绕关键基础设施及其安全保障,提出一个总纲(界定保护范围及原则目标),设立两大机制(监管机制及认定机制),明确一个主体责任(运营者的责任义务),提出两类措施“协防”(保障和促进措施),承担一切法律责任(约束各方)。
“可以说,《条例》明确提出了关键信息基础设施的定义,保护范围,相关责任和监管机制,提出了安全保障措施等。”肖新光告诉记者,此前讨论版本中,对关键信息基础设施的定义是清单化的,而发布版则从风险后果的视角,清晰界定了关键信息基础设施的范畴,体现了关键信息基础设施安全的重大价值与战略地位。这一修订,确保了关键信息基础设施安全随风险动态变化的战略弹性与调整空间,可及时按照新的发展目标和新的风险挑战,因时而变、因需而变。与此同时,针对风险的重大性和后果的严重性,明确提出与防范重大风险与严重后果强关联的防护水平要求,进而规定了为构建所要求的防护水平,具体对应的各种安全投入。
“《条例》的正式确定与有效实施,能够显著促进规划指引、预算保障、问责落实的关键信息基础设施安全防护改革,从政策法规层面创造系统、深度、刚性的安全需求,推进形成信息化与网络安全两翼齐飞、双轮驱动的良性局面,从根本上构建应对未来存在的体系性风险和重大突发性风险的综合能力。”肖新光表示。
谈剑锋也表示,《条例》作为国家安全法、网络安全法这两部上位法的配套,进一步明确指出了保护关键基础设施与保障国家安全之间的关系,并从体制机制上提出相应的解决方案,进一步落实关键信息技术设施安全运营者主体责任,设立了安全防护、检查评估、监测预警、应急处置等标准,这些关键信息的明确,将让《条例》的施行更具有可操作性,开展网络安全工作有序有度。
不过,肖新光也提出,《条例》的颁布为我们明确指出了方向和路径。但从关键信息基础设施的战略性和全局性来考虑,还需要统筹资源和力量,全方位实施保护。关键信息基础设施安全问题不再只是单纯的建设运营机构自身安全防护问题,将建构在国家安全、社会安全、政企机构安全以及个人安全等4个层面,这就需要我们在实际施行中,必须统筹起各方力量,才能实现关键信息基础设施的全方面安全。
而作为信息安全领域的从业者,肖新光也提出,需要加紧进一步提升业内整体威胁分析以及威胁情报运营能力,释放行业、领域的安全态势与通报预警类平台建设需求,进一步拉动端点统一安全管理和响应、欺骗式防御、流量监测与响应等安全服务的采购需求。这样才能与《条例》的要求尽快匹配,从而快速提升我国网络安全综合能力。
“总之,可以预见,随着《条例》的进一步施行,关键信息基础实施安全保护将实现有法可依,这将对我国网络安全产业带来发展新机遇,切实加快我国网络强国建设进程。”谈剑锋最后说。