编者按：《国家安全法》不仅强调维护国家主权、安全和发展利益，而且明确将关键基础设施和重要领域信息系统及数据的安全可控作为维护国家安全的重要战略任务。为实现这一目标，就要坚持“依法治国”的基本理念，通过出台专门法律“依法治理”，保证国家关键基础设施安全运转。为此，需要尽快摸清我国现有法律政策对国家关键基础设施信息安全保护的现状及不足，并从安全保护、监测预警、应急处置、监督管理和资源保障五个维度完善法律制度，形成国家关键基础设施信息安全保护的长效机制。

2015年7月1日新出台并正式实施的《国家安全法》，其中的第二十五条将网络和信息安全纳入国家安全的范围，并专门强调了实现关键基础设施和重要领域信息系统及数据安全可控的重要战略任务。保障关键基础设施信息安全对于国家安全至关重要。关键基础设施一旦系统被中断或者被破坏, 将会对国民生活、国土安全、经济稳定以及政府的正常运转等产生重大的影响。信息时代关键基础设施的正常运行高度依赖于信息技术和信息网络，因此，克服信息技术和信息网络因自身脆弱性或人为因素而造成的安全隐患，便成为保障国家安全的重要内容。加强国家关键基础设施信息安全保障，则需要以法律为全局统筹，结合技术、管理、人才等体系协同发展。

一、我国加强国家关键基础信息安全法律保护的必要性

美国“9?11”恐怖袭击事件后，国家关键基础设施在国家安全、社会民生、经济发展和政府事务中的基础性作用不断凸显，逐步成为保障社会稳定和持续运转的重要支撑。然而，随着网络与信息技术的飞速发展，传统的物理基础设施与信息系统的融合程度不断加深，使得网络环境所带来的不安全因素对关键基础设施部门的信息系统构成极大威胁，这些信息网络不仅将国家关键基础设施内部的各个组成部分联结在一起，而且支持国家关键基础设施之间的通信和互动。“震网”病毒、“Duqu”病毒和“火焰”病毒攻击事件的相继出现，充分印证了源自互联网的恶意程序正在向工业控制系统、能源、交通、金融、电力等关键领域的信息系统快速蔓延的趋势，如果不加以妥善的治理，不仅严重影响到国家关键基础设施的持续正常运行，还将对国家安全和社会稳定造成前所未有的威胁。

此外，当今社会经济全球化、气候极端化和国际关系综合化的趋势进一步凸显了国家关键基础设施信息安全保护的复杂性。在此背景下，世界各国纷纷开始高度重视对国家关键基础设施的信息安全保护，美国、俄罗斯、英国、日本等国针对国家关键基础设施的界定、国家关键基础设施部门的确定、国家关键基础设施信息安全保护的具体制度等问题在国家战略和立法中做出了必要的部署和相应的调整，以满足新形势下国家关键基础设施信息安全保护的迫切需求。其中，美国不仅在2001年《爱国者法案》中明确了国家关键基础设施的定义，还在国家战略、国家计划和总统令中不断调整国家关键基础设施的部门种类，并设置以国土安全部为主导、多机构参与的国家关键基础设施管理体系，以实现国家关键基础设施信息安全保护所需的预警与监测、信息共享和应急处置。欧盟2005年颁布了《保护关键基础设施的欧洲计划》，要求必须建立一个以遭遇恐怖主义的威胁时能够保障关键基础设施持续运转为先决条件的保护计划。日本2005年颁布了《关键基础设施信息安全措施行动方案》，对关键基础设施的概念进行了定义，同时规定了从事相关领域的部门如何对关键基础设施进行保护，并增强关键基础设施的防御能力。在英国，国家关键基础设施被称为关键国家基础设施（Critical National Infrastructure, CNI），它由国家基础设施的对于不间断向国家提供基本服务来说不可或缺的关键元素组成。英国政府始终致力于保护关键国家基础设施（CNI）免受两种威胁，包括针对物理设施的物理攻击和针对计算机或通信系统的电子攻击。此外，英国也建立了由国务大臣负责，国家基础设施保护中心协调，各CNI部门具体实施的国家关键基础设施保护管理体系。

