2021年8月17日,中华人民共和国国务院总理李克强签署国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》)暨国令第745号令。《条例》重点围绕保障关键信息基础设施安全,维护网络安全作出规定,该规定于2021年9月1日起正式施行。
《条例》关键条款解读
一、明确关键信息基础设施的范围
第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
关键信息基础设施的安全事关国家安全、国计民生、公共利益。它是经济社会运行的神经中枢,是网络安全的重中之重。关键信息基础设施安全对于维护国家网络安全、网络空间主权和国家安全,保障经济社会健康发展,维护公共利益和公民合法权益具有重要意义。做好关键信息基础设施的安全工作,不仅是运营者和监管者的责任,也是所有网络安全从业者的责任。
二、建设安全的关键信息基础设施
第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
该条款明确了在进行关键信息基础设施认定工作时,网络安全保护措施必须进行同步考虑,即严格执行同步规划、同步建设、同步使用的“三同步”原则,不允许在认定工作结束后,再进行网络安全建设动作。这标志着国家关键信息基础设施的运营者必须将网络安全建设与业务体系建设放到同等重要程度,不能再出现“重生产,轻安全”的情况。
第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
关键信息基础设施每年至少要进行一次安全检查和风险评估,如有问题,需及时整改,并报告保护部门。发生严重网络安全威胁的,保护工作部门应当及时向国家网络安全和公安部门报告。
第十九条 运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
运营者在对关键信息基础设施进行网络安全防护时,所购买的网络安全产品和服务需要安全可信,具有自主知识产权并具有相应的销售许可,不得影响国家安全。这与该国近年来一直在推动的战略是一致的。
普一科技就关键信息基础设施建设网络安全防护体系
广西普一科技有限公司基于多年安全技术研究和业务安全攻防实践经验,结合国家关键信息基础设施的业务特点,构建动态防御、主动防御、纵深防御、精准防护、全面防控、企业联防联控的网络安全防御体系。实现重点防护,提升动态主动防御能力,以国家关键信息基础设施为根基,做出实战化、系统化、常态化安全保障能力,以应对国家级的网络攻击。
企业要落实主体责任,通过建立安全防护体系、设立专门管理机构、加强网络安全意识教育等方式,切实保障相关资金落实,建立网络安全保障体系。定期开展网络安全检查和风险评估,重大安全事件及时向有关部门报告。
我们必须从网络安全的角度出发,包括内外网络安全、虚拟化安全、云原生安全等都是关键信息基础设施安全防护的范畴。业务数据的多副本机制、本地保护策略、异地备份恢复机制都应该是企业上云的先决条件。
同时,服务提供者还应积极遵守《条例》和《网络安全法》等法律法规,承担安全合规义务和责任,积极拥抱网络安全监管,规避合规风险,依靠创新技术不断提升网络安全防御体系为政企用户搭建云安全屏障。