精彩连载！关键信息基础设施安全保护支撑能力白皮书（一）

编者按：

    为坚决贯彻落实总体国家安全观，促进关键信息基础设施安全保护（关基保护）领域政产学研用协同创新，服务关基运营者，支撑有关工作部门与运营机构的工作，关保联盟2023年底组织专家特撰写《关键信息基础设施安全保护支撑能力白皮书》。

    本白皮书是关于关基保护支撑能力的综合性研究报告。根据关基保护八大能力并结合五大业务场景，基于数据调研分析，对产业侧网络安全产品、技术、服务等在关基保护支撑能力方面进行相关呈现和建议。

    旨在帮助关基运营者全面了解国内关基保护支撑能力现状，选择最适合的支撑伙伴，加强技术协作，实现联防联控。白皮书还探讨了数字化生态安全构建、风险治理与安全运营策略以及关基保护实战化人才培养等议题，为关基保护工作部门和运营者等相关从业者提供参考。

   《关键信息基础设施安全保护支撑能力白皮书》系列文章现已推出，我们将探讨关键信息基础设施的安全挑战和支撑能力解决方案，帮助您更好地了解如何保护信息基础设施的安全性。快来跟随我们一起深入探讨，共同建设安全可靠的数字化世界！敬请期待每周更新的精彩内容！

网络安全是国家安全的重要组成部分，也是数字时代国家安全的战略基石，成为关乎全局的重大问题。我国通过制定国家安全法、网络安全法、数据安全法等法律，系统构建网络安全法律制度，增强网络安全防御能力，有效应对网络安全风险。关键信息基础设施是我国经济社会运行的神经中枢，是网络安全保护的重中之重。保障关键信息基础设施安全，从提升关键信息基础设施安全保护核心能力出发，从法律、政策、标准、措施等方面，建立科学的协调一致的网络安全制度体系，包括网络安全等级保护制度、关键信息基础设施安全保护制度和数据安全保护制度，在网络安全保护环节，个人信息纳入数据安全保护范畴，因此，下文仅介绍上述三个制度的关系。

    （一）网络安全等保制度是基础，关保制度和数保制度是重点

   《网络安全法》第二十一条规定，国家实行网络安全等级保护制度，该制度是网络安全的基本制度、基本国策、基本方法，是网络与数据安全的基础；《网络安全法》第三十一条和《关键信息基础设施安全保护条例》第六条规定：关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护；《数据安全法》第二十七条规定：利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行数据安全保护义务。

    《关键信息基础设施安全保护条例》和《数据安全法》将网络安全等级保护制度延伸到关键信息基础设施安全保护领域和数据安全保护领域，并将网络安全等级保护制度作为二者的基础，国家从法律层面确定了三个制度之间的关系。因此，从政策层面、标准层面，对三个制度应依法进行有效衔接。

    （二）建立科学的网络安全制度体系

    国家网络安全制度体系及内在关系如图 1 所示。若要建立科学的网络安全制度体系，一是从图中的纵向看，每个制度的建立需要在法律、政策、标准等三个方面协调一致；二是从图中的横向看，网络安全等级保护制度、关键信息基础设施安全保护制度和数据安全保护制度，三个制度间需要分别从法律法规、政策、标准等方面协调一致。

图1-国家网络安全制度体系及内在关系

    1、建立科学的网络安全等级保护制度

    我国建立了在法律、政策、标准等方面协调一致，比较完备的科学的网络安全等级保护制度。

    一是《网络安全法》等法律法规对网络安全等级保护制度作出明确规定。

    二是公安部依据法律规定，出台了与法律法规有机衔接的一系列网络安全等级保护政策文件，例如《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕1960 号）和《关于落实网络安全保护重点措施 深入实施网络安全等级保护制度的指导意见》（公网安〔2022〕1058 号）等。

    三是在法律、政策的指引下，国家出台了与法律、政策有机衔接的国家标准、行业标准，例如《网络安全等级保护定级指南》《网络安全等级保护基本要求》《网络安全等级保护测评要求》《网络安全等级保护安全设计技术要求》《网络安全等级保护实施指南》等。由此，国家建立了科学的网络安全等级保护制度体系。

    2、建立科学的关键信息基础设施安全保护制度

    关键信息基础设施是网络安全保护的重中之重，建立科学的关键信息基础设施安全保护制度是网络安全领域的重要任务之一。从国家层面看：

    一是出台了《关键信息基础设施安全保护条例》，明确关键信息基础设施范围和保护工作原则目标，完善关键信息基础设施认定机制，对关键信息基础设施运营者落实网络安全责任、建立健全网络安全保护制度、设置专门安全管理机构、开展安全监测和风险评估、规范网络产品和服务采购活动等作出具体规定，为加快提升关键信息基础设施安全保护能力提供法律依据。

    二是出台了有关政策文件，公安部也出台了有关加强关键信息基础设施安全保护的政策文件。

    三是出台了《关键信息基础设施安全保护要求》国家标准。但是，关键信息基础设施安全保护标准体系尚未建立。因此，需要加快制定与法律、政策相衔接的国家标准、行业标准，形成在法律、政策、标准等方面协调一致的关键信息基础设施安全保护制度。

