《關鍵信息基礎設施安全保護條例》已經(jīng)2021年4月27日國務院第133次常務會議通過,,并于昨日8月17公布,,已于2021年9月1日起施行。
關鍵信息基礎設施是經(jīng)濟社會運行的神經(jīng)中樞,是網(wǎng)絡安全的重中之重,,也是可能遭到重點攻擊的目標,。習近平總書記“4.19”講話提出明確要求“我們必須深入研究,,采取有效措施,,切實做好國家關鍵信息基礎設施安全防護?!薄蛾P鍵信息基礎設施安全保護條例》為網(wǎng)絡安全織密防護網(wǎng),,為國家安全打造金鐘罩提供了強有力的行政法規(guī)。
《關鍵信息基礎設施安全保護條例》是基于《中華人民共和國網(wǎng)絡安全法》,,在關鍵信息基礎設施安全保護領域的一個重要法規(guī)文件,,是引領關鍵信息基礎設施安全保護的重要遵循。
《關鍵信息基礎設施安全保護條例》(以下簡稱“關保條例”)共6章51條,,分別為總則,、關鍵信息基礎設施認定、運營者責任義務,、保障和促進,、法律責任、附則等6章組成,。
今天我們一起回顧的是《網(wǎng)絡安全法》中的關鍵信息基礎設施安全保護內(nèi)容:
第三十一條國家對公共通信和信息服務,、能源、交通,、水利,、金融、公共服務,、電子政務等重要行業(yè)和領域,以及其他一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,,可能嚴重危害國家安全,、國計民生、公共利益的關鍵信息基礎設施,,在網(wǎng)絡安全等級保護制度的基礎上,,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定,。
國家鼓勵關鍵信息基礎設施以外的網(wǎng)絡運營者自愿參與關鍵信息基礎設施保護體系,。
本條規(guī)定了關鍵信息基礎設施保護,以及與網(wǎng)絡安全等級保護制度的關系,。
網(wǎng)絡安全法根據(jù)我國實踐需要,,并借鑒一些國家的經(jīng)驗,對關鍵信息基礎設施保護制度作了規(guī)定,。根據(jù)本條規(guī)定,,關鍵信息基礎設施是指那些一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露將對國家安全,、國計民生,、公共利益造成重大影響的重要網(wǎng)絡設施和系統(tǒng)。本條列舉了公共通信和信息服務,、能源,、交通、水利,、金融,、公共服務、電子政務等7個領域,,但不限于這些領域,,其具體范圍將由國務院制定具體辦法予以確定。
隨著信息技術的廣泛應用,,能源,、利、金融等國民經(jīng)濟重要行業(yè),,供電,、供水、教育,、醫(yī)療衛(wèi)生等關系民生的公共服務領域,,以及國家對經(jīng)濟社會事務的管理等,都高度依賴于網(wǎng)絡,。這些行業(yè)和領域的重要網(wǎng)絡系統(tǒng)一旦喪失功能,、通到破壞,將給國家安全,、公共安全,、民生福祉造成不可估量的危害,。世界范圍內(nèi)針對關鍵信息基礎設施的攻擊活動頻繁發(fā)生并造成嚴重破壞,如早期伊朗核設施遭受“震網(wǎng)”病毒攻擊被破壞,、烏克蘭電網(wǎng)因受網(wǎng)絡攻擊致使境內(nèi)三分之一的地區(qū)持續(xù)斷電,、美國域名解析服務器因網(wǎng)絡攻擊導致眾多網(wǎng)絡無法訪問等,今年比較突出的是美國油氣管道被攻擊,,造成美國東海岸45%的油氣供應中斷,。
另外,國家鼓勵參與關鍵信息基礎設施保護體系,,有利于參與者參考關鍵信息基礎設施保護的相關要求加強自身網(wǎng)絡系統(tǒng)的安全保護,,并通過共享安全信息、交流保護經(jīng)驗獲取最佳的保護方案,,不斷完善和改進網(wǎng)絡安全保護相關措施,,提升其網(wǎng)絡安全保護水平。同時,,通過自愿參與機制,,可以使更多的網(wǎng)絡運營者參與到網(wǎng)絡風險應對、處置的過程中,,不斷擴大網(wǎng)絡安全風險的感知范圍,,有利于提高網(wǎng)絡安全整體態(tài)勢的感知能力以及網(wǎng)絡安全事件處置的協(xié)同配合能力。
