《条例》落地过程中仍存在的
基于上述内容我们可以看出,《条例》施行一年以来,对行业的促进作用已经显现,也推动了关键信息基础设施相关安全建设水平的提升,但同时,我们也应看到这期间仍然存在的一些问题。针对这一话题,李庄表示,关键信息基础设施是国家重要的战略资源,关系国家安全、国计民生和公共利益,具有基础性、支撑性、全局性作用,保护关键信息基础设施安全是国家网络安全工作的重中之重。在具体落地工作中,仍存在以下现实问题和挑战:
1、关键信息基础设施安全保护法律仍需完善。关基保护要求基于等保高于等保,对于关基运营者来说两者要求都要满足,但《条例》细则中的《CII安全保护要求》和《CII安全检查评估指南》仍未发布,运营者进行关基保护落地缺少细化依据;
2、关基涉及的行业范围广,业务众多,复杂度高。关键信息基础设施涵盖各行业的业务系统众多且复杂度高。目前在各行业关基业务识别认定方面,缺少统一的行业认定标准和规范指引;
3、关基保护工作开展时间相对较短,运营者自身各方意识有待加强。关基保护涉及到从“纵深防御”到“动态防御、主动防御、联防联控”的转变,运营者自身的安全意识认知、人员技术能力、主动监测能力、安全分析水平、事件处置等软能力方面仍需要进一步加强。
4、安全方案和产品“实战”能力不强。关基运营者选用的安全方案和产品缺少在“以攻促防”场景下的实战检验能力,没有发挥真正的防护作用,这一点主要体现在我国一年一度的大型攻防演练活动中,依然会有大量的相关企业被攻陷,暴露出严重的安全隐患。
在我们看来,上述这些问题和挑战也并非是通过一个制度在短时间内就能完全扭转的,随着相关法律法规制度的不断完善和细化,以及我国整体网络安全能力的逐步提升,这些问题和挑战都将会一一化解。
满足《条例》要求需重点关注六方面