在当今信息网络时代，互联网是国家战略性基础设施，我国的经济发展和社会繁荣越来越依赖于互联网。党的十八大以来，以习近平同志为核心的党中央高度重视关键信息基础设施安全保护工作，就加强关键信息基础设施安全保护工作做出了一系列重大决策和部署。在中央网络安全和信息化领导小组第一次会议上，习近平总书记指出，要完善关键信息基础设施保护等法律法规。在2016年的网络安全和信息化工作座谈会上，习近平总书记明确要求“加快构建关键信息基础设施安全保障体系”。2021年我国发布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确强调要“建立健全关键信息基础设施保护体系，提升安全防护和维护政治安全能力”。

作为“十四五”开局之年发布的一项重要法规，2021年9月1日起实施的《关键信息基础设施安全保护条例》（以下简称《条例》）是推动我国网络安全法治化工作的又一项重要举措和成果，对建立健全我国关键信息基础设施安全保护体系具有里程碑式的意义。而2022年11月7日发布的《信息安全技术 关键信息基础设施安全保护要求》（以下简称《保护要求》）是我国在关键信息基础设施领域正式出台的首个国家标准，旨在落实《网络安全法》《关键信息基础设施安全保护条例》（以下简称《条例》）关于保障关键信息基础设施安全的有关规定，对关键信息基础设施运营者开展网络安全保护工作提出相关规范。

《保护要求》历经五年多正式出台，制定过程大致可分为四个阶段：一是形成标准草案，2017年3月，编制组形成《信息安全技术 关键信息基础设施网络安全保护基本要求》（以下简称《基本要求》）标准草案，并提交全国信息安全标准化委员会（以下简称信安标委）正式立项。二是广泛征求意见，2018年6月，信安标委就编制组根据专家意见形成的《基本要求》（征求意见稿）面向社会公开征求意见。三是开展试点工作，2019年12月，信安标委组织开展《基本要求》（报批稿）发布前的试点验证工作，选取电信、能源、交通等重点行业和领域的12家单位作为标准应用试点单位，以验证《基本要求》标准内容的合理性和可操作性。四是正式发布标准，2022年11月，更名后的《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布，并将于2023年5月1日正式实施。

关键信息基础设施是国家重要的战略资源，关系国家安全、国计民生和公共利益，具有基础性、支撑性、全局性作用。出台实施《条例》是完善我国网络空间治理，强化关键信息基础设施安全保护，对国家而言，《条例》为我国营造开放、安全、健康的数字生态，巩固国家网络安全保障基础，强化数字资源安全保护能力提供了坚强的法治后盾，也为关键信息基础设施安全保护工作提供了科学化、系统化、精细化的工作指引；对重要行业而言，关键信息基础设施的安全防护是企业生产经营的底线和红线。习近平总书记在网络安全和信息化工作座谈会上指出：“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标，我们必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护。”习近平总书记的重要指示为开展关键信息基础设施安全保护工作指明了方向。通过《条例》可以看到，政策制定的初衷是希望通过政策法规的及时卡位、规范、公正和透明，在顶层设计上给信息化发展提供可操作的安全指南，在安全的前提下促进经济高质量发展。因此，无论是立足国家安全，还是着眼经济发展，我国网络安全产业都处于前所未有的战略机遇期。

《保护要求》的颁布，对于网络安全产业在关键信息基础设施领域的发展具有重要推动作用，主要体现在以下三个方面。一是加强关键信息基础设施安全技术创新。大力发展相关网络安全技术，包括但不限于：关键信息基础设施安全风险感知和识别技术、关键信息基础设施系统漏洞检测技术、关键信息基础设施数据标识和管理技术、关键信息基础设施网络威胁溯源和取证技术等。二是加快完善关键信息基础设施安全产品和方案体系。需要尽快建立健全关键信息基础设施网络安全产品体系，重要产品包括但不限于：关键信息基础设施安全评估产品、关键信息基础设施安全检测产品、关键信息基础设施安全增强防护产品、关键信息基础设施安全运行监测平台等。三是加快完善关键信息基础设施安全服务体系。从关键信息基础设施保护所需的网络安全服务体系来看，关键服务类型包括但不限于：关键信息基础设施安全应急处置服务、关键信息基础设施安全演练服务、关键信息基础设施安全教育培训服务、关键信息基础设施安全一体化运营服务等。《保护要求》的颁布及实施，是我国关键信息基础设施安全保护工作的重要一环。

