◎本刊特约观察员 李甄情

今年5月国家互联网应急中心（CNCERT）发布的《2020年我国互联网网络安全态势综述》数据显示，勒索病毒、APT攻击、系统漏洞、数据安全等安全问题已逐渐成为企业、政府机构、金融机构等对网络安全性要求较高用户群体最为关心的核心问题之一。关键信息基础设施网络安全事故多发，严重危害网络安全行业的健康、有序发展。

国务院总理李克强日前签署国务院令，公布《关键信息基础设施安全保护条例》（以下简称《条例》），自2021年9月1日起施行。关键信息基础设施安全决定网络安全，此前《网络安全审查办法》也增加了对关键信息基础设施的重视程度，同时在网络安全审查重点第九条第二点中强调，“产品和服务供应中断对关键信息基础设施业务连续性的危害”，并认为其可能带来国家安全风险。《条例》从我国国情出发，借鉴国外通行做法，明确了关键信息基础设施的定义和认定程序。一是明确关键信息基础设施的定义。二是明确关键信息基础设施所在行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。三是明确由保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并组织认定本行业、本领域的关键信息基础设施。四是规定关键信息基础设施发生较大变化，可能影响其认定结果时，运营者应当及时报告保护工作部门，由保护工作部门重新认定。

《条例》是《网络安全法》的一部重要配套法规，用较大的篇幅强化了关键信息基础设施运营者的主体责任。传统的安全建设往往注重先进和高效的技术防御平台建设，却忽视了平台的持续运营能力和对事件的应急处置能力。大多数单位真正缺乏的是“用好安全产品”和“应对突发事件”的能力，这无论是对关键信息基础设施运营单位的安全团队还是对提供产品和服务的安全企业，都是一个需要投入精力去解决的问题。

运营者需重点做好以下三个方面工作。一是落实主体责任，通过建立安全保护制度、设立专门管理机构、加强网络安全意识教育等多种形式，切实保障相关资金落实，建立网络安全保障体系；二是高度重视安全保护工作，合规做好系统建设相关工作；三是定期开展网络安全检测和风险评估，发生重大安全事件应及时向相关部门报告。

总体来看，关键信息基础设施安全保护体系的建设更强调总体规划、技术可信、持续运营和有效性监管，要求整个行业的从业者共同协作，建立更完善的产业生态体系。