“近年来，我国网络安全治理能力不断提升。《网络安全法》的颁布施行确立了网络安全责任法理依据。为落实执行效果，建议围绕落实《网络安全法》进一步细化网络安全责任体系。”全国政协委员、安天科技集团股份有限公司董事长肖新光在接受记者采访时表示。

网络安全责任体系是一个极为复杂的治理体系，不同政企机构所建设运营的信息系统承载着海量客户信息，这些系统和数据资产与国家安全、社会治理安全、机构安全和公民个人安全息息相关。“目前网络安全责任制的实际落实，更偏重于‘谁建设、谁负责，谁运营、谁负责’的主体责任机制，需要进一步明确不同风险层次的界定方法，细化相关部门和建设运营单位间的工作责任界面。”肖新光指出。

与此同时，网络安全水平高度依赖于网信产品，特别是应用开发商的自身安全能力。肖新光表示，当前我国网信行业整体代码安全工程能力亟待提升，研发场景安全防护和软件分发链安全能力需要强化。

此外，网络安全责任机制缺少综合支撑要素。肖新光指出，大部分网络安全事件是攻击者施加于被攻击目标的恶意行为活动，其中遭受攻击的机构兼具责任者和受害者的双重角色。对于这些机构而言，既需要督促追责、整改检查，也需要辅助帮扶。

“目前而言，一般性机构的投入能力和技术水平，很难单独支撑对抗高水平的网络威胁攻击。如果只有问责机制，而没有免责、激励和赋能机制，机构一方面没有能力发现隐蔽性很强的高级持续性威胁，另一方面出于避责心理，采用瞒报掩盖方式应对网络攻击，影响了网络安全事件的强制性报告制度的落实，影响了网络安全威胁的整体有效感知和威胁情报的快速共享。”肖新光说。

针对以上，肖新光提出了三点建议：一是完善层次化风险与责任分析体系。建议主管部门围绕重要信息系统和关键信息基础设施，完善共性方法指引，依托模拟推演等方式，梳理重要信息系统和关键信息基础设施遭遇攻击的外溢风险，以风险后果视角重新分析网络安全规划和投入的合理性。量化分析规划投入的差距和短板，基于共性和弹性安全能力建设，专项投入支持等方式，弥补重要信息系统和关键信息基础设施运营方的安全投入不足。

二是压实“关口前移，防患于未然”的工作要求，提升责任制覆盖度。建议相关部门对运营关键信息基础设施的政企机构的网络安全规划建设情况进行前置检查指导。细化IT供应链网络安全的整体要求、工作机制和流程规范。建立对安全事件有直接责任的网信供应商的关联问责机制。

三是将网络安全问责机制、奖励机制、帮扶赋能机制有机结合。肖新光指出，问责机制作为事后惩治手段，对未落实工作要求导致数据泄漏、系统失陷、造成风险损失的，依法追究。同时鼓励积极作为、扎实投入的导向，对高水平建设、规划、运营安全能力的机构实施奖励。对按照高水平完成相关能力建设、按照高要求持续安全运营的机构，因遭受国家级高水平攻击造成损失的，适度免责。对发现高价值威胁线索，捕获有价值信息的机构，提供奖励。