編者按

《關鍵資訊基礎設施安全保護條例》將於2021年9月1日起施行，制度的落實需要政、產、學、研、用各個層面的通力合作。那對於涉及公共通訊和資訊服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業的國企應該如何做呢？

【A1】

一是強化意識

，深刻認識關鍵資訊基礎設施安全保護工作的重要性。從事關鍵資訊基礎設施運營和保護工作的單位和個人應充分意識到，做好關鍵資訊基礎設施安全保護工作不僅事關自身系統安全和業務穩定執行，更關乎國計民生，要深刻認識到確保關鍵資訊基礎設施安全的極端重要性，站立高位、保持清醒、敢於擔當、勇於作為，以國家網路安全為己任，嚴格落實相關法律、政策、制度的要求。

二是明晰底數

，精準掌握關鍵資訊基礎設施安全執行情況。掌握關鍵資訊基礎設施安全執行的網路和資料資產資訊，是國家主管監管部門和保護工作部門開展指導監督工作的重要前提；對於運營者而言，更是落實主體責任，加強防護工作的必要手段。一方面，應全面梳理關鍵資訊基礎設施網路產品和服務情況，在掌握關鍵資訊基礎設施網路資產的基礎上，進一步梳理元件級的型號資訊、配置設定資訊等，支撐供應鏈網路攻擊發生後的快速定位和準確研判。另一方面，應釐清關鍵資訊基礎設施承載的資料資產，梳理資料採集、加工、傳輸情況，分析資料流動條件和路徑。此外，對於涉及控制類系統的關鍵資訊基礎設施，應在上述措施基礎上，重點加強分析識別，最大限度地掌握觸發或可能觸發控制動作的協議、指令情況，以及可能觸及核心控制裝置、系統的資料流及具有操作許可權的人員情況。

三是提升能力

，全面加強關鍵資訊基礎設施安全防護。運營者應重點從脆弱性和風險隱患自查自糾、安全事件和威脅分析研判、極端極限情況下關鍵資訊基礎設施的持續穩定執行等能力入手，加強相應的手段建設，逐步培養網路安全專業人才隊伍，注重防護措施有效性的檢驗評價，強化網路安全防護持續運營理念；對於網路安全學術界、企業、研究機構而言，應針對關鍵資訊基礎設施的特殊性、重要性，以風險識別、評估、防範、化解為關注重點，從理論、方法、技術多個層面加強研發攻關，為關鍵資訊基礎設施安全防護提供技術支撐。

四是全面貫通

，合力推動關鍵資訊基礎設施安全保護工作。一方面，《條例》中的資訊共享、監測預警、應急處置、檢查檢測等措施需要各有關部門進一步體系化、制度化、常態化推動完善；另一方面，《條例》中對運營者“採購網路產品和服務可能影響國家安全的”情況的相關要求與國家網路安全審查制度一脈相承，運營者應在落實網路安全審查、保障關鍵資訊基礎設施供應鏈安全的工作過程中進一步提升主動性。

（回答摘自國家資訊科技安全研究中心 俞克群《落實關鍵資訊基礎設施安全保護制度 築牢國家網路安全屏障》）

【上述精選問答來源於自

百問社群

優選內容】

若您有不同見解或更多元觀點

歡迎來到數字化轉型線上社群參與話題討論~