我國網(wǎng)絡安全保障和防護仍處于較低水平,,不僅體現(xiàn)在硬件上,,也體現(xiàn)在軟件上,更體現(xiàn)在安全意識和安全標準上,;網(wǎng)絡屬非傳統(tǒng)領域,,這方面的風險與威脅更具有殺傷力和破壞性,必須引起我們高度重視,;我國關鍵信息基礎設施防控還比較薄弱,,各部門必須守土盡責,密切配合,,完善預案,,積極應對,切實強化國家關鍵信息基礎設施防護,,確保整個網(wǎng)絡安全,;堅決改變只重技術不重安全的做法,加快構建關鍵信息基礎設施安全保障體系,,實現(xiàn)全天候全方位感知和有效防護,。
第三十二條按照國務院規(guī)定的職責分工,負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業(yè),、本領域的關鍵信息基礎設施安全規(guī)劃,,指導和監(jiān)督關鍵信息基礎設施運行安全保護工作,。
本條規(guī)定了負責關鍵信息基礎設施安全保護工作的部門組織開展關鍵信息基礎設施安全保護,、監(jiān)督和指導等工作,。
本條同時規(guī)定了負責關鍵信息基礎設施安全保護工作的部門的兩項主要職責:一是負責編制并組織實施本行業(yè)、本領域的關鍵信息基礎設施安全規(guī)劃,;二是指導和監(jiān)督關鍵信息基礎設施運行安全保護工作,。
第三十三條建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能,,并保證安全技術措施同步規(guī)劃,、同步建設、同步使用,。
本條規(guī)定了關鍵信息基礎設施的功能性能要求和“三同步”要求,。關鍵信息基礎設施承載重要產(chǎn)品和服務的供給,對國家安全,、公共利益,、國計民生有重大影響,法律對關鍵信息基礎設施及其業(yè)務的穩(wěn)定,、持續(xù)運行提出了更高要求,。如銀行等金融交易需要全天候交易,支持這些交易的網(wǎng)絡系統(tǒng)也必須每天24小時不間斷運行,,一旦因系統(tǒng)處理能力不足或故障,,造成服務中斷,將產(chǎn)生重大損失,,甚至會影響金融系統(tǒng)穩(wěn)定,。因此,在建設環(huán)節(jié)就應當確保關鍵信息基礎設施具有支持業(yè)務穩(wěn)定,、持續(xù)運行的性能,。
關鍵信息基礎設施的運營者應當根據(jù)本行業(yè)、本系統(tǒng)相關業(yè)務運行特點和發(fā)展趨勢,,在建設階段對其信息系統(tǒng)應達到的性能進行充分研究論證,,合理規(guī)劃設計系統(tǒng)架構,采用必要的設備和措施,,確保關鍵信息基礎設施具有支持其業(yè)務持續(xù),、穩(wěn)定運行的性能。
在關鍵信息基礎設施設計,、施工,、投入使用階段做好網(wǎng)絡安全技術防護,對于防范網(wǎng)絡安全風險,、減少網(wǎng)絡安全事件的發(fā)生具有重要意義,。據(jù)此,,本條要求保障關鍵信息基礎設施運行安全的技術措施,應當與關鍵信息基礎設施的主體工程同步規(guī)劃,、同步建設,、同步使用,通常被稱為“三同時”制度,。
關鍵信息基礎設施安全技術措施“三同時”應當達到以下要求:一是,,建設項目的設計單位在編制項目設計文件時,應當按照規(guī)定編制安全技術措施的設計文件,;二是,,關鍵信息基礎設施的運營者在編制建設項目投資計劃時,應當將安全技術措施所需投資一并納人預算,;三是,,關鍵信息基礎設施的運營者應當要求施工單位嚴格按照安全技術措施的設計要求施工;四是,,在建設項目驗收時,,應當對安全技術措施進行調(diào)試、檢測和驗收,;五是,,安全技術措施應當與主體工程同時投入使用。
第三十四條除本法第二十一條的規(guī)定外,,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:
