网络安全应急管理体系现状与建议(4)
通过对我国重要行业和地区的问卷调查和当面访谈,了解到各重要行业和地区均高度重视网络安全应急及应急演练工作。综合来看,对于信息系统依赖程度较高的行业,对安全应急体系及网络安全演练的重视程度也相应较高。我们从应急机制与组织结构、应急制度与平台建设、应急演练与实施过程等方面进行了详细调研。 1. 应急机制与组织架构 网络安全应急机制的建设是统筹完善网络安全应急体系的首要工作。我国从国家层面、行业层面都建立了明确的应急工作机制以及相关的制度,可以指导网络安全应急工作顺利地开展。有些行业还充分利用国家网络安全机构力量,建立情报共享、多方合作以及事件通报机制,实现网络安全信息情报的及时、有效沟通,能够为网络安全应急提供充足的预警、决策、反应时间。 2014年2月27日,中央网络安全和信息化领导小组成立,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。 中央网络安全和信息化领导小组办事机构为中央网信办。中央网络安全和信息化领导小组和中央网信办成立后,各省、自治区、直辖市也先后成立了省网络安全和信息化领导小组和省网信办,小组组长均由省(自治区)市委书记担任、网信办主任多由省(自治区)市委宣传部副部长兼任,初步形成了网络安全和信息化全国统一谋划、统一部署、统一推进、统一实施的组织架构。 但在实际工作中,各地网信办主要对原有机构进行调整组建,但由于诸多原因限制,使得多地网信办在建立后,长期存在职能划转不到位、职责不清等问题,使得相应工作机制调整不到位,无法有效发挥统筹协调作用,网络安全应急等工作仍依托原有机制开展。 重要行业和地区均建立了相应的应急管理组织架构。应急管理组织架构较为明确、权责清晰,制定了切实可行的制度流程,并指导下属单位或部门编制了一系列总、分、专等多层次应急预案,实现了突发事件应急处置规范化。有的行业自身信息安全力量相对薄弱,主要依靠外部力量开展网络安全应急管理工作。地方政府通常是依托经信委、地方网信办等专门机构负责本地区网络安全应急管理,并结合公共安全应急工作,建立了相对完备的应急机制。 但从国家总体层面上,暂未形成有效、统一的信息安全应急组织机制,缺乏明确统一的顶层领导,各部门在应急工作中职责划分不明确,部分职责落实不到位,各行业(地区)层面,存在交叉管理和真空地带的问题。缺乏跨行业沟通协调机制,部分行业监管部门(垂直)与地方政府主管单位(横向)之间缺乏统筹协调,导致开展跨行业、跨地区的综合演练难度非常大,一旦遇到跨行业跨地区的重特大突发事件,各行业与地方政府之间不能有效协同应对突发事件。 同时,行业和地方政府内部也存在约束不够、缺乏统筹安排等问题。主要表现为监管部门监管力度差,与下属单位脱节,对下属单位约束不够,缺乏顶层设计和宏观层面统筹计划安排。 2. 应急制度与平台系统 2005年我国出台了《国家突发公共事件总体应急预案》,构建了我国应急体系和预案体系基本架构。预案要求各地各部门要结合实际,有计划、有重点地组织有关部门对相关预案进行演练。 2016年11月7日发布《中华人民共和国网络安全法》,从立法高度明确网络安全应急工作机制,弥补了我国综合性网络安全法律法规的缺失,也契合了当前严峻的网络安全形势对网络安全应急工作的迫切要求。在《中华人民共和国网络安全法》和2008年公安部发布的《信息系统安全等级保护基本要求》中都对应急管理和演练周期提出了要求。 2016年12月,我国首次公开发布《国家网络空间安全战略》。战略中明确提出当前和今后一个时期国家网络空间安全工作的战略任务:“建立国家网络安全技术支撑体系,完善网络安全监测预警和网络安全重大事件应急处置机制”。 2017年1月10日,中央网信以《中央网信办关于印发《国家网络安全事件应急预案》的通知》(中网办发文〔2017〕4号)公开发布了《国家网络安全事件应急预案》。 重要行业和地区均制订了较为完善的应急预案和应急演练管理制度,明确了应急组织架构及职责、预警、应急处置流程等,指导发生网络安全事故时有效地进行应急处置,同时对开展应急演练的形式、周期等提出要求。 重要行业和地区的网络安全应急平台建设基本处于起步阶段。行业管理部门有些自行建设网络信息安全应急管理平台,有些依靠下属单位建设信息安全应急管理平台,也有和第三方合作建设信息安全应急管理平台,但功能有待进一步完善。目前的网络信息安全应急管理平台建设目标从被动的应急管理为目的转变到对网络安全态势感知和预警报警管理的提升,但尚未发现任何行业或地方政府搭建了相对完善的能够实现应急管理、态势感知、通报预警等功能的平台。 目前,国家层面的网络安全应急管理平台正在搭建中。 3. 应急演练与实施过程 重要行业和地区均陆续出台了各自的应急演练指导文件,在一定程度上促进了应急工作的统一化、规范化。从开展网络安全应急演练的频率、规模、深度等方面看,重要行业总体上好于地区,对信息系统依赖程度越高的行业,对于应急演练的重视程度也越高,开展应急演练的范围更广、频率更高、形式多样、大多数行业以桌面推演、实战演练为主,也有部分行业采用了多种方式结合的综合演练方式。 重要行业和地区应急演练的对象主要分为两类:一是针对各行业领域重要基础设施和信息系统面临的设备故障、软件缺陷、数据泄露、操作失误、自然灾害等风险,组织开展专项应急演练。二是针对面向互联网开展的电子政务、电子商务等系统面临的网络攻击、信息破坏等风险,组织开展网络安全攻防演练。 重要行业的演练范围主要包括行业内部应急演练以及跨行业、跨地区联合应急演练,多数行业普遍能够根据行业及下属单位实际特点,组织行业内协同演练。 重要行业和地区在演练方式选择上,较好地结合了各行业、地区的实际情况,基本满足了应急演练的需求和目标,大多数行业以桌面推演、实战演练为主,也有部分行业采用了多种方式结合的综合演练方式。 重要行业和地区对于演练的总结与评估均比较重视,旨在通过总结与评估,发现演练中存在的问题,采取措施加以改进。部分行业还能够在自我评估的基础上,引入参演交叉评估、跨区现场观摩等机制。 我国尚未开展国家级网络安全应急演练。 五、网络安全应急关键对策 1. 完善网络安全应急体系 (1)建立健全应急管理制度 (编辑:ASP站长网) |