# 关键信息基础设施事件报告制度的思考（三）

关键信息基础设施事件报告制度的思考（三）

---

---

前言

加快落实关键信息基础设施事件报告制度不仅是全球网络安全保护的共同趋势，更是深化我国关键信息基础设施安全保护的必然要求。建立以可操作性规则为指引，以运营者合规体系构建为核心，多元主体共同参与的关键信息基础设施事件报告机制应是后续开展工作的重要内容。

---

一、推动我国关键信息基础设施事件报告制度落地的思考

1、细化事件报告规则，畅通信息共享

制定关键信息基础设施运营者向网信部门、公安机关、保护工作部门报告事件的细化规则，为运营者提供明确的步骤指引。一方面，以及时动态掌握网络安全威胁为制度设计核心，细化报告时限要求、报告的事件类型、报告方式和途径、报告内容等。结合《条例》规定和《国家网络安全事件应急预案》《信息安全技术 网络安全事件分类分级指南》等进一步明确重大及特别重大网络安全事件/威胁类型。建立分步式的事件预警——阶段性进展报告——最终分析报告的流程。明确应报告的公安机关层级和报告渠道，鉴于《条例》的规定，由省级人民政府有关部门对关键信息基础设施实施安全保护和监督管理，应考虑要求运营者向省级以上网信部门、公安机关进行事件报告。

另一方面，兼顾运营者合规成本，确保运营者将更多精力用于应对网络安全事件和消除网络安全风险方面。结合当前实践以及《条例》要求，为了提高报告效率、避免重复报告等问题，相关部门制定的事件报告规则应与行业领域内部规定相协调，以达到最优解。同时，要充分发挥已有的国家网络与信息安全信息通报机制以及关键信息基础设施相关安全保护平台在信息通报与共享、事件处置等方面的作用，提供制式的事件报告信息表，以实现“运营者一次报告，相关部门均能知悉”的最优目标。

2、落实事件报告义务，构建合规体系

关键信息基础设施运营者承担着关键信息基础设施安全保护的主体责任。运营者应当意识到，事件报告不仅是应当履行的一项法定义务，更是充分借助国家优势资源，寻求技术支持与协助，避免危害扩大的途径之一。

运营者应当结合法律法规、国家标准以及本行业领域的特殊要求，制定内部网络安全事件报告制度及操作流程，制定与不同级别的网络安全事件相适应的应急预案。同时，需要明确负责事件报告的关键岗位，确保事件报告责任落实到具体人员。当发生网络安全事件或出现网络安全威胁时，运营者应立即进行验证核实，结合法律法规的要求，判断是否构成重大或特别重大网络安全事件或网络安全威胁，启动相应应急预案，并按照要求向有关部门报告，协助配合相关部门开展案事件调查。

3、完善事件处置机制，多方共同参与

关键信息基础设施安全事关国家安全，需要包括网信部门、公安机关、保护工作部门、运营者、网络产品和服务提供者等在内的多元主体共同参与，确保关键信息基础设施安全。

一方面，《条例》明确规定了国家网信部门统筹协调、国务院公安部门指导监督以及保护工作部门负责安全保护和监督管理等职责，具体涉及网络安全信息共享、监测预警、事件处置、检查检测等诸多方面。各部门在《条例》施行后落实相关职责，已取得显著成效。后续应紧扣运营者事件报告环节，为运营者提供技术支持与协助，最大化事件报告效能，发现可能影响不特定多数主体的网络安全威胁进行预警通报，视情开展同类风险排查，研究有效预防同类风险的应对措施。强化行政执法力度，在对运营者开展监督检查时将发生网络安全事件或发现网络安全威胁后是否履行相应报告义务作为重要检查内容之一。同时，查明相关主体责任，加强涉关键信息基础设施相关违法犯罪行为的打击力度。

另一方面，充分发挥安全研究人员、网络安全服务机构等主体在威胁发现、事件应急处置方面的作用，充分借助渗透测试、网络攻防实战演习等手段发现潜在安全风险。

---

总结

在供应链安全风险日益凸显的当下，在《网络安全法》《网络产品安全漏洞管理规定》等法律法规对网络产品或服务提供者赋予一定报告义务的基础上，运营者可通过合同、承诺书等形式对网络产品和服务提供者的报告责任进行再次强调。在应急预案、应急演练、事件应急处置等环节也应将网络产品和服务提供者的参与考虑在内，共同保障关键信息基础设施安全稳定运行。