《關鍵信息基礎設施安全保護條例》解讀

發(fā)布時間 2021-09-29

2021年8月17日,國務院第745號令《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)公布,并將于9月1日起施行?!稐l例》對關鍵信息基礎設施運營者提出了一系列安全要求,屬于法定義務,受到業(yè)界各方密切關注?!稐l例》的內(nèi)容明確了定義和認定程序,確定了各部門的職責和分工,細化了責任主體的義務和要求,以及對違反條例的懲罰措施,本文將圍繞《條例》指出的保護部門定級思路、運營主體工作義務等幾個關鍵點進行解讀。

第一條

為了保障關鍵信息基礎設施安全,維護網(wǎng)絡安全,根據(jù)《中華人民共和國網(wǎng)絡安全法》,制定本條例。

l 解讀:

《中華人民共和國網(wǎng)絡安全法》是網(wǎng)絡空間安全的基礎法律,其中提到了三個核心保護制度: 網(wǎng)絡安全等級保護制度、用戶信息保護制度、關鍵信息基礎設施保護制度。網(wǎng)絡安全等級保護制度和關鍵信息基礎設施保護制度是網(wǎng)絡安全法的兩個重要組成部分,不可分割。關鍵信息基礎設施保護制度是在網(wǎng)絡安全等級保護制度的基礎上,采取技術保護措施和其他必要措施,保障完整性、保密性和可用性。這兩個制度同時兼顧了合規(guī)性和實用性要求,在網(wǎng)絡安全法的支持下,給保護工作提供了法律保障。

第二條

本條例所稱關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡設施、信息系統(tǒng)等。

l 解讀:

關鍵信息基礎設施的范圍劃定,屬于關系國計民生的行業(yè)和領域,一般在等保三級以上。關鍵信息基礎設施范圍劃定的系統(tǒng)是指垂直的業(yè)務系統(tǒng),僅從業(yè)務角度劃分,不區(qū)分省市級別。依據(jù)國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《關鍵信息基礎設施確定指南(試行)》來看,關鍵信息基礎設施包括:

網(wǎng)站類, 如縣級(含)以上黨政機關網(wǎng)站,重點新聞網(wǎng)站或者日均訪問超過100萬人次的網(wǎng)站等;

平臺類,如注冊用戶數(shù)超過 1000 萬,或活躍用戶(每日至少登陸一次)數(shù)超過 100 萬,或日均成交訂單額或交易額超過 1000 萬元的網(wǎng)絡服務平臺可定為關鍵信息基礎設施;

生產(chǎn)業(yè)務類,如地市級以上政府機關面向公眾服務的業(yè)務系統(tǒng),或與醫(yī)療、安防、消防、應急指揮、生產(chǎn)調(diào)度、交通指揮等相關的城市管理系統(tǒng),或規(guī)模超過 1500 個標準機架的數(shù)據(jù)中心等。

第八條

本條例第二條涉及的重要行業(yè)和領域的主管部門、監(jiān)督管理部門是負責關鍵信息基礎設施安全保護工作的部門(以下簡稱保護工作部門)。

第九條

保護工作部門結(jié)合本行業(yè)、本領域?qū)嶋H,制定關鍵信息基礎設施認定規(guī)則,并報國務院公安部門備案。

l 解讀:

關鍵信息基礎設施保護的流程首先需要由行業(yè)主管、監(jiān)管部門制定認定規(guī)則,然后由公安部門整體監(jiān)管,各行業(yè)情況報送公安部備案,最后各運營者落實保護措施,開展安全檢測評估工作。

關鍵信息基礎設施的確定,通常包括三個步驟,一是確定關鍵業(yè)務,二是確定支撐關鍵業(yè)務的信息系統(tǒng)或工業(yè)控制系統(tǒng),三是根據(jù)關鍵業(yè)務對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度,以及信息系統(tǒng)發(fā)生網(wǎng)絡安全事件后可能造成的損失認定關鍵信息基礎設施。

第十二條

安全保護措施應當與關鍵信息基礎設施同步規(guī)劃、同步建設、同步使用。

l 解讀:

重申了在網(wǎng)絡安全法提到的安全 “三同步”原則,三同步原則覆蓋了信息系統(tǒng)的全生命周期,這一點體現(xiàn)了《條例》中以問題為導向的總體思路,一方面強調(diào)了業(yè)務系統(tǒng)和安全建設必須同步進行, 杜絕“重業(yè)務,輕安全”的現(xiàn)象,另一方面,也要求在運維過程中的持續(xù)安全措施的迭代,需要在規(guī)劃中考慮, 杜絕“重建設,輕運維”的弊端。

第十七條

運營者應當自行或者委托網(wǎng)絡安全服務機構(gòu)對關鍵信息基礎設施每年至少進行一次網(wǎng)絡安全檢測和風險評估,對發(fā)現(xiàn)的安全問題及時整改,并按照保護工作部門要求報送情況。

l 解讀:

