目前，我国信息通信行业发展所取得的巨大成就举世共睹，有着全球最为完善的网络覆盖，用户最多的电信用户，并成为全球最活跃的互联网市场之一。但与之不符的则是，信息安全立法的严重滞后。

中国信息通信研究院政策与经济研究所副总工马志刚称，虽然从法律层面来看，《关于维护互联网安全的决定》、《刑法》相关条款涉及重要信息系统信息安全的刑事保护，但是，并无相关法律规定有国家关键基础设施信息安全的行政保护问题。

而在行政法规层级上，我国曾经制定发布过计算机安全保护和安全联网方面的一般性行政法规，但是从未制定发布过国家关键基础设施信息安全保护方面的一般性行政法规。

这就造成我国从国家层面缺乏对关键基础设施信息安全的立法保护，现行相关政策和法规疏密不一、保障水平差距较大，即便电信、电力等安全保护水平较高的行业，其现行部门规章也无法完全满足安全保护的法律需求，无法有效保障关键基础设施的信息安全，马志刚称。

严重滞后 普遍适用无法可依

虽然，早在上世纪90年代，我国便发布了众多有关电信信息基础设施的相关条例规定，但其早已不能准确反映普遍联网、深化应用后遍布于全网全系统的各类超级持续威胁及其安全应对需求，致使已有的规定事项相对于现实情况而言存在明显的缺漏和遗失。更重要的是，在国务院行政法规、部门规章以及规范性文件、标准规范、内部管理规定等三个层面上，同时缺乏普遍通行于各行各业国家关键基础设施信息安全保护的一般性立法文件，难以对不同行业、部门、区域和时间均形成法律效力，马志刚称。

据马志刚介绍，迄今为止，我国各重点行业在国家关键基础设施信息安全保护方面大约制定了10多部相关规范性文件 、20多部相关标准规范以及10多部地方或单位内部规定。

据不完全统计，截至目前，直接涉及网络和信息系统安全保障的中央文件共有20多件，法律共有6多件，行政法规共有10多件 ，部门规章共有20多件 ，地方性法规和地方政府规章共有20多件，其中零散、杂落地规定了有关国家关键基础设施信息安全保护的个别或部分规范内容。

例如《通信网络安全防护管理办法》（工信部令第11号），《有线广播电视传输覆盖网安全管理办法》（广电总局令第13号）、《广播电视安全播出管理规定》（广电总局令第62号）等 。

但我国尚未制定实施有普遍适用于各行各业国家关键基础设施信息安全保护方面的一般性行政法规，不仅造成我国信息安全领域普遍存在法律交叉和冲突，以及不适合现在的内容，甚至还让一些场景无法可依。

建议纳入国务院立法：分地域、分时间进行动态调整

相关立法的落后，不仅严重不符我国信息通信大国的身份，还让信息通信领域存在安全风险。

对此，马志刚建议，将《国家关键基础设施信息安全保护条例》（下称“《条例》”）纳入国务院立法计划，尽快启动相关立法程序，构建完善适用于我国各重要行业领域的国家关键基础设施信息安全保护基本法律制度。

而这也符合全球各个信息安全制度建设发展趋势。不过马志刚认为，《条例》的调整对象和适用范围，宜于根据其在国家安全、经济建设、社会生活中的作用和地位，按照加权平均后的数值，分地域、分时间进行动态调整。

马志刚进一步解释称，不同国家的不同历史时期，对于国家关键基础设施的范围界定是不一样的。

例如，英国国家关键基础设施安全协调中心（NISCC）便定义英国国家关键基础设施包括9个部门：通信、应急服务、能源、金融服务、食品、政府、健康、交通和水资源。其中，通信、电子技术等部门属于交叉领域，为其他部门关键业务提供技术支撑和传输服务 。

美国最早的国家关键基础设施仅包括电信、电力、天然气石油储备和运输、银行与金融、交通、水供给、应急通信服务(包括医疗、警务、消防、急救)以及政府部门所使用的计算机信息系统 ，迄今为止，这一范围已经扩展到18个部门所使用的计算机信息系统。

就我国而言，《条例》可以有效解决我国信息安全立法现状中普遍存在的法律交叉和冲突问题。以《条例》作为上位法依据，有助于清理我国国家关键基础设施安全保护领域各种现行法律、行政法规以及部门规章中相互冲突、相互重复或不合时宜的规范内容。

此外，《条例》的制定有助于建立中央统一协调指导、各级行政机关分工负责相互配合的信息安全政府监督管理工作机制，构建法律救济手段完备、管理和保护并重的一系列信息安全制度规范，从而在较高的法律效力层级上理清信息安全领域已有民事、行政和刑事各种法律关系，有望成为我国信息安全法律制度的重要基石。