近日，国务院总理李克强签署第745号国务院令，公布《关键信息基础设施安全保护条例》（以下简称《条例》），自2021年9月1日起施行。

《条例》第三十二条特别强调，国家采取措施，优先保障能源、电信等关键信息基础设施安全运行。《条例》要求能源、电信行业应当采取措施，为其他行业和领域的关键信息基础设施安全运行提供重点保障。

《条例》是《网络安全法》的一部重要配套法规，用较大的篇幅强化了关键信息基础设施运营者的主体责任，在总则部分第四条、第六条对运营者责任作了原则规定，要求运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

明确建设关键信息基础设施的“三同步”原则

《网络安全法》第三十三条规定：“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。”《条例》第十二条延续了《网络安全法》确定的“三同步”原则，进一步强调“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用”。

运营者在具体落实“三同步”原则时，可以从以下方面理解安全保护措施应当与关键信息基础设施的“三同步”：首先，“同步规划”，是指在网络设施与信息系统的规划阶段同步引入安全保护措施；其次，“同步建设”，要求在项目建设阶段，通过落实系统集成商、网络服务提供商，保证相关安全技术措施的顺利准时实施，保证项目上线时，安全保护措施的验收和工程验收同步，确保只有符合安全要求的系统才能上线；最后，“同步使用”，网络设施和信息系统安全验收后的日常运行和维护中，应当保持网络设施与信息系统处于持续安全防护的水平，并符合国家的相关安全技术标准。

建立健全网络安全保护制度和责任制

《条例》第十三条规定：“运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。”

首先，为了确保我国关键信息基础设施的安全运行，运营者应当建立健全网络安全保护制度和责任制，并从制度层面保障人力、财力、物力投入。2021年7月12日，工信部发布《网络安全产业高质量发展三年行动计划（20212023年）（征求意见稿）》，其中提出，到2023年，电信等重点行业网络安全投入占信息化投入比例达10%。同时，推进网络安全与信息化同步规划、同步建设和同步使用，健全网络安全管理和技术保障体系。

此外，明确运营者的“一把手”对本单位的关键信息基础设施安全保护负总责，并重点夯实三大职责：一是领导关键信息基础设施的安全保护；二是领导组织对重大网络安全事件的处置工作；三是组织研究解决重大网络安全问题。

确保采购安全可信的网络产品和服务

《条例》第十九条在沿用《网络安全法》第三十五条的基础上特别增加了“运营者应当优先采购安全可信的网络产品和服务”的规定，即“运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查”。

为了确保运营者采购安全可信的网络产品和服务，《条例》第二十条提出了运营者在签订采购网络产品和服务合同时，应在合同中明确以下核心内容，一是应当按照国家有关规定与网络产品和服务提供者签订安全保密协议；二是应当明确提供者的技术支持和安全保密义务与责任，并对其义务与责任履行情况进行监督。

从2020年6月1日起实施的《网络安全审查办法》（以下简称《审查办法》）提出对影响或者可能影响国家安全的网络信息技术产品和服务，以及其他重大事项和活动，实施国家层面的安全审查制度。这是维护我国关键信息基础设施供应链安全的一个重大法治事件，对于保障和提升国家关键信息基础设施供应链安全，维护国家安全具有重大的推动作用。

我国网络安全审查的重点是研判和评估网络运营者采购网络产品和服务可能带来的国家安全风险，根据《审查办法》第九条规定，主要考虑以下五大因素：一是产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；二是产品和服务供应中断对关键信息基础设施业务连续性的危害；三是产品和服务的安全性、开放性、透明性、来源的多样性、供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；四是产品和服务提供者遵守中国法律、行政法规、部门规章情况；五是其他可能危害关键信息基础设施安全和国家安全的因素。

（作者：浙江大学教授 王春晖）