專家解讀|貫徹落實總體安全觀 建立健全關鍵資訊基礎設施安全保護統籌協調機制
2017年6月1日《網路安全法》正式實施,網路安全保障能力在逐步加強,但總體的保障體系尚未完善,特別是關鍵資訊基礎設施所面臨的風險和保護能力欠缺的矛盾仍然很突出:關鍵資訊基礎設施面臨的風險往往具有高度複雜、高度不確定性的特徵,風險的系統性與風險來源的跨國界交織在一起,基於清晰權責界定的科層制組織遭遇前所未有的挑戰,部門分割、條塊分割、地域分割、軍地分割的管理壁壘亟待被打破,需要建立健全常態化的統籌協調機構。《關鍵資訊基礎設施安全保護條例》(以下簡稱《條例》)第三條明確了國家網信部門的統籌協調職責,將進一步增強關鍵資訊基礎設施保護工作的系統性、整體性和協同性,有利於築牢國家網路安全屏障,為經濟社會發展和人民群眾福祉提供安全保障。
一、關鍵資訊基礎設施統籌協調的必要性
關鍵資訊基礎設施安全保護工作點多線長,涉及金融、電信、交通、能源、水利、電子政務等多個重要行業和領域,需要行業主管監管部門依法履職,做好安全保護工作;另一方面,關鍵資訊基礎設施保護需要在經濟、行政、科技、法律、外交、軍事等層面採取囊括法律、技術、制度、管理等多角度、深層次、全方位的保護措施,需要保護工作部門、關鍵資訊基礎設施運營者、有關行業組織、網路安全服務機構等密切配合、高效聯動,形成關鍵資訊基礎設施安全保護工作的有機整體。為了使保護工作部門、有關監管部門各司其職,政府、行業組織和社會等相互配合和共用網路安全資訊和資源,使整體功能大於部分之和,應當建立關鍵資訊基礎設施的統籌協調機制,充分發揮國家網信部門的統籌協調作用,做到“一類事項原則上由一個部門統籌,一件事情原則上由一個部門負責”,這有利於避免條塊分割和管理職能碎片化現象,體現了新時代黨中央對關鍵資訊基礎設施安全保護工作的統一領導和整體佈局。
二、關鍵資訊基礎設施統籌協調的積極意義
(一)通過統籌建立共同保護治理格局
關鍵資訊基礎設施作為網路安全的重中之重,其穩定運作影響著國家安全和社會穩定,因此政策必須得到落實。在2018年全國網路安全和資訊化工作會議上習近平總書記指出:“要提高網路綜合治理能力,形成黨委領導、政府管理、企業履責、社會監督、網民自律等多主體參與,經濟、法律、技術等多種手段相結合的綜合治網格局。”綜合治網格局體現在關鍵資訊基礎設施安全保護領域需要通過統籌協調,形成“共同保護關鍵資訊基礎設施安全”的治理格局,特別是需要行業保護工作部門和相關監督管理部門形成整體性安全保護決策和手段,以適應關鍵資訊基礎設施保護的關聯性和領域性特徵。
(二)通過協調形成安全保護合力
關鍵資訊基礎設施為社會生産生活提供著最基本同時也是最關鍵的服務,與社會個體有著緊密聯繫,從這一角度而言能夠更好地調動社會力量。因此,社會的各方面都應該積極參與到關鍵資訊基礎設施安全保護工作中來,共同抵禦網路威脅和網路攻擊對關鍵資訊基礎設施的破壞:保護工作部門、運營單位和組織要按照法律法規、制度標準的要求,採取必要措施保障關鍵資訊基礎設施安全,加強關鍵資訊基礎設施風險評估,逐步實現先評估後使用。建立政府、行業與企業的網路安全資訊有序共用機制,充分發揮網路安全行業組織、網路安全服務機構在保護關鍵資訊基礎設施中的重要作用。關鍵資訊基礎設施提供的服務具有基礎性和關鍵性,這便使安全保護工作具有了全民性,通過協調,有效整合社會資源和社會力量,避免碎片化,形成全社會共同防控網路安全事件的合力。
(三)提升保障能力
當前,經濟社會網路化、資訊化、數字化和智慧化的程度越來越高,中國經濟社會的關聯性、耦合性、複雜性越來越高。一個微小的擾動就可能是“一隻煽動翅膀的蝴蝶”,沿著複雜的社會網路交織、疊加、傳導、互動,導致整體性的癱瘓和崩潰,引發系統性危機。關鍵資訊基礎設施面臨風險的高度不確定性和不可預測性,其發生和發展演進路徑、危害後果往往超越個體和單個組織的理性預判能力,這需要關鍵資訊基礎設施保護體系必須將所有的關鍵資訊基礎設施有效地統籌協調起來,形成應對系統性風險的韌性。