    3、建立科学的数据安全保护制度

    重要数据也是网络安全保护的重中之重，建立科学的数据安全保护制度也是网络安全领域的重要任务之一。国家出台了《数据安全法》，数据安全法明确建立健全数据分类分级保护、风险监测预警和应急处置、数据安全审查等制度，对支持促进数据安全与发展的措施、推进政务数据安全与开放等作出规定，以安全保发展、以发展促安全。中央出台了有关加强数据安全保护的政策文件，但重要的数据安全国家标准尚未出台。因此，需要建立与法律、政策相衔接的数据安全标准体系，加快建立科学的数据安全保护制度。

    （三）从法律、政策及标准三个层面有机衔接、协调一致

    1、三个制度在法律层面有机衔接、协调一致

    法律明确了三个制度的关系，即网络安全等级保护制度是基础，关键信息基础设施安全保护制度、数据安全保护制度在网络安全等级保护制度基础上实施。法律明确了三个制度的关系，便于全社会遵守和实施。

    2、三个制度在政策层面需要有机衔接、协调一致

    由于法律法规对三个制度的关系做出了明确规定，政策方面必然要依据法律要求，协调一致、有机衔接。

    一是国家出台的关键信息基础设施安全保护政策、数据安全保护政策与网络安全等级保护政策进行了有机衔接。

    二是公安部出台的关键信息基础设施安全保护政策与网络安全等级保护政策进行了有机衔接。出台数据安全保护政策文件，也应与网络安全等级保护政策有机衔接、协调一致。

    3、三个制度在标准层面需要有机衔接、协调一致

    由于法律、政策对三个制度的关系做出了明确规定，因此，三个制度在标准方面必然要依据法律、政策要求，协调一致、有机衔接。

    一是国家出台的《网络安全等级保护定级指南》《网络安全等级保护基本要求》《网络安全等级保护测评要求》《网络安全等级保护安全设计技术要求》《网络安全等级保护实施指南》等系列标准，科学化、体系化强，经过多年检验和实践证明，是科学实用的。

    二是关键信息基础设施安全保护方面，《关键信息基础设施安全保护条例》出台后，目前只出台了《关键信息基础设施安全保护要求》一个国家标准；数据安全保护国家标准尚未出台，这两个制度方面的标准，需要与网络安全等级保护标准有机衔接、协调一致，科学制定，才能将法律规定的网络安全三个重要制度建立好并落到实处。

    （四）协调落实网络安全等保制度与关保制度

    网络安全等级保护制度和关键信息基础设施安全保护制度是《网络安全法》和《关键信息基础设施安全保护条例》确定的基本制度和重要制度，二者关系密切，如何确保这两个制度科学、协调落实至关重要。为此，要深入贯彻落实网络安全等级保护制度，建立良好的网络安全保护生态，建立并实施关键信息基础设施安全保护制度，突出保护重点，大力加强关键信息基础设施安全保卫、保护和保障，健全完善国家网络安全综合防控体系，有效防范网络安全威胁，有力应对网络战威胁，有效处置网络安全事件，严厉打击危害网络安全的违法犯罪活动，切实保障国家网络空间主权、国家安全和社会公共利益。

    1、网络安全等级保护制度与关键信息基础设施安全保护制度的法定关系

    《网络安全法》规定，国家实行网络安全等级保护制度，关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。法律规定了网络安全等级保护是关键信息基础设施安全保护的基础，开展网络安全等级保护工作是开展关键信息基础设施安全保护工作的前提和重要保障。

    2、落实网络安全等级保护制度和关键信息基础设施安全保护制度应坚持协调一致性

    国家基本建立了网络安全等级保护制度体系，包括组织领导体系、法律体系、政策体系、标准体系、技术支撑体系、保护体系、人才队伍体系、教育训练体系和保障体系，网络安全等级保护制度得到进一步落实。关键信息基础设施安全保护制度是国家网络安全工作的新制度，建立关键信息基础设施安全保护制度体系，包括法律体系、政策体系、标准体系、保卫体系、保护体系和保障体系，以确保将关键信息基础设施安全保护制度落到实处。在贯彻实施网络安全等级保护制度和关键信息基础设施安全保护制度过程中，从制定出台法律法规、政策，研究制定标准，采取重要措施等方面，两个制度应保持协调一致、有机衔接，以体现法律对两个制度的定位和要求。

    3、落实网络安全等级保护制度和关键信息基础设施安全保护制度有不同的侧重点

    网络安全等级保护制度是国家网络安全的基本制度、基本国策，具有普适性，全覆盖性质，全社会都要按照网络安全等级保护制度要求开展网络安全保护工作。同时，网络安全等级保护制度侧重于将保护对象分等级进行保护，不同等级的保护对象采取不同的保护措施和保护强度；关键信息基础设施安全保护制度是国家网络安全重点保护制度，对关键信息基础设施安全强调保卫、保护和保障。在保卫方面，体现在针对危害关键信息基础设施的违法犯罪活动，公安机关、国家安全机关等部门大力开展侦查打击，加强对关键信息基础设施的安全保卫；在保护方面，体现在关键信息基础设施在满足网络安全等级保护基本要求、基线要求、合规要求的基础上，采取先进技术和重要措施加强保护、增强保护；在保障方面，体现在发改、财政、教育、编制、科技等部门，在工程项目、经费、人才培养、机构编制、科研等方面对关键信息基础设施提供充足保障。