为贯彻公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,关键信息基础设施保护应当从基于对象的保护、基于后果的保护转变为基于过程的保护,区别关键信息基础设施的识别与认定两个阶段。在识别中,考虑互为依赖的类型、运行状态、耦合程度、基础结构特征、故障类型、反应模式等识别因素,在工程上基于过程评价,评价过程中应当根据资产的重要性进行赋值,以威胁发生概率、威胁属性对威胁进行赋值,根据各类型相互依赖关系在工程学上计算脆弱性,以风险管理的角度计算、评估风险概率以及风险所可能导致的损失。关键信息基础设施保护本质上是需要公私部门合作解决、国际合作治理的公共安全与应急管理问题。各国在关键信息基础设施的概念界定上应当采用法规与工程计算相结合的灵活认定模式,以包容可替代性、可恢复性的弹性安全为理念,制定关键信息基础设施安全保护标准规范。

• 单位
  中国人民公安大学