2017年是我国关键信息基础设施保护工作取得显著进展的一年。《网络安全法》《国家网络空间安全战略》等提出建立关键信息基础设施安全保护制度;中央网信办发布《关键信息基础设施安全保护条例(征求意见稿)》,明确了关键信息基础设施的具体范围,并提出进一步的安全保护要求;《网络产品和服务安全审查办法(试行)》《国家网络安全事件应急预案》《个人信息和重要数据出境安全评估办法(征求意见稿)》,均对关键信息基础设施运营者提出了相关要求。关键信息基础设施安全标准体系基本形成。

  一批配套政策逐步制定

  为落实《网络安全法》要求,国家网信部门会同相关部门起草了《关键信息基础设施安全保护条例(征求意见稿)》,于2017年7月10日向社会公开征求意见,揭开了我国关键信息基础设施安全保护立法进程的新篇章。近期,《关键信息基础设施安全保护条例》草案第二稿在一定范围征求意见,有望于2018年正式发布。

  配套为支撑《网络安全法》的实施,2017年发布的《网络产品和服务安全审查办法(试行)》《国家网络安全事件应急预案》《个人信息和重要数据出境安全评估办法(征求意见稿)》,均对关键信息基础设施安全保护的具体事项提出进一步要求。

  等级保护制度升级为2.0

  公安部提出并制定了以安全技术保障、安全管理运营、安全监测预警、安全应急响应为核心的网络安全等级保护2.0,以保障我国政府、企业等关键信息基础设施在新技术、新设施、新应用为代表的新经济、新环境下的平稳运行与数据安全。与原等级保护制度的一个显著不同是,扩大了等级保护对象,囊括了大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台以及物联网系统、移动互联网、工业控制系统、公众服务平台等。

  抓紧立项一批重要标准

  2017年以来,我国关键信息基础设施安全保护标准体系开始布局。为确保标准体系建设的合理性、科学性,全国信安标委组织多次专家研讨会,厘清了关键信息基础设施安全各标准之间的关系与定位,已立项的标准包括:

  1.《关键信息基础设施网络安全框架》。该标准规定关键信息基础设施网络安全框架,说明构成框架的基本要素及其关系,定义基本、通用的术语。

  2.《关键信息基础设施网络安全保护基本要求》。该标准规定关键信息基础设施网络安全保护在识别认定、安全防护、检测评估、监测预警、应急处置等环节的基本要求。

  3.《关键信息基础设施安全控制措施》。该标准作为《信息安全技术 关键信息基础设施网络安全保护基本要求》的配套标准,根据要求提出相应控制措施,运营者开展网络安全保护工作时可在该标准中选取适用的控制措施。

  4.《关键信息基础设施安全检查评估指南》。该标准主要依据《关键信息基础设施网络安全保护基本要求》的相关要求,明确关键信息基础设施检查评估的目的、流程、内容和结果。

    5.《关键信息基础设施安全保障指标体系》。该标准规范了用于评价关键信息基础设施安全保障水平的指标,并给出释义,基于检查评估结果、日常安全监测等情况给出评价结果。(左晓栋:中国信息安全研究院副院长)