智商欠費

2022-07-15

《關鍵信息基礎設施安全保護條例》將于2021年9月1日起施行，制度的落實需要政、產、學、研、用各個層面的通力合作。那對于涉及公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業的國企應該如何做呢？



一是強化意識，深刻認識關鍵信息基礎設施安全保護工作的重要性。從事關鍵信息基礎設施運營和保護工作的單位和個人應充分意識到，做好關鍵信息基礎設施安全保護工作不僅事關自身系統安全和業務穩定運行，更關乎國計民生，要深刻認識到確保關鍵信息基礎設施安全的極端重要性，站立高位、保持清醒、敢于擔當、勇于作為，以國家網絡安全為己任，嚴格落實相關法律、政策、制度的要求。

二是明晰底數，精準掌握關鍵信息基礎設施安全運行情況。掌握關鍵信息基礎設施安全運行的網絡和數據資產信息，是國家主管監管部門和保護工作部門開展指導監督工作的重要前提；對于運營者而言，更是落實主體責任，加強防護工作的必要手段。一方面，應全面梳理關鍵信息基礎設施網絡產品和服務情況，在掌握關鍵信息基礎設施網絡資產的基礎上，進一步梳理組件級的型號信息、配置設置信息等，支撐供應鏈網絡攻擊發生后的快速定位和準確研判。另一方面，應厘清關鍵信息基礎設施承載的數據資產，梳理數據采集、加工、傳輸情況，分析數據流動條件和路徑。此外，對于涉及控制類系統的關鍵信息基礎設施，應在上述措施基礎上，重點加強分析識別，最大限度地掌握觸發或可能觸發控制動作的協議、指令情況，以及可能觸及核心控制設備、系統的數據流及具有操作權限的人員情況。

三是提升能力，全面加強關鍵信息基礎設施安全防護。運營者應重點從脆弱性和風險隱患自查自糾、安全事件和威脅分析研判、極端極限情況下關鍵信息基礎設施的持續穩定運行等能力入手，加強相應的手段建設，逐步培養網絡安全專業人才隊伍，注重防護措施有效性的檢驗評價，強化網絡安全防護持續運營理念；對于網絡安全學術界、企業、研究機構而言，應針對關鍵信息基礎設施的特殊性、重要性，以風險識別、評估、防范、化解為關注重點，從理論、方法、技術多個層面加強研發攻關，為關鍵信息基礎設施安全防護提供技術支撐。

四是全面貫通，合力推動關鍵信息基礎設施安全保護工作。一方面，《條例》中的信息共享、監測預警、應急處置、檢查檢測等措施需要各有關部門進一步體系化、制度化、常態化推動完善；另一方面，《條例》中對運營者“采購網絡產品和服務可能影響國家安全的”情況的相關要求與國家網絡安全審查制度一脈相承，運營者應在落實網絡安全審查、保障關鍵信息基礎設施供應鏈安全的工作過程中進一步提升主動性。