《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》解讀

發(fā)布時間 2021-09-29

2021年8月17日,國務(wù)院第745號令《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡稱《條例》)公布,并將于9月1日起施行?!稐l例》對關(guān)鍵信息基礎(chǔ)設(shè)施運營者提出了一系列安全要求,屬于法定義務(wù),受到業(yè)界各方密切關(guān)注。《條例》的內(nèi)容明確了定義和認(rèn)定程序,確定了各部門的職責(zé)和分工,細(xì)化了責(zé)任主體的義務(wù)和要求,以及對違反條例的懲罰措施,本文將圍繞《條例》指出的保護(hù)部門定級思路、運營主體工作義務(wù)等幾個關(guān)鍵點進(jìn)行解讀。

第一條

為了保障關(guān)鍵信息基礎(chǔ)設(shè)施安全,維護(hù)網(wǎng)絡(luò)安全,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》,制定本條例。

l 解讀:

《中華人民共和國網(wǎng)絡(luò)安全法》是網(wǎng)絡(luò)空間安全的基礎(chǔ)法律,其中提到了三個核心保護(hù)制度: 網(wǎng)絡(luò)安全等級保護(hù)制度、用戶信息保護(hù)制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度。網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度是網(wǎng)絡(luò)安全法的兩個重要組成部分,不可分割。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度是在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,采取技術(shù)保護(hù)措施和其他必要措施,保障完整性、保密性和可用性。這兩個制度同時兼顧了合規(guī)性和實用性要求,在網(wǎng)絡(luò)安全法的支持下,給保護(hù)工作提供了法律保障。

第二條

本條例所稱關(guān)鍵信息基礎(chǔ)設(shè)施,是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

l 解讀:

關(guān)鍵信息基礎(chǔ)設(shè)施的范圍劃定,屬于關(guān)系國計民生的行業(yè)和領(lǐng)域,一般在等保三級以上。關(guān)鍵信息基礎(chǔ)設(shè)施范圍劃定的系統(tǒng)是指垂直的業(yè)務(wù)系統(tǒng),僅從業(yè)務(wù)角度劃分,不區(qū)分省市級別。依據(jù)國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南(試行)》來看,關(guān)鍵信息基礎(chǔ)設(shè)施包括:

網(wǎng)站類, 如縣級(含)以上黨政機(jī)關(guān)網(wǎng)站,重點新聞網(wǎng)站或者日均訪問超過100萬人次的網(wǎng)站等;

平臺類,如注冊用戶數(shù)超過 1000 萬,或活躍用戶(每日至少登陸一次)數(shù)超過 100 萬,或日均成交訂單額或交易額超過 1000 萬元的網(wǎng)絡(luò)服務(wù)平臺可定為關(guān)鍵信息基礎(chǔ)設(shè)施;

生產(chǎn)業(yè)務(wù)類,如地市級以上政府機(jī)關(guān)面向公眾服務(wù)的業(yè)務(wù)系統(tǒng),或與醫(yī)療、安防、消防、應(yīng)急指揮、生產(chǎn)調(diào)度、交通指揮等相關(guān)的城市管理系統(tǒng),或規(guī)模超過 1500 個標(biāo)準(zhǔn)機(jī)架的數(shù)據(jù)中心等。

第八條

本條例第二條涉及的重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門是負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門(以下簡稱保護(hù)工作部門)。

第九條

保護(hù)工作部門結(jié)合本行業(yè)、本領(lǐng)域?qū)嶋H,制定關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則,并報國務(wù)院公安部門備案。

l 解讀:

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的流程首先需要由行業(yè)主管、監(jiān)管部門制定認(rèn)定規(guī)則,然后由公安部門整體監(jiān)管,各行業(yè)情況報送公安部備案,最后各運營者落實保護(hù)措施,開展安全檢測評估工作。

關(guān)鍵信息基礎(chǔ)設(shè)施的確定,通常包括三個步驟,一是確定關(guān)鍵業(yè)務(wù),二是確定支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng),三是根據(jù)關(guān)鍵業(yè)務(wù)對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度,以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事件后可能造成的損失認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施。

第十二條

安全保護(hù)措施應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用。

l 解讀:

重申了在網(wǎng)絡(luò)安全法提到的安全 “三同步”原則,三同步原則覆蓋了信息系統(tǒng)的全生命周期,這一點體現(xiàn)了《條例》中以問題為導(dǎo)向的總體思路,一方面強(qiáng)調(diào)了業(yè)務(wù)系統(tǒng)和安全建設(shè)必須同步進(jìn)行, 杜絕“重業(yè)務(wù),輕安全”的現(xiàn)象,另一方面,也要求在運維過程中的持續(xù)安全措施的迭代,需要在規(guī)劃中考慮, 杜絕“重建設(shè),輕運維”的弊端。

第十七條

運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估,對發(fā)現(xiàn)的安全問題及時整改,并按照保護(hù)工作部門要求報送情況。

l 解讀:

