1、專家解讀關鍵信息基礎設施安全保護條例開啟關鍵信息基礎設施安全保護新階段2021年7月30日，關鍵信息基礎設施安全保護條 例（以下簡稱條例）正式公布，標志著我國網絡安 全保護進入了以關鍵信息基礎設施安全保護為重點的新 階段。作為網絡安全法的重要配套立法，條例積極應 對國內外網絡安全保護的主要問題和發展趨勢，為下一步 加強關鍵信息基礎設施安全保護工作提供了重要法治保 障。一、關鍵信息基礎設施安全保護立法是各國網絡安全 戰略重要一環（一）全球網絡安全局勢復雜嚴峻對各國關鍵信息基 礎設施安全防護提出新挑戰。近期，多國基礎設施和重要 信息系統遭受網絡攻擊，引發全球震蕩，對國家安全穩定 造成巨大風險。特別

2、是2021年，美國最大的燃油管道運 營商、全球最大的肉類加工企業均因黑客攻擊而停擺，導 致影響國家乃至全球經濟運行的基礎設施受損，對全產業 鏈產生連鎖影響，也引發了全球關于加強關鍵信息基礎設 施安全保護的思考。近期，世界主要國家和地區均強化關 鍵基礎設施安全防護。美國不僅大幅增加關鍵基礎設施網 絡安全方面的資金投入，而且提出多部強化關鍵基礎設施 網絡安全、預防勒索軟件攻擊等方面的法案和官方指南。 歐盟也在歐盟安全聯盟戰略中將提升關鍵基礎設施的 保護和恢復能力作為未來五年網絡安全工作的重中之重。（二）世界主要國家和地區將關鍵基礎設施立法作為 網絡安全立法中最為關鍵的環節。美歐在關鍵基礎設施立 法

3、方面起步較早，美國早在2001年即頒布了2001年關 鍵基礎設施保護法，之后相繼出臺改進關鍵基礎設施 網絡安全行政令增強聯邦政府網絡與關鍵基礎設施網 絡安全行政令等相關立法。隨著網絡安全形勢的日益嚴 峻，美國積極調整網絡安全保護戰略，近期發布了2021 年臨時國家安全戰略方針2021年關于加強國家網絡 安全的行政命令等相關政策。歐盟出臺了2008年歐 盟關鍵基礎設施認定和安全評估指令2016年網絡與 信息安全指令等多部關鍵基礎設施保護相關立法。俄羅 斯2017年頒布了聯邦關鍵信息基礎設施安全法，澳 大利亞2018年頒布了關鍵基礎設施安全法。此外， 英國、德國、日本等國也出臺了關鍵基礎設施保護的

4、相關 立法和政策。（三）我國網絡安全法強調對關鍵信息基礎設施適用更高水平保護。我國2016年出臺的網絡安全法在明確國家網絡安全基本制度體系的基礎上，對于關鍵信息基礎設 施規定了更高水平的安全防護要求。網絡安全法規定對關 鍵信息基礎設施實行重點保護，并在第三章“網絡運行安 全”中單設一節對關鍵信息基礎設施安全保護進行專門規 定。針對關鍵信息基礎設施安全保護工作中涉及的技術措 施、人員機制、數據安全、風險評估等安全管理舉措提出 更高要求，并強調通過配套立法進一步完善關鍵信息基礎 設施安全保護制度，突出了關鍵信息基礎設施在國家整體 網絡安全制度體系中的重要地位。二、條例確立了我國關鍵信息基礎設施安全

5、保護 的具體制度要求網絡安全法對關鍵信息基礎設施安全保護制度相關 實施對象、責任主體、工作內容等進行了總體性規定，條 例作為網絡安全法重要配套法規，立足工作落實，界定 了適用范圍、監管主體、評估對象等關鍵信息基礎設施安 全保護相關系列基本要素，提出了安全保護要求和安全保 障措施，確保對象具體、權責清晰、任務明確，為安全保 護工作開展提供系統指引和工作遵循。（一）確定保護對象范圍。條例第二條給出了關 鍵信息基礎設施明確定義，第九條提出了保護工作部門制 定識別認定規則的重點考慮因素，確定了由保護工作部門 負責制定本行業、本領域關鍵信息基礎設施認定規則及清 單。認定規則及清單的形成過程一方面須立足實

