伟德体育

2022年是网络安全法正式实施5周年，它奠定了我国网络安全保障能力与体系的基本制度框架。而关键信息基础设施安全保护，则是网络安全法以专门章节确立的国家网络安全保障体系的核心构件之一。在当前经济社会发展新阶段，关键信息基础设施保护直接关系国家数字战略大局。5年来，我国关键信息基础设施安全保护进展如何？笔者将从法规标准构建、各领域落实情况等方面进行梳理和分析。

相关法规标准体系的构建

网络安全法在第三章网络安全运行中设立专节，对关键信息基础设施安全保护提出了总体要求。5年来，我国相继出台了一系列关键信息基础设施保护法规、标准和规范性文件，全面保障网络安全各项法律要求进一步细化实施。

在法规层面，一是加强对法律实施的顶层设计，国务院出台《关键信息基础设施安全保护条例》（以下简称《条例》），以行政法规的形式强化总体部署。二是相关部门出台规范性文件，全面启动对关键信息基础设施的安全保护，如公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》等。三是地方加快推进落实，出台相关法规，如《新疆维吾尔自治区关键信息基础设施安全保护条例》等。

在标准规范层面，全国信息安全标准化技术委员会2017年制定了《信息安全技术 关键信息基础设施安全保障指标体系》《信息安全技术 关键信息基础设施安全检查评估指南》，2020年又相继推出了《信息安全技术 关键信息基础设施安全控制措施》《信息安全技术 关键信息基础设施网络安全保护基本要求》《信息安全技术 关键信息基础设施信息技术产品供应链安全要求》等国家标准。此外，关键信息基础设施信息共享规范、安全控制评估方法、安全监测预警要求等多部标准也正在研究起草中。 

安全保护推进特点与进展

网络安全法实施以来，关键信息基础设施安全保护的落实主要体现在对《条例》的响应上，且呈现出3大特点：其一，监管侧积极响应，进一步理顺了关键信息基础设施安全保护的监督管理体系，重点构建和优化了以网信部门为统筹主体、公安部门为指导主体、行业管理部门为保护主体的监管体系与机制。其二，在响应形式方面，多数以《条例》的学习和宣传贯彻为主，当前也有部分围绕关键信息基础设施开展的专项检查，但大多是《条例》发布前已有检查工作的延续，包括网信系统主导的年度检查，以及工信系统主导的重大活动保障类检查。其三，在响应内容方面，多数建设项目体现出较强的延续性和附属性，即延续原有的网络安全检查管理要求，或以应急和检测服务类网络安全工程为载体，新增的建设实施类项目尚未规模化涌现。

总体来看，当前对《条例》的响应集中体现在行业领域和社会组织方面，关键信息基础设施较为集中的部分行业率先行动起来。

一是电信行业积极部署，凸显优先保障定位。电信行业作为《条例》明确优先保障的两个重点行业领域之一，自《条例》颁布之初，行业有关部门就召开专题会议，就关键信息基础设施安全保护进行研讨部署，并在各地展开了系列宣贯活动，加强对相关要求的专题培训。有的区域将关键信息基础设施供应链安全纳入重点工作，有的省份将基础电信企业网络与信息安全列入考核要点，还有的地方启动了关键信息基础设施安全检查，深入开展安全防护检测，严格实施电信企业漏洞探测、渗透性测试活动，督促运营企业整改安全隐患。

二是能源行业强化基础，优化安全人才与管理机制。能源行业作为《条例》优先保障的另一个重点行业领域，结合近年来国外屡屡发生的针对能源信息基础设施的攻击事件，行业相关主管部门以宣贯《条例》为契机，率先强化了行业安全人才队伍建设，同时分区域、分重点地推进了优化关键信息基础设施保护管理机制及相关采购要求，提出采购网络和服务须签订安全保密协议，并持续推进网络安全监测预警机制创新，做好网络安全事件应急预案、定期演练，同时联合开展了保障冬奥会相关关键信息基础设施安全专项检查等。

三是交通行业以规划为引领，推进顶层设计。我国幅员辽阔，拥有纵横交错、空间联动的交通基础设施。进一步加强交通信息基础设施的安全防护，不仅是贯彻《条例》的需要，也是服务数字经济发展的基本要求。《条例》颁行后，国家和地方交通主管部门主要开展了两大项工作：一方面，将交通行业关键信息基础设施保护列入国家与地方专项规划，构建网络安全综合防范体系，积极应对新技术新应用伴生的风险；另一方面，持续推进《条例》宣贯，围绕关键信息基础设施认定、监管体制、保护原则、认定机制、责任义务、保障促进等，深入推进相关各方对法规要求的理解与认识。

四是社会组织积极行动。主要体现在3方面：专业研究机构持续开展关键信息基础设施保护专项工作，如全国信息安全标准化技术委员会围绕关键信息基础设施标准化体系建设，同步推进相关标准的立项、制定与修订工作；催生了民间专业联盟组织，如关键信息基础设施安全保护联盟等，为保护工作的协同衔接提供了多元化合作平台；部分行业联盟、协会成立关键信息基础设施保护分支部门，拓展业务覆盖范围，如2021年中国网络空间安全协会成立了关键信息基础设施网络安全保护组，并向社会征募专家力量。

发展趋势探讨

在我国数字化战略和“十四五”规划加速落地落实的背景下，网络安全法和《条例》等法规制度有力地搭建起关键信息基础设施保护的新格局，下一步的推进过程中或将涌现出更多亮点。

一是对法律法规的宣贯不断走向深入。在宣贯主体方面，除能源、电信、交通行业外，其他涉及关键信息基础设施的重点行业和部门也将成为重要力量。在宣贯形式方面，除了集中培训外，以问题为导向的专题学习、实训和演练将逐步增多，并注重以更加直观、具体的方式展现《条例》在指导和解决实际问题中的价值。

二是安全保护机制将持续优化。对于《条例》颁行前已围绕关键信息基础设施保护开展的诸多工作，如关键信息基础设施备案、检查、认证等，都将陆续纳入新的规范体系，此前多次提及的加强行业和区域关键信息基础设施保护规划等也将逐步落实。特别是《条例》明确提出的关键信息基础设施认定、分层分类管理、检查检测执行、责任监督落实等，都将进一步丰富关键信息基础设施保护工作实践，引领构建适应数字化发展需求的关键信息基础设施保护机制。

三是法律法规体系逐步完善。从关键信息基础设施保护的具体操作需求来看，还须完善两大类别的规章与标准。一方面是不同行业领域须根据各自特点和实际需求出台相应的管理规章，首要需求将会体现在不同行业、地区对关键信息基础设施的认定管理，以及数据的分类管理等方面。另一方面是涉及具体操作领域，如关键信息基础设施保护评估、数据安全、专业服务机构等相关技术标准与流程规范，更深入地推进关键信息基础设施安全保护工作的落实。

5年来，随着数字经济的加速发展，网络安全法见证并确保了关键信息基础设施保护的稳步推进。未来，面对关键信息基础设施的破坏与保护、控制与反控制，我们仍需不断总结工作中的实践经验，持续升级与完善以网络安全法为基石的关键信息基础设施法律“工具箱”，深入推进依法治国思想在关键信息基础设施保护领域的落地落实，开创新的工作局面。