行业观点| 核电关键信息基础设施安全保护制度建设探索

明确开展关键信息基础设施安全保护工作的原则

明确关键信息基础设施安全保护工作机构和岗位

明确关键信息基础设施运营管理需要履行的职责

结合已经设置的网络安全管理机构和岗位，进一步对相应负责人和关键岗位人员需履行的职责进行定义，网络安全领导小组领导公司关键信息基础设施安全保护和重大网络安全事件处置工作，组长由公司党委（党组）领导班子主要负责人担任，对公司关键信息基础设施安全保护负总责；首席网络安全官则由一名领导班子成员担任，分管关键信息基础设施安全保护工作；办公室依托实体部门运作，作为关键信息基础设施专门管理机构，落实关键信息基础设施安全保护具体措施，同时也参与公司网络安全和信息化决策；安全管理责任人对关键信息基础设施建设、变更和运行维护等环节中负直接管理责任；机构负责人和关键岗位人员需要进行背景审查和参加网络安全教育培训，其中关键岗位人员在网络安全技能和技术培训方面还须增加考核要求。培训由培训部门组织实施并记录培训日志，背景审查由人力部门开展。健全关键信息基础设施安全保护的制度和规范，常态化开展关键信息基础设施网络安全监测，每年至少开展一次检测评估；编制关键信息基础设施网络安全事件应急预案并按要求开展应急演练；建立网络安全事件监测和报告制度，以便在发生网络安全事件时及时报告并进行处置；关键信息基础设施安全保护需要的人力、财力和物力投入由公司经营计划部门和财务部门进行保障；对于涉及国家秘密、商业秘密以及安全保卫、舆情控制等方面的工作则需要相应的职能部门参与。

明确关键信息基础设施运行安全需要开展的工作

05

明确关键信息基础设施安全保护工作责任的考核

关于网络安全责任制和问责制度的要求，在有关法律法规和《党委（党组）网络安全工作责任制实施办法》等文件有非常清晰的阐述。《关键信息基础设施安全保护条例》中不仅清晰的罗列了关键信息基础设施运营者责任义务，还明确了运营者在违反相关规定时应该承担的法律责任。运营者应根据“条例”提炼出日常开展的工作项，同时也将责任进行分解落实到每一个关键信息基础设施从业人员，关基专门安全管理机构需要建立健全评价考核制度，组织开展网络安全工作考核，提出奖励和惩处建议。在工作实践中，网络安全责任有关的考核是安全生产与经营绩效考核的重要组成部分[5]。为了做到在网络安全考核有制度支撑，可以根据公司的经营特点，借助已有的安全生产责任管理工具，建立网络安全监督体系，覆盖全部与网络安全有关的违规行为的考核。网络安全纳入公司安全质量环保考核和问责体系，将常见的网络安全违规和偏差行为清单增加到安全质量环保考核文件中，网络安全的违规行为同样适用于安全质量考核工具，生产型的企业通常设置有安全生产委员会，在每月例会中展示当月全公司的安全生产指标情况。通过这种途径能让公司领导班子能了解到网络安全的风险情况并进行适当决策，同时也能增强网络安全考核工具的作用强度。另一方面将网络安全考核列入公司经营绩效考核体系，结合以月和日为频度的指标展示，形成网络安全考核与评价的环节。结合程序与规范、监督与处置等模块，构成一套完整的网络安全监督体系。通过体系的持续运作，进而形成网络安全监督闭环，建立网络安全责任制和责任追究制度。