关基与等保的比较分析

适用范围

等级保护适用对象是网络安全运营者。网络安全运营者指网络的所有者、管理者和网络服务提供者，而网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

等级保护制度根据网络在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，把网络分为五个不同的安全保护等级。

其中第一级：一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络。第五级：一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。其他等级介于两者之间。因此，等级保护适用的范围很广。

而关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

因此，关键信息基础设施的界定范围比等保范围小，其特征就是一旦受到破坏会影响国家安全、国计民生、公共利益。

如图1所示，关键信息基础设施的界定范围在等级三级以上网络或信息系统范围内，其中等保五级的全部，等保三级和四级的部分，将被认定为关键信息基础设施。

安全防护要求

网络安全等级保护制度有完整的国家标准支撑体系，其覆盖定级、要求、设计、测评、实施、测评机构能力等方方面面。且一些重要的行业领域已经制定了相应的行业实施细则，例如《金融业网络安全等级保护实施指引》（JR/T 0071-2020）。这些工作都为等保工作的开展提供了强有力的支撑。

等保系列国家标准列表如下：

GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》

GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》

GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》

GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》

GB/T 25058-2019《信息安全技术 网络安全等级保护实施指南》

GB/T 36958-2018《信息安全技术 网络安全等级保护安全管理中心技术要求》

GB/T 36959-2018《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》

GB/T 36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》

《中华人民共和国网络安全法》规定，对于关键信息基础设施，要在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施安全保护应首先符合网络安全等级保护制度相关要求，在满足“合规性”防护的基础上，重点加强关键信息基础设施关键业务的风险识别能力、抗攻击能力、可恢复能力，确保关键信息基础设施业务稳定、持续运行，如图2所示。

图2：关基与等保的安全要求

关基保护基于等保又高于等保，关键信息基础设施保护增强的安全要求，主要体现在：

（1）运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查，并与网络产品和服务提供者签订保密协议。（2）运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。

（3）安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。

（4）运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。

（5）按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；按照规定报告网络安全事件和重要事项。

管理监督

对于等级保护，中央网络安全和信息化领导机构统一领导网络安全等级保护工作。国家网信部门负责网络安全等级保护工作的统筹协调；国务院公安部门主管网络安全等级保护工作，负责网络安全等级保护工作的监督管理，依法组织开展网络安全保卫；国家保密行政管理部门主管涉密网络分级保护工作，负责网络安全等级保护工作中有关保密工作的监督管理；国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理；国务院其他有关部门依照有关法律法规的规定，在各自职责范围内开展网络安全等级保护相关工作；县级以上地方人民政府依照本条例和有关法律法规规定，开展网络安全等级保护工作。

对于关基保护，在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作；省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

关基和等保的监督管理体系如图3所示，公安部门和行业主管部门在网络安全和等级保护中起着直接的监督管理作用，密码部门和电信部门在各自职责范围内进行保护和监督，网信部门则是总体的统筹协调。关基和等保两者的监督管理体系高度重合。

关基保护和等级保护守法应对

作为关基运营者，需要兼顾网络安全等级保护和关基保护合规义务。基于以上两者关系的分析，给出的关基保护应对建议如下：

（1）做好等级保护工作是基础。网络安全等级保护工作已经形成了完备的要求和完整的测评体系，是网络安全工作很好的起点。

（2）在等保基础上做好关基防护增量。关基保护基于等保而不是替代等保，在等保基础上做好关保增量是正确路径。

（3）融合等保和关基防护要求，做到一套体系两处合规。