• <dd id="cj4eg"><center id="cj4eg"></center></dd>

    <button id="cj4eg"><acronym id="cj4eg"><u id="cj4eg"></u></acronym></button>
  • <rp id="cj4eg"><acronym id="cj4eg"></acronym></rp><dd id="cj4eg"><noscript id="cj4eg"></noscript></dd>

  • 0431-85177688
    CAICT觀點 | 我國國家關鍵基礎設施信息安全保護立法現狀
    以立法形式保護國家關鍵基礎設施的信息安全,已經成為當今世界各國網絡空間安全制度建設的核心內容和基本實踐。我國信息化發展已使國家關鍵基礎設施深入社會生產生活各領域,但在取得巨大建設成就的同時,卻無一部一般性法律規范其中通行的基本實踐和主要制度,已經成為長期、潛在威脅我國網絡空間安全的內在因素。
    本文對我國立法現狀進行了分析總結,描繪出較為完整的我國立法現狀全景圖。

    從法律層面來看,《關于維護互聯網安全的決定》、《刑法》相關條款涉及重要信息系統信息安全的刑事保護,但是,并無相關法律規定有國家關鍵基礎設施信息安全的行政保護問題。

    行政法規層級,我國曾經制定發布過計算機安全保護和安全聯網方面的一般性行政法規,但是從未制定發布過國家關鍵基礎設施信息安全保護方面的一般性行政法規。

    1994年發布的《計算機信息系統安全保護條例》(國務院令第147號)、1996年發布的《計算機信息網絡國際聯網管理暫行規定》(國務院令第195號),屬于適用于計算機安全保護和安全聯網方面的一般性行政法規;2000年發布的《廣播電視設施保護條例》(國務院令第295號),屬于適用于國家關鍵基礎設施信息安全保護方面的專門性行政法規。除這三部行政法規以外,國務院未曾制定施行過有關計算機信息系統、國家關鍵基礎設施信息安全保護方面的其他行政法規。這說明,我國至今尚未制定發布國家關鍵基礎設施信息安全保護方面的一般性行政法規。

    部門規章層級,基礎信息網絡信息安全保護方面的部門規章相對健全;重要信息系統、工業控制系統除電力系統以外,尚未制定發布過信息安全保護方面的部門規章。

    基礎信息網絡安全保護方面的部門規章以電信、廣電兩個行業為代表,前者2009年發布有《通信網絡安全防護管理辦法》(工信部令第11號),后者2002年發布有《有線廣播電視傳輸覆蓋網安全管理辦法》(廣電總局令第13號)、2009年發布有《廣播電視安全播出管理規定》(廣電總局令第62號)等 。重要信息系統、工業控制系統中,電力行業發布有《電力二次系統安全防護規定》(電監會令第5號)等部門規章,除此之外,各運行使用單位及其上級主管部門、監管部門未曾發布施行過部門規章級別的信息安全保護管理規定,說明我國重要信息系統、工業控制系統信息安全保護部門規章立法存在較為明顯的空白和疏漏。

    部門規章層級以下,以20個重要行業為基數,55%的國家關鍵基礎設施未曾制定過信息安全保護方面的任何規定,40%的國家關鍵基礎設施制定并發布過信息安全保護規定,但都是以規范性文件、標準規范或者地方或單位內部規定形式發布施行的。

    由于國家關鍵基礎設施最先從行業企業領域的建設和應用開始,因此,其信息安全保護立法也是以行業企業自我摸索為主,主要表現為各行業企業的規范性文件、標準規范以及地方或單位內部規定等形式。迄今為止,我國各重點行業在國家關鍵基礎設施信息安全保護方面大約制定了10多部相關規范性文件 、20多部相關標準規范以及10多部地方或單位內部規定。其中,石油天然氣、石化、公路、醫療衛生、教育、水利、民用核設施、鋼鐵、有色金屬、化工、裝備制造等11個行業的上級主管監管部門尚未制定并發布有全國性全行業適用的國家關鍵基礎設施信息安全保護規定,占比55%;電力、銀行、證券、保險、鐵路、民航、廣播電視、通信(電信網、互聯網)等8個行業的上級主管監管部門制定并發布有全國性全行業適用的國家關鍵基礎設施安全保護規定,占比40%;國防軍工行業情況不詳,占比5%。

    此外,我國還制定有大量信息安全相關法律法規,其中也曾廣泛涉及有關國家關鍵基礎設施信息安全保護的規則內容。

    除上述三種類型的已有立法性文件之外,我國還存在大量有關網絡與信息安全管理、網絡和信息系統安全保障的規范性文件以及法律、行政法規、部門規章、地方性法規和地方政府規章(下稱“信息安全相關法律法規”),據不完全統計,截至目前,直接涉及網絡和信息系統安全保障的中央文件共有20多件,法律共有6多件,行政法規共有10多件 ,部門規章共有20多件 ,地方性法規和地方政府規章共有20多件,其中零散、雜落地規定了有關國家關鍵基礎設施信息安全保護的個別或部分規范內容。

