企业动态

当前位置:首页 - 企业动态 - 企业新闻

9.1施行丨《关键信息基础设施安全保护条例》解读

发布日期:2021-08-20

2021年7月30日,国务院第745号令公布了《关键信息基础设施安全保护条例》(以下简称“《关基条例》”),并将于2021年9月1日起与《中华人民共和国数据安全法》一起正式实施。《关基条例》的出台,旨在落实《中华人民共和国网安法》(以下简称《网安法》)有关关键信息基础设施运营者(以下简称“关基运营者”)的合规要求,为我国深入开展关键信息基础设施(以下简称“关基设施”)安全保护工作提供有力保障。

《关基条例》全文共6章51条。包括:总则、关键信息基础设施认定、运营者责任义务、保障和促进、法律责任、附则。下文将对《关基条例》相关问题进行简要解读。


Part.1什么是关键基础设施,如何认定关键信息基础设施?


关键信息基础设施的定义、方法、程序等在《关基条例》的规定如下:

1定义范围

本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

2认定方法

保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。

制定认定规则应当主要考虑下列因素:

(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;

(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;

(三)对其他行业和领域的关联性影响。

3认定程序

保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。

4重新认定

关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。


Part.2监管部门有哪些,何为关基主管部门及保护工作部门?

1部门职责

在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。

省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)。

2保护工作部门

本次公布的《关基条例》明确提出了“保护工作部门”的概念。《关基条例》依据《网安法》的规定,按照“谁主管谁负责”的原则,明确了行业主管部门对于本行业、本领域关键信息基础设施的安全保护责任。

而针对保护工作部门,根据《关基条例》的具体规定,其在相关行业和领域内的职责主要包括:




Part.3关键信息基础设施运营者的责任义务

关基运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性,在保证系统稳定的同时,维系业务的连续性。具体包括:




Part.4保障措施和促进措施

《关基条例》第四章单独规定了保障和促进措施,即保障关键信息基础设施安全,需要统筹资源和力量,全方位实施保护。

1保障措施

2促进措施

从人才培养(第三十五条)、技术创新和产业发展(第三十六条)、网络安全服务机构建设与管理(第三十七条)、军民融合(第三十八条)、表彰奖励(第七条)等方面均作了相应规定。


Part.5法律责任

《关基条例》在第五章法律责任部分规定了三类主体的罚则,分别为(1)关基运营者;(2)网络攻击者;(3)网信部门、公安机关等保护机关及其工作人员。

1关基运营者罚则


图片


2网络攻击者罚则


图片


3网信部门、公安机关等监管机关及其工作人员罚则


图片



Part.6关保与等保的关系、关保的相关体系标准有哪些

关保基于等保而高于等保,等级保护是关键信息基础设施保护的基础,关键信息基础设施是等级保护的重点防护对象。关键信息基础设施必须落实网络安全等级保护制度,开展定级备案、等级测评、安全建设整改、安全检查等强制性及规定性工作;商用密码应用安全是保障网络和信息系统安全的一项防护措施,也是保障关键基础设施安全的重要手段,关键基础设施必须按照密评相关标准、规定,开展密评工作。

等级保护制度、关键信息基础设施保护、商用密码应用安全评估都是网络安全运营者应履行的责任和义务,并非哪一个重要,哪一个不重要,只是安全防护力度、角度存在一定差异。

目前,国家层面会制定一系列关基设施安全的标准,指导关键基础设施的安全保护工作。已立项的主要安全标准包括:



《关键信息基础设施网络安全保护基本要求》和《关键信息基础设施安全控制措施》于2019年形成报批稿、2020年4月上报国标委。建议大家持续关注关基保护的相关标准。



国家金融科技测评中心(银行卡检测中心,工商注册名:北京银联金卡科技有限公司)作为由公安部审批通过的网络信息安全等级保护测评单位和国家密码管理局授权的商用密码安全性评估的测评机构,拥有“等保+密评”一体化专业服务队伍,为企业提供满足国家及行业要求的安全评估服务,助力企业提高商用密码应用安全性及信息系统安全合规性,减少安全风险带来的不必要损失。


上一篇:数据安全法9月1日起正式实施! 下一篇:国家金融科技测评中心(银行卡检测中心)亮相Crypto TE 2021