强化关键信息基础设施运营者责任
■本报记者 沈竹士
今年6月1日,《网络安全法》正式实施。《网络安全法》 是网络安全的基本法,其在网络运行里面单独提出一节“关键信息基础设施的运行安全”,在法律层面确定了关键信息基础设施的保护制度。在昨天举行的2017国家网络安全宣传周关键信息基础设施保护分论坛上,中央网信办网络安全局基础设施保护处处长王营康介绍,《网络安全法》 的配套法规 《关键信息基础设施安全保护条例》 已经完成前期起草,正根据征求意见进行进一步评估完善。
《条例》完成起草和征求意见
王营康表示,《网络安全法》 第31条明确,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,一旦遭到破坏丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度基础上再实行重点保护。
主管部门目前正在落实 《网络安全法》,构建关键信息基础设施保护工作。《网络安全法》 关键信息基础设施的具体范围和安全保护办法由国务院制定,网信办起草 《关键信息基础设施安全保护条例》,作为网络安全配套法规,对相关内容做出进一步细化规定,包括部门职责、关键信息范围、识别认定、支持保障的具体措施,还有细化运营单位的主体责任,国家加强监测预警,应急处置,检测评估方面的相关要求。
《条例》 由中央网信办会同工信部、公安部等相关部门共同起草,上半年已完成草案,于7月11日至8月10日面向社会公开征求意见。
《网络安全法》配套法规要成体系
作为 《网络安全法》 的配套法规,《条例》 设置了几项基本原则。其中,要求处理好 《条例》 与其他相关法律法规的关系,做好衔接,部门职责不做重复规定。纵向上,要与上位法《网络安全法》 做衔接,往下要有相关《审查办法》。横向上,要和未来的《个人信息和重要数据出境安全评估办法》 做好衔接。
另外,综合 《条例》 草案公开征求意见情况和国外做法经验,立足于进一步细化 《网络安全法》 确定的关键信息基础设施的范围,落实了九大行业领域范围的表述,并进行了细化。如:公共通信和信息服务细化到电信、互联网、广播电视、新闻出版;金融细化到银行、证券、保险;能源就是电力、石油石化等行业领域;电子政务细化到重要党政机关网站、办公系统、十二金工程。
加强安全人员机构资质管理
保护关键信息基础设施,运营者是第一主体。《条例》 强化了运营者的责任,设置专门安全管理负责人,要对从业人员进行教育、培训、技能考核要求。
《条例》 草案征求意见中关注度比较高的一条,提出了职业资格管理要求,以及面向专业服务机构的资质管理要求。有观点认为,对职业资质要求的强化,不利于减少行政审批事项,可能增加企业负担。但是,从网络空间安全角度考虑,设置资质管理非常有必要。《条例》 重点针对网络安全管理人员提出要求,目前正在同人社部和国家认证认可委做相关沟通与交流,也借鉴了 《安全生产法》 相关管理要求。此外,有些专家反映,《条例》 中关于专业服务机构管理的有关规定,还是相对较弱,需要加强专业服务机构的资质管理。