强化关键信息基础设施运营者责任

■本报记者　沈竹士

今年6月1日，《网络安全法》正式实施。《网络安全法》　是网络安全的基本法，其在网络运行里面单独提出一节“关键信息基础设施的运行安全”，在法律层面确定了关键信息基础设施的保护制度。在昨天举行的2017国家网络安全宣传周关键信息基础设施保护分论坛上，中央网信办网络安全局基础设施保护处处长王营康介绍，《网络安全法》　的配套法规　《关键信息基础设施安全保护条例》　已经完成前期起草，正根据征求意见进行进一步评估完善。

《条例》完成起草和征求意见

王营康表示，《网络安全法》　第31条明确，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，一旦遭到破坏丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度基础上再实行重点保护。

主管部门目前正在落实　《网络安全法》，构建关键信息基础设施保护工作。《网络安全法》　关键信息基础设施的具体范围和安全保护办法由国务院制定，网信办起草　《关键信息基础设施安全保护条例》，作为网络安全配套法规，对相关内容做出进一步细化规定，包括部门职责、关键信息范围、识别认定、支持保障的具体措施，还有细化运营单位的主体责任，国家加强监测预警，应急处置，检测评估方面的相关要求。

《条例》　由中央网信办会同工信部、公安部等相关部门共同起草，上半年已完成草案，于7月11日至8月10日面向社会公开征求意见。

《网络安全法》配套法规要成体系

作为　《网络安全法》　的配套法规，《条例》　设置了几项基本原则。其中，要求处理好　《条例》　与其他相关法律法规的关系，做好衔接，部门职责不做重复规定。纵向上，要与上位法《网络安全法》　做衔接，往下要有相关《审查办法》。横向上，要和未来的《个人信息和重要数据出境安全评估办法》　做好衔接。

另外，综合　《条例》　草案公开征求意见情况和国外做法经验，立足于进一步细化　《网络安全法》　确定的关键信息基础设施的范围，落实了九大行业领域范围的表述，并进行了细化。如：公共通信和信息服务细化到电信、互联网、广播电视、新闻出版；金融细化到银行、证券、保险；能源就是电力、石油石化等行业领域；电子政务细化到重要党政机关网站、办公系统、十二金工程。

加强安全人员机构资质管理

保护关键信息基础设施，运营者是第一主体。《条例》　强化了运营者的责任，设置专门安全管理负责人，要对从业人员进行教育、培训、技能考核要求。

《条例》　草案征求意见中关注度比较高的一条，提出了职业资格管理要求，以及面向专业服务机构的资质管理要求。有观点认为，对职业资质要求的强化，不利于减少行政审批事项，可能增加企业负担。但是，从网络空间安全角度考虑，设置资质管理非常有必要。《条例》　重点针对网络安全管理人员提出要求，目前正在同人社部和国家认证认可委做相关沟通与交流，也借鉴了　《安全生产法》　相关管理要求。此外，有些专家反映，《条例》　中关于专业服务机构管理的有关规定，还是相对较弱，需要加强专业服务机构的资质管理。