近年来，我国网络安全治理能力不断提升。《中华人民共和国网络安全法》的颁布施行确立了网络安全责任法理依据。全国政协委员、安天科技集团股份有限公司董事长肖新光在接受《中国电子报》记者采访时表示，为落实执行效果，建议围绕落实网络安全法进一步细化网络安全责任体系。

肖新光指出，大部分网络安全事件是攻击者施加于被攻击目标的恶意行为活动，遭受攻击的机构兼具责任者和受害者的双重角色。对于这些机构而言，既需要督促追责、整改检查，也需要辅助帮扶。

“目前，凭借一般性机构的投入能力和技术水平很难单独支撑对抗高水平的网络威胁攻击。如果只有问责机制而没有免责、激励和赋能机制，机构一方面没有能力发现隐蔽性很强的高级持续性威胁，另一方面出于避责心理，采用瞒报掩盖等方式应对网络攻击，影响了网络安全事件强制性报告制度的落实，影响了网络安全威胁整体有效感知和威胁情报的快速共享。”肖新光说。

针对以上，肖新光提出了三点建议：一是完善层次化风险与责任分析体系。建议主管部门围绕重要信息系统和关键信息基础设施，完善共性方法指引，依托模拟推演等方式，梳理重要信息系统和关键信息基础设施遭遇攻击的外溢风险，以风险后果视角重新分析网络安全规划和投入的合理性。量化分析规划投入的差距和短板，基于共性和弹性安全能力建设，专项投入支持等方式，弥补重要信息系统和关键信息基础设施运营方的安全投入不足。

二是压实“关口前移，防患于未然”的工作要求，提升责任制覆盖度。建议相关部门对运营关键信息基础设施的政企机构的网络安全规划建设情况，进行前置检查指导。细化IT供应链网络安全的整体要求、工作机制和流程规范。建立对安全事件有直接责任的网信供应商的关联问责机制。

三是将网络安全问责机制、奖励机制、帮扶赋能机制有机结合。肖新光指出，问责机制作为事后惩治手段，对未落实工作要求导致数据泄露、系统失陷、造成风险损失的，依法追究责任。同时鼓励“积极作为、扎实投入”的导向，对具备高水平建设、规划、运营安全能力的机构实施奖励。对按照高水平完成相关能力建设、按照高要求持续安全运营的机构，因遭受国家级高水平攻击造成损失的，适度免责。对发现高价值威胁线索，捕获有价值信息的机构，提供奖励。