?。ㄒ唬┰O置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查,;
?。ǘ┒ㄆ趯臉I(yè)人員進行網(wǎng)絡安全教育、技術培訓和技能考核,;
?。ㄈχ匾到y(tǒng)和數(shù)據(jù)庫進行容災備份;
?。ㄋ模┲贫ňW(wǎng)絡安全事件應急預案,,并定期進行演練;
?。ㄎ澹┓?、行政法規(guī)規(guī)定的其他義務。
本條規(guī)定了關鍵信息基礎設施運營者應落實的重點措施,。關鍵信息基礎設施運營者除落實本法第二十一條規(guī)定的措施外,,還要落實幾項重點措施。
關鍵信息基礎設施的運營者除履行本法第二十一條規(guī)定的安全保護義務外,還應當按照本條規(guī)定,,采取相應的措施,,加強關鍵信息基礎設施的網(wǎng)絡安全保護。
一是應當完善網(wǎng)絡安全管理體系,,設置專門安全管理機構和安全管理負責人,。安全管理機構和安全管理負責人主要負責組織制定本單位網(wǎng)絡安全保護方案和管理制度,對安全管理工作進行協(xié)調(diào),、指導和監(jiān)督,,以加強對關鍵信息基礎設施網(wǎng)絡安全保護工作的領導和統(tǒng)一管理,,確保各項安全措施的落實,。同時,關鍵信息基礎設施的運營者還應當對安全管理負責人和具有較高權限,、能夠接觸到敏感信息的關鍵崗位的人員進行安全背景審查,,以確定其從事網(wǎng)絡安全管理和關鍵崗位業(yè)務的可靠性。
二是應當采取多種方式,,定期對從業(yè)人員進行網(wǎng)絡安全教育,、技術培訓和技能考核,提高從業(yè)人員的網(wǎng)絡安全意識和網(wǎng)絡安全技術技能,。
三是應當對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份,,以保證關鍵信息基礎設施因網(wǎng)絡攻擊、自然災害,、故障等原因業(yè)務受到影響或者停止運行時,,確保備份系統(tǒng)能夠替代主系統(tǒng)運行,保證其業(yè)務正常進行,,數(shù)據(jù)不會丟失,。
四是制定網(wǎng)絡安全事件應急預案,并定期進行演練,,以提高應急工作人員的能力,,檢驗應急預案的有效性。
此外,,本條規(guī)定了關鍵信息基礎設施運營者在網(wǎng)絡安全保護方面的主要義務,,關鍵信息基礎設脆的運營者還應當履行其他相關法律、行政法規(guī)規(guī)定的網(wǎng)絡安全保護義務,。
第三十五條關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務,,可能影響國家安全的,應當通過國家網(wǎng)信部門會同國務院有關部門組織的國家安全審查,。
本條規(guī)定了非常態(tài)的網(wǎng)絡產(chǎn)品和服務的國家安全審查機制,。
為了防止關鍵信息基礎設施因使用的產(chǎn)品和服務存在安全缺陷或其他隱患而受到攻擊、破壞,或者其存儲,、處理的數(shù)據(jù)資源被竊取,、泄露從而危害國家安全,網(wǎng)絡安全法依據(jù)世界貿(mào)易組織國家安全例外原則,,對關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品或者服務的國家安全審查作了規(guī)定,,這也是落實2015年全國人大常委會通過的國家安全法確立的國家安全審查制度的規(guī)定。這一制度不同于本法第二十三條規(guī)定的網(wǎng)絡關鍵設備和安全專用產(chǎn)品的安全認證和安全檢測,,本條規(guī)定的國家安全審査只在可能影響國家安全的特殊情形下才啟動,,在對產(chǎn)品和服務的安全性進行審查的同時,還需要對影響國家安全的其他因素進行審查,。國家網(wǎng)信部門應當根據(jù)本條規(guī)定,,會同國務院有關部門制定具體審查辦法,明確審查的條件,、機制,、程序等規(guī)則。
