近日,国家互联网信息办公室发布《国家网络安全事件报告管理办法》(以下简称《办法》)。《办法》为网络安全事件报告建立了统一框架、规范了内容要素,标志着我国网络空间安全治理工作进入新的发展阶段。

一、《办法》对完善国家网络安全事件报告机制意义重大

网络安全事件报告是网络安全工作的重要环节,是及时发现、有效处置网络安全威胁的基础保障。一是网络安全事件报告是国际惯例,美国、英国、澳大利亚等国政府以及欧盟等均积极制定并出台相关法案,建立健全网络安全事件报告制度,作为提升自身网络安全防护能力的重要举措;二是《办法》是贯彻落实《中华人民共和国网络安全法》等法律法规的重要配套措施,标志着我国网络安全事件报告制度的正式建立,进一步健全了高效联动的国家网络安全防御体系;三是《办法》为网络安全事件全生命周期管理提供了制度框架,将成为各级网信部门、网络运营者协同应对网络安全威胁的重要抓手。

二、《办法》为网络安全事件报告工作提供基本遵循

《办法》作为网络安全法律法规制度体系的重要组成部分,是对原有报告机制的完善和强化,是有效应对各类网络安全威胁、支撑网络安全事件研判、提升应急响应效能的重要保障。

(一)明确网络运营者网络安全事件报告的义务。《网络安全法》第二十五条明确规定,网络运营者有报告网络安全事件的义务。《国家网络安全事件报告管理办法》细化完善《网络安全法》相关规定,进一步规范和明确了网络运营者网络安全事件报告的流程和要求。

(二)明晰网络安全事件报告关键要素。《办法》参照国家标准《信息安全技术 网络安全事件分类分级指南》(GB/T 20986-2023),对网络安全事件的分类分级进行了详细的界定,针对不同运营者、不同级别事件设置了差异化的报告要求,明确了报告主体、报告时限、报送对象、报告具体内容等关键要素,使报告工作有了清晰的操作指引。特别是《办法》还对于规定时间内不能判定事发原因、影响或发展趋势等网络安全事件情况、事件报告后出现新的重要情况,以及调查工作取得阶段性进展等特定情况下的报告要求做出规定,进一步提升了《办法》的科学性和可操作性。

(三)构建多元主体联合共治良性格局。《办法》通过综合考量运营者在网络安全防护及事件处置中实际情况,优化了监管执法,实现了由“唯结果论”追责模式向“从轻或不予追究”转变,有效解决运营者在发生网络安全事件时不想报、不愿报、不敢报的难题。《办法》明确了各级网信部门、公安机关、保护工作部门的职责分工,体现出统筹部署、高效协同、分层布防的指导思想,是着眼抵御国家级、有组织的高强度网络攻击,完善网络安全体制建设、确保网络安全体系和能力现代化的重要举措,推动网络安全多元共治格局的构建和形成。

(四)助推国家网络安全防御能力提升。《办法》重视应急预案、强调事后复盘,能够有效提升事中快速响应、事后深入分析复盘的效能,进而提炼经验教训,优化处置流程,完善安全策略,形成良性循环。能够最大限度地降低事件的影响,保障国家关键行业领域的安全稳定运行,是构建“资源一体化融合、威胁一体化感知、指挥一体化调度、能力一体化运用”的国家网络防御体系的有效支撑,推动安全能力螺旋式上升,提高整体网络安全水平。

三、落实《办法》的几点思考

(一)加强宣贯,强化责任意识促进行动自觉。积极开展《办法》的宣贯,通过系统性、多层次、多渠道的学习培训,大力提升公众法治意识,推动《办法》实施从“条文”向“行动”落地,使网络运营者认识到及时准确报告网络事件,不仅是应履行的法定义务,更是维护国家安全和社会公共利益的重要责任。

(二)深化协同,确保《办法》高效落地执行。统一跨部门执法标准,构建“分级审核+抽查复核”机制,明确“合理必要”的具体情形,建立“合理必要防护措施”的实践指南,建设免责案例库,推动网络安全防护从“被动合规”向“主动共治”转变。

(三)提升能力,深化网络安全防御体系建设。充分发挥第三方机构的作用,支撑运营者重点加强漏洞管理、威胁监测与分析、应急响应和恢复等方面的能力建设,培养专业的网络安全运营队伍,强化防护措施有效性的检验评价,树牢网络安全防护的持续运营理念,提升运营者网络安全防护工作质效。(作者:姚佳明,国家信息技术安全研究中心总师)