保障关键信息基础设施安全重点工作

更新时间：2024-04-28 17:12:01

《关键信息基础设施安全保护条例》中明确了监督管理体制、运营者责任义务、保障和促进措施、法律责任等，要求建立关键信息基础设施备案管理制度、信息报告制度、产品和服务采购管理制度、检查工作制度、监测预警制度、应急处置制度等。从保护关键信息基础设施的实际看，下一步应落实好《条例》规定的各项制度，重点从四个方面发力。

1.重点改善关键信息基础设施的供应链安全

关键信息基础设施的功能复杂、结构各异、组成多样，其中应用的网络产品和服务多样，供应链遍布全球，不仅要面对生产过程中引入的缺陷、漏洞等，还有因政治、经济、贸易导致断供风险。

面对这些风险，关键信息基础设施运营者应严把采购关，在采购时应对网络产品和服务进行安全风险评估，重点评估关键信息基础设施被非法控制、遭受干扰或破坏的风险；重要数据被窃取、泄露、毁损的风险；供应中断的风险；政治、外交、贸易等风险；提供者违法违纪风险等。一旦出现影响或者可能影响国家安全的风险时，及时按照国家有关规定申报网络安全审查。

2.全力做好关键信息基础设施的风险预警

多数关键信息基础设施在线运行，时刻面临来自不同方面的威胁。目前，国家层面上建立的监测预警机制更多地是从监管方面考虑，以通报为主，实时性不强，且针对性不足。

建议在行业层面上，建立以关键信息基础设施运营者为主体，服务于关键信息基础设施的风险预警机制，有助于迅速准确地通知关键信息基础设施运营者快速采取有针对性的措施规避风险。同时，还应该建立与传统安全领域一样的风险预警机制，一旦出现可能影响物理世界的安全风险时，及时通知相关应急主体开展工作。

3.着重提升关键信息基础设施的安全弹性

关键信息基础设施的一个主要特点是为社会经济稳定运行、人民群众的正常生活提供支撑，其连续稳定运行是安全保护工作的重中之重。如何做到关键信息基础设施在被威胁、攻击、破坏的环境下，保持持续运行是保证关键信息基础设施安全弹性的重要课题。

应要求关键信息基础设施运营者针对关键核心业务的稳定运行制定相应的应急处置预案，明确在不同等级的危机时刻，保障不同的服务范围。同时，还应该鼓励关键信息基础设施运营者以适当的形式做好备机备件，以应对极端情况的出现。

4.投入国家力量保护关键信息基础设施的安全

在实施关键信息基础设施安全保护工作时，应在国家层面建立“监管+服务”的工作模式。

一方面，国家有关网络安全监管部门联合保护工作部门，对关键信息基础设施运营者落实国家有关法律要求的责任和义务。

另一方面，还应统筹协调国家网络安全资源，保障关键信息基础设施安全。如鼓励专业网络安全技术队伍为关键信息基础设施运营者提供专业技术服务；利用有关科技项目支持关键信息基础设施急需的网络安全技术研发；建立专门的网络安全人才培养机制，在国家人才体系中设立网络安全职称体系；设立网络安全加固基金，支持关键信息基础设施运营者提高安全技术防护能力。

上一篇：关键信息基础设施安全事关国家网络空间安全返回大厅下一篇：基于等级测评云安全模型下控制项

保障关键信息基础设施安全重点工作

相关链接