与此同时，我国具有从国家层面增强对关键基础设施信息安全保护的迫切需要。2013年的党的第十八届三中全会公报提出，要“设立国家安全委员会，完善国家安全体制和国家安全战略，确保国家安全。”目前，我国正在大力推进信息化建设。2012年国务院下发了《关于大力推进信息化发展和切实保障信息安全的若干意见》的23号文，明确指出“大力推进信息化发展和切实保障信息安全，对调整经济结构、转变发展方式、保障和改善民生、维护国家安全具有重大意义”，要求“采取更加有力的政策措施，大力推进信息化发展，切实保障信息安全”。国务院23号文同时也指出我国目前还存在“信息安全工作的战略统筹和综合协调不够，重要信息系统和基础信息网络防护能力不强”等问题。然而，尽管我国信息化建设尚处在初级阶段，但面临的信息安全问题却是全方位的、与世界同步的，而且我国还面临错综复杂的国际环境下与我国国情相关的特殊信息安全问题。而关键基础设施是一个有机的综合系统，内部各分类设施系统之间联系非常紧密，并且这个系统在其内部以及同外界环境之间均需协调一致，才能正常良好地运转。关键基础设施还必须与国民经济和社会发展相协调。

二、我国现有法律政策对国家关键基础设施信息安全保护的现状及不足

近年来，我国国家关键基础设施领域信息化十分广泛，信息化主管部门、公安机关和行业主管部门都制定了相关的信息安全保护制度，各国家关键基础设施运营单位也基本都制定了相应的信息安全保护的具体组织和技术措施。但是，我国对关键基础设施的信息安全保护工作起步较晚、发展较慢，而保障关键基础设施信息安全是一项长期任务，涉及多个部门、多个行业和多个领域，需要加以统筹协调。对于关键基础设施信息安全的内涵、主管机构及相关职能部门职责分配、关键基础设施信息安全防控和信息共享机制等重要问题，我国至今尚无立法性文件进行明确的制度安排。

同时，我国现有法律政策在国家关键基础设施的信息安全保护方面存在诸多问题，具体而言，主要包括以下几个方面：第一，我国尚未确立国家关键基础设施的概念，没有明确的国家关键基础设施保护对象；第二，我国缺乏有效的国家关键基础设施信息安全风险监测和预警机制，对国家关键基础设施信息安全风险的监测和预警能力较弱；第三，我国国家关键基础设施信息安全事件的报告、通报和发布渠道不畅，信息共享不足；第四，我国国家关键基础设施部门的信息安全保护能力参差不齐，缺乏对控制、应急、减灾、恢复能力的统一、有效监管；第五，我国国家关键基础设施信息安全事件的应急措施不完备，无法对关键基础设施部门突发的信息安全事件进行有效的应急处置；第六，我国国家关键基础设施信息安全保护的财政和制度保障不足。由此可见，我国国家关键基础设施信息安全保护立法是十分紧迫的。

三、我国加强国家关键基础设施信息安全法律保护具体制度建议

在信息化浪潮冲击下的今天，如果国家关键基础设施信息安全遭到破坏，那么会对社会生活秩序造成严重的破坏。因此，对于保护国家关键基础设施信息安全来说，最重要的目的是“保证国家关键基础设施的正常运转”。具体的制度措施包括以下几个主要方面：

（一）安全保护制度

总体而言，我国构建的国家关键基础设施信息安全保护制度应当包括五个方面：第一，明确国家关键基础设施信息安全保护对象的认定标准和程序；第二，确定国家关键基础设施共享依赖和脆弱性评估，制定安全保障措施；第三，规定国家关键基础设施建设中的信息安全保护，包括遵循三同步原则和产品采购分类分级管理原则；第四，建立国家关键基础设施信息安全测评制度，明确技术检测与风险评估的认可制度，以及测评机构安全服务过程应当承担的义务和禁止性行为；第五，确立国家关键基础设施运行中的信息安全保护，涉及建立信息安全负责人制度、保密管理和境外数据处理禁则。

在我国的具体实践当中，国家关键基础设施的认定标准类似于等级保护中对信息系统进行的等级确定。因此，在认定国家关键基础设施之前，首先需要对基础设施的信息安全保护进行重要性分析，主要从该基础设施的信息系统支撑本单位各类职能、业务运转以及支撑其他单位或行业提供服务的角度分析，即本单位完成主要社会功能、职能履行和业务正常运转对该基础设施信息系统的依赖程度；该基础设施信息系统提供的服务对于其他单位或行业来讲的重要程度，即其他单位或行业的信息系统对该基础设施信息系统的依赖程度。通过双向的依赖性分析，可以判断该基础设施信息安全保护的重要程度，据此认定其是否可被纳入国家关键基础设施信息安全保护立法的适用范围。