6、際，充分 結合本行業、本領域業務特性和重要性，在量化指標參數 的基礎上實現清單范圍的準確界定；另一方面，清單應當 伴隨國家網絡安全和信息化發展，實現動態調整更新。（二）明確監管職責分工。為保障關鍵信息基礎設施 安全保護工作順利開展，條例設置了科學嚴謹的監督 管理工作機制。在國家層面，國家網信部門負責統籌協調， 國務院公安部門負責指導監督，國務院電信主管部門和其 他有關部門負責行業關鍵信息基礎設施安全保護和監督 管理工作；在地方層面，由省級人民政府有關部門負責關 鍵信息基礎設施安全保護和監督管理工作。既有效保障了 關鍵信息基礎設施安全保護工作統一有序、協同推進，又 能充分發揮具體行業部門的專業優

7、勢，提升關鍵信息基礎 設施安全保護力度。（三）強化安全主體責任。條例強調關鍵信息基 礎設施運營者（以下簡稱運營者）在關鍵信息基礎設施安 全保護中承擔主體責任，并對于運營者自身安全管理機制 的設置進行了嚴格要求。一是強調主要負責人責任，明確 運營者的主要負責人對關鍵信息基礎設施的安全保護負 責。二是要求設立專門的安全管理機構，具體負責本單位 關鍵信息基礎設施的安全保護工作。三是對關鍵崗位人員 實施安全背景審查，其中包括運營者專門安全管理機構的 負責人及其認定的關鍵崗位人員。四是保障專門安全管理 機構運行，為本單位專門安全管理機構提供經費和專業人 員保障。（四）細化安全保護要求。條例強化關鍵信息基

8、 礎設施的安全保護，在網絡安全法的基礎上對運營者提出 了更高的安全防護要求。一是落實“三同步”要求，要求 安全保護措施與關鍵信息基礎設施同步規劃、同步建設、同步使用，關鍵信息基礎設施自列入關基清單之日起，在 設計建設（改擴建）、運行維護、應急恢復、停用廢棄各 階段，應確保落實覆蓋全生命周期的安全保護。二是開展 定期安全檢測和風險評估，運營者須每年至少進行一次網 絡安全檢測和風險評估，可以自行或委托網絡安全服務機 構進行。三是履行安全事件和威脅報告義務，在發生重大 網絡安全事件或發現重大網絡安全威脅時，運營者應當向 相關部門報告。四是落實網絡安全審查要求，運營者采購 網絡產品和服務可能影響國家安

9、全的，應當按照國家網絡 安全規定進行安全審查。五是強化監測預警和信息共享，條例提出建立健全關鍵信息基礎設施網絡安全監測預 警制度，準確把握關鍵信息基礎設施運行狀況，促進網絡 安全信息共享。（五）強化重點安全保障。一是針對關鍵信息基礎設 施實施的漏洞探測、滲透測試等活動，應得到國家網信部 門、國務院公安部門批準或者保護工作部門、運營者授權。 對基礎電信網絡實施漏洞探測、滲透測試等活動，應當事 先向國務院電信主管部門報告。二是能源、電信行業為金 融、水利和交通等行業關鍵信息基礎設施穩定運行提供重 要支撐及資源保障，基礎電信網絡還具有基礎性、全局性， 承載著其他關鍵信息基礎設施。國家將采取措施，優先

10、保 障能源、電信等關鍵信息基礎設施安全運行。能源、電信 行業將為其他行業和領域的關鍵信息基礎設施安全運行 提供重點保障。三、關鍵信息基礎設施安全保護工作新階段的思考（一）完善配套標準規范體系。一是圍繞關鍵信息基 礎設施共性安全需求和基線安全要求，加快制定出臺國家 標準。二是保護工作部門聚焦行業實際和特點，深入推進 行業關鍵信息基礎設施標準建設，并組織實施。三是圍繞 運營者責任義務、信息共享模式、協同處置機制、安全防 護能力認定等關鍵方面開展管理機制深入研究。（二）深化行業監管職責落實。一是指導監督行業運 營者落實安全主體責任，扎實做好網絡安全威脅監測與處 置、網絡安全審查等關鍵信息基礎設施安全保護相關工 作。二是完善監督檢查機制，加強行業關鍵信息基礎設施 安全防護檢查與風險評估。三是構建完善應急保障體系， 建立態勢感知、應急指揮等技術支撐手段，組織開展場景 式、專題化、聯合型應急演練，打造專家隊伍。（三）加強新技術新模式應用示范。一是強化創新發