三、統籌協調的具體職責
(一)統籌建立健全關鍵資訊基礎設施安全保護的戰略、法律和政策
制定或者修訂關鍵資訊基礎設施相關的戰略和政策;在《網路安全法》和《條例》的框架內,統籌制定完善關鍵資訊基礎設施認定、關鍵崗位認定和關鍵崗位人員安全背景審查、安全檢測和評估、網路安全資訊共用、網路安全服務機構管理等制度規範和標準。
(二)建立健全網路安全資訊共用機制
統籌協調有關部門建立網路安全資訊共用機制,及時匯總、研判、共用、發佈網路安全威脅、漏洞、事件等資訊,促進有關部門、保護工作部門、運營單位以及網路安全服務機構等之間的網路安全資訊共用。
(三)組織實施網路安全審查
鋻於關鍵資訊基礎設施對網路産品和服務IT的依賴,網路産品和服務的IT供應鏈安全與國家安全的關係日益密切,為了防止關鍵資訊基礎設施因使用的産品和服務存在安全缺陷或其他隱患而受到攻擊、破壞,或者其存儲、處理的數據資源被竊取、洩露從而危害國家安全,關鍵資訊基礎設施運營者採購網路産品和服務,影響或可能影響國家安全的,應當通過國家網信部門組織的網路安全審查。
(四)處置應對特別重大網路安全事件
組織處置關鍵資訊基礎設施整體中斷運作或者主要功能障礙、國家基礎資訊以及其他重要數據洩露、較大規模個人資訊洩露、造成較大經濟損失、違法資訊較大範圍傳播等特別重大網路安全事件或者防控上述特別重大網路安全威脅。
(五)檢查檢測
制定關鍵資訊基礎設施檢查檢測管理辦法,統籌協調國務院公安部門、保護工作部門對關鍵資訊基礎設施進行網路安全檢查檢測,確保各部門之間協同配合、資訊溝通,避免不必要的檢查和交叉重復檢查。
(六)優先保障
能源、電信等領域的關鍵資訊基礎設施是其他行業和領域的關鍵資訊基礎設施的運作基礎。為體現重點保護的原則,國家網信部門應當統籌協調相關資源和採取有效措施,優先保障能源、電信等關鍵資訊基礎設施安全運作。同時,能源、電信行業應當採取措施,為關鍵資訊基礎設施安全運作提供重點保障。
(七)網路安全技術創新和産業發展
統籌推進關鍵資訊基礎設施安全保護、網路安全技術創新。在實施國家重大工程和相關專項時,將關鍵資訊基礎設施安全保護、網路安全技術創新和産業發展作為重要方向,組織力量實施關鍵資訊基礎設施安全技術攻關。
統籌加強網路安全服務機構建設和管理,制定管理要求並加強監督指導,不斷提升服務機構能力水準,充分發揮其在關鍵資訊基礎設施安全保護中的作用。
(八)統籌推進軍民融合
網路空間的産業性質以及網路空間的作戰特點,決定了軍民融合之路是實現網路主權保障力量建設的根本舉措。軍地在關鍵資訊基礎設施建設等高技術戰略性産業領域具有深度融合發展的廣闊空間,國家應當統籌推進網路安全軍民融合,軍地協同保護關鍵資訊基礎設施安全。
(九)統籌推進人才培養和獎勵機制
統籌關鍵資訊基礎設施保護的人才培養,吸引和鼓勵網路安全專門人才到關鍵資訊基礎設施運營單位工作,將運營單位安全管理、技術人員培訓納入國家繼續教育體系。
對在關鍵資訊基礎設施安全保護工作中取得顯著成績或者作出突出貢獻的單位和個人,按照國家有關規定給予表彰。從國家層面加強對網路安全工作中有突出貢獻的單位和個人給予表彰與獎勵,以進一步激發網路安全工作者的工作積極性與國家榮譽感。
關鍵資訊基礎設施作為網路空間安全的重要組成部分,涉及的具體內容較為繁多,安全審查流程嚴謹,人員管理和技術要求高,面臨的網路安全風險和威脅也處在不斷變化之中。此外,行業規模的不同、接觸群體的不同、地域限制的不同、行業屬性的不同等眾多方面對關鍵資訊基礎設施具體的安全保護工作提出了不同的要求,從事前對網路安全風險的監測、預警,到應對網路安全威脅採取的防禦和抵制,再到對處置工作的懲治與恢復,每個環節都有著不同的技術要求、職責要求,因此在中央網路安全和資訊化領導機構統一領導下,國家網信部門統籌協調下,每個具體環節的監管部門都必須嚴格遵循有法必依,執法必嚴,違法必究,做好關鍵資訊基礎設施的安全防護工作。(作者:崔聰聰,北京郵電大學人工智慧法律研究中心主任)