发布日期:2021-08-20
2021年7月30日,国务院第745号令公布了《关键信息基础设施安全保护条例》(以下简称“《关基条例》”),并将于2021年9月1日起与《中华人民共和国数据安全法》一起正式实施。《关基条例》的出台,旨在落实《中华人民共和国网安法》(以下简称《网安法》)有关关键信息基础设施运营者(以下简称“关基运营者”)的合规要求,为我国深入开展关键信息基础设施(以下简称“关基设施”)安全保护工作提供有力保障。
《关基条例》全文共6章51条。包括:总则、关键信息基础设施认定、运营者责任义务、保障和促进、法律责任、附则。下文将对《关基条例》相关问题进行简要解读。
Part.1什么是关键基础设施,如何认定关键信息基础设施?
关键信息基础设施的定义、方法、程序等在《关基条例》的规定如下:
1定义范围
本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
2认定方法
保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。
制定认定规则应当主要考虑下列因素:
(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
(三)对其他行业和领域的关联性影响。
3认定程序
保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
4重新认定
关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。
Part.2监管部门有哪些,何为关基主管部门及保护工作部门?
1部门职责
在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)。
2保护工作部门
本次公布的《关基条例》明确提出了“保护工作部门”的概念。《关基条例》依据《网安法》的规定,按照“谁主管谁负责”的原则,明确了行业主管部门对于本行业、本领域关键信息基础设施的安全保护责任。
而针对保护工作部门,根据《关基条例》的具体规定,其在相关行业和领域内的职责主要包括:
职责1:制定关键信息基础设施认定规则并组织认定
职责2:制定关键信息基础设施安全规划和网络安全监测预警制度
职责3:建立健全网络安全事件应急预案并组织演练、提供指导
职责4:定期组织开展关键信息基础设施网络安全检查检测,监督整改
职责5:发生特别重大网络安全事件或者发现特别重大网络安全威胁时,在收到运营者报告后,及时向国家网信部门、国务院公安部门报告;并对违规关基运营者进行处罚
Part.3关键信息基础设施运营者的责任义务
关基运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性,在保证系统稳定的同时,维系业务的连续性。具体包括:
同步规划、建设和使用
设立专门安全管理机构,并履行对专门安全管理机构负责人和关键岗位人员的审查义务
网络安全检测和风险评估义务
重大网络事件上报制度
采购产品和服务要求时,合同义务和安全审查义务
合并、分立和解散报告义务
Part.4保障措施和促进措施
《关基条例》第四章单独规定了保障和促进措施,即保障关键信息基础设施安全,需要统筹资源和力量,全方位实施保护。
1保障措施
明确要求监管机关建立网络安全信息共享机制(第二十三条),并规定工作中获取的信息只能用于维护网络安全,不得泄露、出售或者非法向他人提供(第三十条)。
对国家有关部门开展安全检查作出规定,要求避免不必要的检查和交叉重复检查,检查不得收费,不得要求被检查单位购买指定产品和服务(第二十七条);同时规定任何个人和组织未经授权不得对关键信息基础设施进行探测测试等活动(第三十条)。
规定国家网信部门和国务院电信主管部门、公安部门等根据保护工作部门需要,提供技术支持和协助(第二十九条)。
明确国家对能源、电信等关键信息基础设施安全运行实施优先保障(第二十二条)。
规定公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动(第三十三条)。
明确国家出台安全标准,指导规范关键信息基础设施安全保护工作(第三十四条)。
2促进措施
从人才培养(第三十五条)、技术创新和产业发展(第三十六条)、网络安全服务机构建设与管理(第三十七条)、军民融合(第三十八条)、表彰奖励(第七条)等方面均作了相应规定。
Part.5法律责任
《关基条例》在第五章法律责任部分规定了三类主体的罚则,分别为(1)关基运营者;(2)网络攻击者;(3)网信部门、公安机关等保护机关及其工作人员。
1关基运营者罚则
2网络攻击者罚则
3网信部门、公安机关等监管机关及其工作人员罚则
Part.6关保与等保的关系、关保的相关体系标准有哪些
关保基于等保而高于等保,等级保护是关键信息基础设施保护的基础,关键信息基础设施是等级保护的重点防护对象。关键信息基础设施必须落实网络安全等级保护制度,开展定级备案、等级测评、安全建设整改、安全检查等强制性及规定性工作;商用密码应用安全是保障网络和信息系统安全的一项防护措施,也是保障关键基础设施安全的重要手段,关键基础设施必须按照密评相关标准、规定,开展密评工作。
等级保护制度、关键信息基础设施保护、商用密码应用安全评估都是网络安全运营者应履行的责任和义务,并非哪一个重要,哪一个不重要,只是安全防护力度、角度存在一定差异。
目前,国家层面会制定一系列关基设施安全的标准,指导关键基础设施的安全保护工作。已立项的主要安全标准包括:
《关键信息基础设施网络安全保护基本要求》
《关键信息基础设施安全控制措施》
《关键信息基础设施安全检查评估指南》
《关键信息基础设施边界确定方法》
《关键信息基础设施网络安全应急体系框架》
《关键信息基础设施安全防护能力评价方法》
《关键信息基础设施信息技术产品供应链安全要求》等
《关键信息基础设施网络安全保护基本要求》和《关键信息基础设施安全控制措施》于2019年形成报批稿、2020年4月上报国标委。建议大家持续关注关基保护的相关标准。
国家金融科技测评中心(银行卡检测中心,工商注册名:北京银联金卡科技有限公司)作为由公安部审批通过的网络信息安全等级保护测评单位和国家密码管理局授权的商用密码安全性评估的测评机构,拥有“等保+密评”一体化专业服务队伍,为企业提供满足国家及行业要求的安全评估服务,助力企业提高商用密码应用安全性及信息系统安全合规性,减少安全风险带来的不必要损失。