關鍵信息基礎設施每年至少一次安全檢測和評估,這說明 關鍵信息基礎設施至少是等保三級以上的系統(tǒng)。檢測評估內(nèi)容包括但不限于網(wǎng)絡安全制度落實情況、組織機構(gòu)建設情況、人員和經(jīng)費投入情況、教育培訓情況、網(wǎng)絡安全等級保護工作落實情況、密碼應用安全性評估情況、技術防護情況、云服務安全評估情況、風險評估情況、應急演練情況、攻防演練情況等,尤其關注關鍵信息基礎設施跨系統(tǒng)、跨區(qū)域間的信息流動,及其關鍵業(yè)務流動過程中所經(jīng)資產(chǎn)的安全防護情況。

第十九條

運營者應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務;采購網(wǎng)絡產(chǎn)品和服務可能影響國家安全的,應當按照國家網(wǎng)絡安全規(guī)定通過安全審查。

l 解讀:

《條例》中提到的安全可信包括了兩層含義。 首先是需要有自主知識產(chǎn)權(quán)的產(chǎn)品,第二是產(chǎn)品的可信驗證的能力。雖然在網(wǎng)絡安全等級保護通用要求里面提到過,但是由于只是推薦的條款,在實際執(zhí)行的時候容易忽視,產(chǎn)品供應商也以此為依據(jù),在該技術領域投入研究不足?!稐l例》中明確了應“優(yōu)先”采購,這一點確立了具備可信能力產(chǎn)品的商業(yè)優(yōu)先權(quán)。

第二十二條

保護工作部門應當制定本行業(yè)、本領域關鍵信息基礎設施安全規(guī)劃,明確保護目標、基本要求、工作任務、具體措施。

第二十四條

保護工作部門應當建立健全本行業(yè)、本領域的關鍵信息基礎設施網(wǎng)絡安全監(jiān)測預警制度,及時掌握本行業(yè)、本領域關鍵信息基礎設施運行狀況、安全態(tài)勢,預警通報網(wǎng)絡安全威脅和隱患,指導做好安全防范工作。

l 解讀:

《條例》創(chuàng)新性的提出以行業(yè)為單位進行規(guī)劃和保護,這一點很接地氣,網(wǎng)絡安全等級保護推出通用性的標準后,實際上在很多行業(yè)都會依據(jù)自己的行業(yè)特征,制定本行業(yè)的網(wǎng)絡安全等級保護規(guī)范。該條例的推出,行業(yè)主管部門以及行業(yè)聯(lián)盟組織機構(gòu)將要承擔更多的管理職能。行業(yè)安全監(jiān)管的內(nèi)容也很明確,包括監(jiān)測、狀態(tài)、預警、態(tài)勢、通報等內(nèi)容,技術上對安全能力要求具備跨層級、跨地域的管理和監(jiān)測能力,管理上要求安全態(tài)勢與通報制度進行同步對接。

第二十五條

保護工作部門應當按照國家網(wǎng)絡安全事件應急預案的要求,建立健全本行業(yè)、本領域的網(wǎng)絡安全事件應急預案,定期組織應急演練;指導運營者做好網(wǎng)絡安全事件應對處置,并根據(jù)需要組織提供技術支持與協(xié)助。

l 解讀:

關鍵信息基礎設施運營者和等保三級以上網(wǎng)絡運營者應定期開展應急演練,有效處置網(wǎng)絡安全事件,并針對應急演練中發(fā)現(xiàn)的突出問題和漏洞隱患,及時整改加固,完善保護措施。行業(yè)主管部門、網(wǎng)絡運營者應配合公安機關每年組織開展的網(wǎng)絡安全監(jiān)督檢查、比武演習等工作,不斷提升安全保護能力和對抗能力。

第三十五條

國家采取措施,鼓勵網(wǎng)絡安全專門人才從事關鍵信息基礎設施安全保護工作;將運營者安全管理人員、安全技術人員培訓納入國家繼續(xù)教育體系。

l 解讀:

將培訓納入國家繼續(xù)教育體系,在安全領域?qū)崒偈状?。網(wǎng)絡安全的本質(zhì)是“人與人的對抗”,安全教育培訓體系是提升安全人員的單兵素質(zhì)的最有效手段。培訓體系應包括理論學習、實戰(zhàn)演練、綜合考核,定期培訓,持證上崗,確保安全人員的專業(yè)水平能夠保持與時俱進。

當前,關鍵信息基礎設施面臨的網(wǎng)絡安全形勢日趨嚴峻,網(wǎng)絡攻擊威脅上升,事故隱患易發(fā)多發(fā),《條例》的發(fā)布,能夠加快提升關鍵信息基礎設施安全保護能力。《條例》是繼網(wǎng)絡安全等級保護之后的又一重大安全保護體系。雖然《條例》已經(jīng)發(fā)布,但是相關支撐的標準體系還未出臺,其中最重要的是基礎標準《信息安全技術關鍵信息基礎設施安全保護要求》,目前該標準已經(jīng)通過了送審稿的審查,按程序?qū)⑦M入報批稿階段,相信隨著9月1日的《條例》實施,相關的標準出臺也將會提速。