第三十六條關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務,,應當按照規(guī)定與提供者簽訂安全保密協(xié)議,,明確安全和保密義務與責任。
本條規(guī)定了關鍵信息基礎設施運營者,、服務商在采購網(wǎng)絡產(chǎn)品和服務時的安全責任和義務,,防范外包服務安全,關注供應鏈安全,。
建設,、維護關鍵信息基礎設施,必然要向供應商采購相關產(chǎn)品和服務,,產(chǎn)品和服務的供應鏈風險是關鍵信息基礎設施面臨的主要安全風險之一,。本條在實踐做法的基礎上,要求關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務時,,應當按照有關規(guī)定與提供者簽訂安全保密協(xié)議,,明確安全和保密義務與責任。一是,,關鍵信息基礎設施的運營者應當加強資質資信審查,,慎重選擇網(wǎng)絡產(chǎn)品和服務的供應商;二是,,應當按照規(guī)定與供應商簽訂保密協(xié)議,,明確供應商的安全義務、保密義務及不履行義務應承擔的責任,;三是,,應當監(jiān)督供應商進行設備安裝,、測試、檢測,、維修,、安全維護等各方面的活動,留存操作記錄,,保證供應商按照協(xié)議的規(guī)定履行安全和保密義務,。
第三十七條關鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要,,確需向境外提供的,,應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估;法律,、行政法規(guī)另有規(guī)定的,,依照其規(guī)定。
本條規(guī)定了對關鍵信息基礎設施運營者的數(shù)據(jù)留存和提供的要求,。
隨著經(jīng)濟社會生活的日漸數(shù)字化,,社會公共服務以及國家對經(jīng)濟社會事務的管理等都高度依賴關鍵信息基礎設施,這也使關鍵信息基礎設施匯集了大量的個人信息和涉及國家安全,、經(jīng)濟安全的重要數(shù)據(jù)。這些重要數(shù)據(jù)如果轉移至境外,,關鍵信息基礎設施的運營者對其控制力必將減弱,,其安全風險將增加;同時我國境內(nèi)的個人要維護其個人信息權利,,有關機關依法行使職權需要查閱,、調(diào)取、處置這些數(shù)據(jù)必將增加難度,。
為了保護關鍵信息基礎設施存儲的個人信息和重要數(shù)據(jù)的安全,,本條要求關鍵信息基礎設施的運營者將在我國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)在我國境內(nèi)存儲。同時,,本條考慮了關鍵信息基礎設施運營者跨境業(yè)務的需要和網(wǎng)絡服務的特點,,規(guī)定因業(yè)務需要經(jīng)過安全評估可以向境外這些數(shù)據(jù),此項評估是為了監(jiān)督并保證對這些數(shù)據(jù)的保護符合我國的安全要求和標準,。本條還考慮到某些國際執(zhí)法合作等需要,,明確法律、行政法規(guī)可以作出特別的規(guī)定,。根據(jù)本條規(guī)定,,國家網(wǎng)信部門應當會同國務院有關部門制定關鍵信息基礎設施數(shù)據(jù)對外提供的安全評估辦法,以實施這一制度,。
第三十八條關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估,,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
