电话热线
服务热线 19195761296
解读《关键信息基础设施安全保护条例》 2021-11-18

据中国政府网站消息,《关键信息基础设施安全保护条例》于2021年4月27日国务院第133次常务会议通过,《条例》于8月17日正式发布,自2021年9月1日起施行。在《网络安全法》框架下,着眼于关键信息基础设施的安全,建立专项保护制度,明确关键信息基础设施的认定原则和程序,巩固关键信息基础设施运营者的义务和责任。对关键信息基础设施的网络安全提出了明确的监管要求。接下来,将围绕《关键信息基础设施安全保护条例》中指出的保护部门的定级思路、经营主体的工作义务等几个重点进行解读。

一、何为关键信息基础设施?

关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

二、为何要实施关键信息基础设施?

2017年施行的《中华人民共和国网络安全法》规定,关键信息基础设施的具体范围和安全保护办法由国务院制定。出台《条例》旨在落实《中华人民共和国网络安全法》有关要求,意味着关键信息基础设施安全标准和建设步入规范化与专业化。将为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。

《关键信息基础设施安全保护条例》发布,国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。

三、关键信息基础设施运营者的义务

《关键信息基础设施安全保护条例》作为规制关键信息基础设施安全的专门法规,明确指出了关键信息基础设施运营者的十多项,属于单位维度的法定义务。同时,也对运营者主要负责人,专门安全管理机构负责人和关键岗位人员、直接负责的主管人员、其他直接责任人员等,指出了个人维度的责任,对违法行为严重者,设立了职业禁入,甚至职业禁止制度。

四、开展网络安全等级保护工作

“关键信息基础设施每年至少一次安全检测和评估”,这说明关键信息基础设施至少是等保三级以上的系统。检测评估内容包括但不限于网络安全制度落实情况、组织机构建设情况、人员和经费投入情况、教育培训情况、网络安全等级保护工作落实情况、密码应用安全性评估情况、技术防护情况、云服务安全评估情况、风险评估情况、应急演练情况、攻防演练情况等。

五、保障和促进关基网络安全防护能力

保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。

针对不同关键信息基础设施所属的行业和领域的差异化特征,建立符合本行业和领域特色的网络安全监测预警制度,掌握关键信息基础设施的安全态势感知和预警通报工作至关重要。