推荐序2 开展网络安全同行评估提升关键信息基础设施防护能力

2017年6月1日《中华人民共和国网络安全法》正式颁布，首次在法律层面明确关键信息基础设施概念，明确要求保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。2021年9月1日，《关键信息基础设施网络安全保护条例》正式施行，旨在建立专门保护制度，明确各方责任，提出保障促进措施，保障关键信息基础设施安全及维护网络安全。条例第四条规定，关键信息基础设施安全保护坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者主体责任，充分发挥政府及社会各方的作用，共同保护关键信息基础设施安全。

金融、能源、电力、通信、交通等领域的关键信息基础设施和重要信息系统同其领域的管理模式、生产方式等紧密相关，专业性强、技术性强。怎样通过“检测评估”又快又好地发现设施和系统存在的问题和风险，并采取有效措施，是上级部门、运营者及第三方机构等需要共同应对的挑战。同行评估是国际核电领域比较独特的、成熟的行业经验反馈与共享机制，同行评估是指受评方在组织单位的统一协调下，由受评方之外的同行专家组成的评估队，对受评方指定的评估领域，实施综合或专项评估，找出管理强项和待改进项，强项供行业共享，待改进项提交受评方作为其制定实施改进行动的输入，并根据受评方的要求对待改进领域的整改活动进行跟踪回访，从而促使受评方开展以持续改进和追求卓越为目的的行业自律管理活动。同行评估的理念、目标、方法等同样非常适用于网络安全的评估，特别是重要领域的网络安全评估，并极具领域“专业性”的突出特点。

始于2016年，中国核能行业协会网络与信息安全专题工作组在充分调研和总结的基础上，依据《中华人民共和国网络安全法》及网络安全等级保护2.0标准体系等的要求，创新性的将“同行评估”引入到国内网络安全领域。经充分准备，2018年11月，中国核能行业协会信息化专业委员会与核电运行分会率先针对核电厂网络安全进行了首次同行评估，评估工作从总体安全、管理安全、技术安全、运维安全和监督检查等领域开展。2019年至2021年，又先后组织开展了多次网络安全专项同行评估，效果明显、成果突出，均得到受评方的一致好评。我作为特邀专家和观察员，全程参与了2019年的同行评估，深感同行评估有六大突出特点：一是评估单位的选择系“自觉自愿”，同行评估由被评估单位自愿提出，经组织方协商确定；二是整个评估过程氛围“友好开放”，被评估单位主管领导、领域接口负责人等，畅谈业绩目标、实施的措施、痛点、难点等；三是评估过程自然有序，不搞“突然袭击”，所有观察意见都由评估队的相关人员充分与受评方沟通并确认；四是评估结果不针对个人的“绩效表现”，而是针对组织进行评审，聚焦管理改进；五是评估实施是一种帮助和经验分享，而不是检查和督查；六是所有人员将“负责保密，履行保密承诺”作为同行评估的一种文化共识。

开展网络安全同行评估暨通过业内同行评估，帮助被评运营者提升网络安全保护能力，识别待改进领域，发现强项以供其他运营者共享，待改进项提交受评运营者作为其制定实施改进行动的输入，促使评估队员和受评运营者了解同行网络安全工作的不同实践并增进沟通、交流，实现提升被评估运营者乃至整个行业的网络安全保护水平，营造共享、共治、共赢的良好局面。《关键信息基础设施条例》要求运营者设置专门的安全管理机构，并应当履行“组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估”的工作职责，网络安全同行评估恰恰是落实这一要求的有效措施，并以此指导运营者履行好条例要求，促进网络安全保护措施与关键信息基础设施同步规划、同步建设、同步使用，建立健全网络安全保护制度和责任制度，保障人力、财力、物力投入等相关工作的开展。

开展网络安全同行评估是一项政策性、技术性、规范性要求很强的工作。为更好地做好网络安全同行评估工作，作者基于其长期从事网络安全领域的研究与实践成果，结合作者亲自参加网络安全同行评估和攻防实战体会编写了本书，本书内容详实全面，专业性、实用性和可操作性都很强，为从事网络安全同行评估研究、实践的人员提供了一本实战型的教科书。在此我郑重的向广大读者推荐这本书，也希望广大网络安全工作者不忘初心、砥砺前行。

李冰

国家信息技术安全研究中心原副主任

工业控制系统产业联盟网络安全专业委员会主任委员