關(guān)鍵信息基礎(chǔ)設(shè)施每年至少一次安全檢測和評估,這說明 關(guān)鍵信息基礎(chǔ)設(shè)施至少是等保三級以上的系統(tǒng)。檢測評估內(nèi)容包括但不限于網(wǎng)絡(luò)安全制度落實情況、組織機(jī)構(gòu)建設(shè)情況、人員和經(jīng)費投入情況、教育培訓(xùn)情況、網(wǎng)絡(luò)安全等級保護(hù)工作落實情況、密碼應(yīng)用安全性評估情況、技術(shù)防護(hù)情況、云服務(wù)安全評估情況、風(fēng)險評估情況、應(yīng)急演練情況、攻防演練情況等,尤其關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施跨系統(tǒng)、跨區(qū)域間的信息流動,及其關(guān)鍵業(yè)務(wù)流動過程中所經(jīng)資產(chǎn)的安全防護(hù)情況。

第十九條

運營者應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù);采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的,應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查。

l 解讀:

《條例》中提到的安全可信包括了兩層含義。 首先是需要有自主知識產(chǎn)權(quán)的產(chǎn)品,第二是產(chǎn)品的可信驗證的能力。雖然在網(wǎng)絡(luò)安全等級保護(hù)通用要求里面提到過,但是由于只是推薦的條款,在實際執(zhí)行的時候容易忽視,產(chǎn)品供應(yīng)商也以此為依據(jù),在該技術(shù)領(lǐng)域投入研究不足。《條例》中明確了應(yīng)“優(yōu)先”采購,這一點確立了具備可信能力產(chǎn)品的商業(yè)優(yōu)先權(quán)。

第二十二條

保護(hù)工作部門應(yīng)當(dāng)制定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃,明確保護(hù)目標(biāo)、基本要求、工作任務(wù)、具體措施。

第二十四條

保護(hù)工作部門應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警制度,及時掌握本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運行狀況、安全態(tài)勢,預(yù)警通報網(wǎng)絡(luò)安全威脅和隱患,指導(dǎo)做好安全防范工作。

l 解讀:

《條例》創(chuàng)新性的提出以行業(yè)為單位進(jìn)行規(guī)劃和保護(hù),這一點很接地氣,網(wǎng)絡(luò)安全等級保護(hù)推出通用性的標(biāo)準(zhǔn)后,實際上在很多行業(yè)都會依據(jù)自己的行業(yè)特征,制定本行業(yè)的網(wǎng)絡(luò)安全等級保護(hù)規(guī)范。該條例的推出,行業(yè)主管部門以及行業(yè)聯(lián)盟組織機(jī)構(gòu)將要承擔(dān)更多的管理職能。行業(yè)安全監(jiān)管的內(nèi)容也很明確,包括監(jiān)測、狀態(tài)、預(yù)警、態(tài)勢、通報等內(nèi)容,技術(shù)上對安全能力要求具備跨層級、跨地域的管理和監(jiān)測能力,管理上要求安全態(tài)勢與通報制度進(jìn)行同步對接。

第二十五條

保護(hù)工作部門應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的要求,建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,定期組織應(yīng)急演練;指導(dǎo)運營者做好網(wǎng)絡(luò)安全事件應(yīng)對處置,并根據(jù)需要組織提供技術(shù)支持與協(xié)助。

l 解讀:

關(guān)鍵信息基礎(chǔ)設(shè)施運營者和等保三級以上網(wǎng)絡(luò)運營者應(yīng)定期開展應(yīng)急演練,有效處置網(wǎng)絡(luò)安全事件,并針對應(yīng)急演練中發(fā)現(xiàn)的突出問題和漏洞隱患,及時整改加固,完善保護(hù)措施。行業(yè)主管部門、網(wǎng)絡(luò)運營者應(yīng)配合公安機(jī)關(guān)每年組織開展的網(wǎng)絡(luò)安全監(jiān)督檢查、比武演習(xí)等工作,不斷提升安全保護(hù)能力和對抗能力。

第三十五條

國家采取措施,鼓勵網(wǎng)絡(luò)安全專門人才從事關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作;將運營者安全管理人員、安全技術(shù)人員培訓(xùn)納入國家繼續(xù)教育體系。

l 解讀:

將培訓(xùn)納入國家繼續(xù)教育體系,在安全領(lǐng)域?qū)崒偈状?。網(wǎng)絡(luò)安全的本質(zhì)是“人與人的對抗”,安全教育培訓(xùn)體系是提升安全人員的單兵素質(zhì)的最有效手段。培訓(xùn)體系應(yīng)包括理論學(xué)習(xí)、實戰(zhàn)演練、綜合考核,定期培訓(xùn),持證上崗,確保安全人員的專業(yè)水平能夠保持與時俱進(jìn)。

當(dāng)前,關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻,網(wǎng)絡(luò)攻擊威脅上升,事故隱患易發(fā)多發(fā),《條例》的發(fā)布,能夠加快提升關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)能力。《條例》是繼網(wǎng)絡(luò)安全等級保護(hù)之后的又一重大安全保護(hù)體系。雖然《條例》已經(jīng)發(fā)布,但是相關(guān)支撐的標(biāo)準(zhǔn)體系還未出臺,其中最重要的是基礎(chǔ)標(biāo)準(zhǔn)《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》,目前該標(biāo)準(zhǔn)已經(jīng)通過了送審稿的審查,按程序?qū)⑦M(jìn)入報批稿階段,相信隨著9月1日的《條例》實施,相關(guān)的標(biāo)準(zhǔn)出臺也將會提速。