本條規(guī)定了關鍵信息基礎設施運營者開展安全檢測評估的規(guī)定。安全檢測評估活動主要包括等級測評,、風險評估,、滲透測試等第三方檢測機構的技術服務活動。關鍵信息基礎設施運營者開展檢測評估,,分為兩種方式,。一種方式是自行檢測評估,利用自己的技術力量開展,,屬于自評估性質,;另一種方式是委托網(wǎng)絡安全服務機構開展評估,是按照國家有關要求實施,。對于后一種方式,,關鍵信息基礎設施運營者要按照國家網(wǎng)絡安全等級保護制度要求,聘請符合有關要求的第三方測評機構,,對第三級以上網(wǎng)絡系統(tǒng),,每年應開展一次等級測評、風險評估工作,。這兩種方式不能混淆,,不能相互替代,都要開展,。
2014年8月1日,,浙江溫州有線數(shù)字電視網(wǎng)被黑客攻擊,影響50萬用戶,、30萬臺機頂盒,電視屏幕上出現(xiàn)大量違法信息和圖片,,造成了嚴重的政治影響,。案發(fā)原因是有線數(shù)字電視網(wǎng)與互聯(lián)網(wǎng)非法連接,說明網(wǎng)絡運營者網(wǎng)絡安全管理不規(guī)范,,既缺乏監(jiān)測手段,,也沒有及時開展安全檢測并及時發(fā)現(xiàn)非法外聯(lián)。
第三十九條國家網(wǎng)信部門應當統(tǒng)籌協(xié)調(diào)有關部門對關鍵信息基礎設施的安全保護采取下列措施:
?。ㄒ唬﹃P鍵信息基礎設施的安全風險進行抽查檢測,,提出改進措施,必要時可以委托網(wǎng)絡安全服務機構對網(wǎng)絡存在的安全風險進行檢測評估,;
?。ǘ┒ㄆ诮M織關鍵信息基礎設施的運營者進行網(wǎng)絡安全應急演練,提高應對網(wǎng)絡安全事件的水平和協(xié)同配合能力,;
?。ㄈ┐龠M有關部門,、關鍵信息基礎設施的運營者以及有關研究機構、網(wǎng)絡安全服務機構等之間的網(wǎng)絡安全信息共享,;
?。ㄋ模W(wǎng)絡安全事件的應急處置與網(wǎng)絡功能的恢復等,提供技術支持和協(xié)助,。
本條規(guī)定了關鍵信息基礎設施保護中應當統(tǒng)籌協(xié)調(diào)采取的措施,。關鍵信息基礎設施涉及的范圍較廣,面臨的安全風險和威脅來自多個方面,,有必要在關鍵信息基礎設施運營者和有關主管部門承擔安全保護工作的基礎上,,建立統(tǒng)籌協(xié)作機制,發(fā)揮各方作用,,共同應對這些風險和威脅,。統(tǒng)籌協(xié)作是關鍵信息基礎設施保護制度的核心。
國家網(wǎng)信部門應當統(tǒng)籌協(xié)調(diào)有關部門積極支持,,網(wǎng)絡安全職能部門,、行業(yè)主管部門、信息安全企業(yè)等充分發(fā)揮作用,,形成合力,,支持關鍵信息基礎設施運營者對關鍵信息基礎設施的安全保護采取安全監(jiān)測、通報預警,、態(tài)勢感知,、風險評估、應急演練,、信息共享、應急處置等措施,,建立關鍵信息基礎設施綜合防御體系,,提高綜合防御能力。
在網(wǎng)絡安全等級保護制度的基礎上,,實行重點保護,。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。在此我們應該明確一點,,即使你的系統(tǒng)安全水平高過等級保護對應等級,,也就是即使你加強了防護,等級保護工作還是要做的,,因為關鍵基礎設施的保護是在等級保護的基礎上進行的,滿足等級保護是基本安全要求也是前提,,特殊的地方需要安全加固,,增強保護也是理所當然的,。在滿足前提的條件下,只能高于等級保護的要求,,不能低于等級保護的要求的,。
國家關鍵信息基礎設施的保護,離不開等級保護的這個基本國策的支撐,。如何把國家關鍵信息基礎設施的信息系統(tǒng)的網(wǎng)絡安全等級保護做好,是擺在我們測評機構與國家關鍵信息基礎設施運營者面前的一個挑戰(zhàn),,我們將以我們在等級保護方面的專業(yè)知識,,服務于廣大的客戶,做好基礎安全防護,。進而在等級保護工作的基礎上服務國家關鍵信息基礎設施運營者,讓我們攜手未來,,共同構建我國網(wǎng)絡安全的偉大藍圖,,你我都是國家網(wǎng)絡安全前進的一份子。
網(wǎng)絡安全為人民,,網(wǎng)絡安全靠人民,!有你、有我,、有他,,有大家。