    我國國家關鍵基礎設施信息安全保護立法存在的問題在于,從國家層面缺乏對關鍵基礎設施信息安全的立法保護,現行相關政策和法規疏密不一、保障水平差距較大,即便電信、電力等安全保護水平較高的行業,其現行部門規章也無法完全滿足安全保護的法律需求,無法有效保障關鍵基礎設施的信息安全。

    一是已有的大多數立法文件發生于上世紀90年代,早已不能準確反映普遍聯網、深化應用后遍布于全網全系統的各類超級持續威脅及其安全應對需求。

    當時的立法目的在于防止計算機系統被他人非授權使用,援用的安全管理理念就是基于《可信計算機評估準則(TCSEC)》、《歐洲白皮書—信息技術安全評估標準(ITSEC)》等提供的等級保護和安全評估,使得立法的總體思路帶有“計算機安全(INFOSEC)”時代的濃厚特色 ,與后來發生的“網絡安全(NETSEC)”以及“信息保障(IA)”存在較大的時間和制度落差,早已無法面向普遍聯網、深化應用后遍布社會生產生活各領域的各種國家關鍵基礎設施,提供適于解決全網全系統各類潛在、大規模超級持續威脅的整套法律制度,因此,合理推定其中很多條款內容已經不能完全適應國家關鍵基礎設施安全保護的總體形勢和實際需求。

    二是立法并未隨時代變遷而演進,致使已有的規定事項相對于現實情況而言存在明顯的缺漏和遺失。

    國務院行政法規層面的已有立法,盡管已經提供了計算機安全(INFOSEC)時代符合中國特色的應有法律制度選項,例如等級保護、國際聯網許可備案、計算機病毒防治管理、安全專用產品銷售許可等,但是卻沒有汲取安全技術標準、安全防護計劃、安全風險評估等計算機安全(INFOSEC)時代國際社會普遍采行的應有法律制度,更沒有規范資產認定、清單登記、合作共享、應急處置、供應鏈風險管理、監測預警等網絡安全(NETSEC)時代廣泛適用于各國信息保障(IA)實踐的通用法律制度,因此,存在明顯而重大的立法滯后和法律空白。

    部門規章層面的已有立法,主要表現為電信、廣電兩個行業基礎信息網絡安全保護相關規定,而重要信息系統除電力行業外則尚未制定有任何安全保護的部門規章;基礎信息網絡安全保護的部門規章,由電信和廣電兩個行業分別制定,屬于單獨適用于這兩個行業的專門性部門規章,尚沒有制定有通用于這兩個行業的一般性部門規章;就已經存在的基礎信息網絡安全保護專門性部門規章而言,其中的規范內容大多屬于獨具本行業管理特色的一些個性化做法和措施,例如《通信網絡安全防護管理辦法》(工信部令第11號)中規定的行業標準、安全保障設施、單元劃分定級和備案、安全防護措施符合性評測、單元備份、安全檢查、安全監測、應急演練等,《有線廣播電視傳輸覆蓋網安全管理辦法》(廣電總局令第13號)、《廣播電視安全播出管理規定》(廣電總局令第62號)中規定的技術規范、備份冗余、技術監測、播出管理等,無法普遍通用于各種不同行業歸屬性質的國家關鍵基礎設施 。

    從這個意義上講,目前盡管存在適用于行業的專門性部門規章,但是由于行業本身的局限,依靠從行業角度制定的部門規章來解決跨行業而存在、運行的國家關鍵基礎設施的信息安全保護問題,便會陷入“對象錯誤”的邏輯悖論,永遠都不會使得問題獲得正解。

    三是在國務院行政法規、部門規章以及規范性文件、標準規范、內部管理規定等三個層面上,同時缺乏普遍通行于各行各業國家關鍵基礎設施信息安全保護的一般性立法文件。

    如前所述,國務院行政法規層面,我國已經制定實施了適用于計算機安全保護和安全聯網方面的一般性行政法規,以及適用于個別國家關鍵基礎設施信息安全保護方面的專門性行政法規,但是尚未制定實施有普遍適用于各行各業國家關鍵基礎設施信息安全保護方面的一般性行政法規;部門規章層面,電信、廣電兩個行業已經制定實施有單獨適用于電信網絡、廣播電視傳輸網絡信息安全保護方面的專門性部門規章,但是尚未制定實施有普遍適用于電信、廣電等各類基礎信息網絡信息安全保護的一般性部門規章,更沒有制定實施有普遍適用于各行各業重要信息系統、工業控制系統信息安全保護的一般性部門規章;部門規章以下,絕大多數國家關鍵基礎設施從未制定實施過任何信息安全管理方面的辦法和規定,制定有相關辦法和規定的,也屬于單獨適用于某類重要信息系統的專門性管理辦法和規定,不屬于普遍適用于各行各業重要信息系統的一般性管理辦法和規定。

    安信電子認證中心  版權所有(吉ICP備14004105號-1)
    日韩久久影音,久久婷婷五月综合色和啪,日本本道之综合久久,99久久免费精品播热线