7月,第十二屆全國人大常委會第十五次會議初次審議的《中華人民共和國網絡安全法(草案)》在中國人大網公布,向社會廣泛征求意見。
天融信高級副總裁劉輝先生在接受媒體采訪時表示,《草案》對關鍵信息基礎設施的范圍進行了定義和列舉,在第十七條基礎上加強了相應的防護要求,明確了相關安全責任和法律責任,并對安全評估作出了要求,總體而言比較完整。不過需要注意的是,雖然綜合第十條和二十八條等條款基本上覆蓋了安全防護的各個方面,但對于關鍵信息基礎設施的物理運行環境方面沒有明確規定。
關鍵信息基礎設施多種多樣,在形態結構上不僅包含了傳統的計算模式,還包含了例如云、移動互聯、物聯網等新形態,這給《草案》規定的落地帶來了極大的挑戰。
劉輝認為,由于關鍵信息基礎設施運行安全的重要性及復雜性,因此非常有必要成立一支由網信辦牽頭,公安部、工信部等主管單位為主并聯合專業機構和廠商組成的專門機構來檢查相關規定的落實情況。
網絡安全在國內已經發展多年,在傳統網絡安全測評方面已有若干相關第三方測評機構對關鍵信息基礎設施進行安全測評,但是對于云計算等新型形態目前還沒有成熟的規范標準,因此還沒有足夠合格的第三方專業機構來完成對關鍵信息基礎設施的安全風險進行檢測評估。
當前互聯網迅猛發展,人們越來越依賴于各類關鍵信息基礎設施,因此其重要性愈發明顯,對其安全性上的改進應盡快形成一個相對的完成時間表,從而避免由于關鍵信息基礎安全問題所帶來負面影響。
本次所公布的《草案》里對安全預警信息發布的有效性沒有作具體要求,安全預警信息應該根據不同預警信息的級別對不同時效性有不同的要求。預警級別較高的信息需要保證在第一時間讓網絡安全管理人員收到相關信息,通知方式可以采用手機短信、電話等等。另外,雖然《草案》里沒有對“應該看到的人”作具體界定,但一般指對信息系統負有直接管理責任的相關人員。如果想要檢測安全應急預案的有效性,需要定期嚴格按照安全應急預案的規定要求進行演練,并及時發現預案中的不足進行改進。
在《草案》里所提到的“對網絡通信采取限制等臨時措施”這條法規引起了人們的廣泛關注,劉輝在回答媒體的提問時表示,這條法規的啟動條件應該是指,在嚴重危害公眾利益和國家安全且短期內無法通過有效技術手段避免危害的進一步擴大時方可啟動相關臨時措施。劉輝強調應該建立完整的啟動評估機制和審核機制,只有進行充分評估并通過上級領導審核之后才可啟動相關措施,進而保障該措施不被“濫用”。
京公網安備 11010502049343號