（二）监测预警制度

随着网络与信息技术的发展，我们逐步意识到在网络空间实时监测与及时准确的识别潜在的信息安全风险的重要性，从战略角度考虑，监测通报与预警能够以有效利用现有资源的方式及时采取有效的行动。同样，建立国家关键基础设施信息安全事件的监测通报与预警制度，以有效规制国家关键基础设施信息安全事件监测通报与预警的组织机构、采取的具体措施和信息通报发布机制等，是确保国家关键基础设施不受信息安全事件影响而保持正常持续运转的不可或缺的要素。因此，我国构建国家关键基础设施信息安全事件监测通报与预警制度应当包括三个方面的内容：第一，确立国家关键基础设施信息安全监测通报机制，由专门监管机构负责国家关键基础设施信息安全风险监测通报工作，制定国家关键基础设施信息安全事件监测通报规划和方案；第二，确立信息安全相关的漏洞通报机制，由专门机构定期发布信息安全漏洞通报；第三，从预警级别、预警启动、不同级别预警的应对机制以及预警解除等方面完善国家关键基础设施信息安全事件的预警机制。

（三）应急处置制度

近年来，信息安全事件频发的趋势使得我们深刻认识到绝对的信息安全保障难以实现，重要的是注重和加强应急响应。如前所述，国家关键基础设施作为保障社会正常持续运转的重要支撑，其信息安全同样面临严重的威胁，尤其表现为突发信息安全事件所带来的巨大冲击。因此，一旦国家关键基础设施信息安全遭到破坏或意外，要以维护起正常运转为首要目标，第一时间响应，协调各方面的力量，将破坏和意外对正常运转的影响在最短的时间内降到最低，进行应急处置，并且在最短时间内进行恢复。

我国构建国家关键基础设施信息安全事件应急处置与恢复制度应当从以下几个方面考虑：第一，建立国家关键基础设施信息安全事件的应急处置基本制度，其中包括国家关键基础设施信息安全事件的分级处置和标准制定，以及应急预案的制定；第二，明确国家关键基础设施信息安全事件的应急处置措施，包括信息安全事件的检测，信息安全事件应急预案的启动，以及特大、重大信息安全事件的紧急处置；第三，确立国家关键基础设施信息安全事件的信息发布机制；第四，明确信息安全事件后国家关键基础设施的恢复制度；第五，完善国家关键基础设施信息安全事件应急处置和恢复的总结报告制度；最后，确保与《突发事件应对法》的衔接，基本思路是在《突发事件应对法》的框架之下，制订符合国家关键基础设施信息安全应急处置与恢复的具体制度。

（四）监督管理制度

基于国家关键基础设施信息安全的脆弱性及相互之间的依赖性，应当将业务主管和安全主管相分离，加强国家关键基础设施信息安全的监管与协调，设立专门的监管协调部门，负责对国家关键基础设施信息安全保护的监管工作。具体制度应当包括以下几个方面：第一，明确专门监管机构的信息安全监督管理职责，涉及指导、协调国家关键基础设施信息安全保护对象的认定、共享依赖性和脆弱性评估、信息安全风险监测通报与预警等；第二，明确各个国家关键基础设施行业主管部门的信息安全监督管理职责；第三，明确国家关键基础设施运营单位的信息安全监督管理职责和信息安全服务单位相应的协助义务；第四，明确各地方政府的信息安全监督管理职责；第五，保证国家关键基础设施信息安全保护的行业主管和安全主管的分离。

（五）资源保障制度

为了解决目前一些国家关键基础设施运营单位业务经费紧张的问题，立法应当规定国家关键基础设施信息安全保护的保障措施，要求各级政府保障国家关键基础设施信息安全保护工作的经费，做好与国家关键基础设施信息安全保护相关的技术与物资储备。

四、结论

综上所述，我国急需加强关键基础设施信息安全保护的顶层设计，通过出台正式立法的方式，推动关键基础设施信息安全保护工作。