第七章  网络空间信息安全



             来，虽然这是符合发展规律的结果，但是基于中国的特殊国情考虑，应当将网络
             安全信息共享确定为部门机构的一项法律义务，掌握与国家安全有关的信息的部
             门有主动与国家相关部门分享信息的义务，不履行义务则承担相应的法律责任。

                 第四，建立应急响应恢复制度。高效的应急响应恢复机制能够形成一条从监
             测、预警、到处置、恢复完整的保护链来保护关键信息基础设施的安全。建立该
             机制首先应当制定关键信息基础设施安全事件的分级处置标准和应急预案，其次
             是规定信息安全事件的检测、应急预案的启动方式以及紧急处置的内容，接着是

             规定安全事件的信息发布内容和程序，最后是确定关键信息基础设施的恢复制度
             以及部门的总结报告义务。
                 第五，建立风险评估制度。关键信息基础设施保护体系并不仅仅是一个被动
             防御体系，该体系的设计上应当提高风险的预警能力。一方面应当通过适当的网

             络空间扫描对网络安全威胁进行监控，及时发现危险苗头，及早启动应急响应机
             制；另一方面要对系统进行安全评估，及时查找发现防御漏洞，对受到攻击时可
             能造成的损害进行预判，给制定应急响应恢复制度提供数据支持。
                 （2）完善网络安全审查立法

                 网络安全审查的核心是“网络安全”和“审查”。《网络安全法》中对“网
             络安全”有准确的描述。“审查”则是一种检查、分析和验证的过程。所以网络
             安全审查实际是在检查评估网络空间的安全水平，该制度的目的是提升国家网络
             安全水平，维护国家利益。对于网络安全审查立法的完善，主要有以下几方面

             内容。
                 第一，明确审查的范围。关系国家安全的信息系统使用的重要产品和服务应
             当经过网络安全审查。具体而言，金融、电信、能源、交通、公共通信和信息服
             务、水利、电子政务等关系国家安全的重点行业和领域的网络产品和服务，从采

             购到使用都应当经过网络安全审查。
                 第二，构建多元化的审查架构。网络安全是指通过采取必要措施，防范对网
             络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运
             行的状态，以及保障网络数据的完整性、保密性、可用性的能力。那么，一切对

             这种能力产生威胁或者构成减损的风险事实上都可以纳入网络安全审查的制度范
             畴。因此，构建多种形式的网络安全审查架构，包括云服务安全审查、供应链安
             全审查、网络安全政策审查、网络安全状态审查、网络安全能力审查、网络弹性



                                                                                 ·201·