工业和信息化部主管 中国电子报社主办
收藏本站投稿

政策解读

我国关键信息基础设施安全保护进入新阶段 ——《关键信息基础设施安全保护条例》解读

2021年4月27日,国务院正式通过了《关键信息基础设施安全保护条例》(以下简称《条例》),并于9月1日起施行。这是我国首部专门针对关键信息技术设施安全保护工作的行政法规,同时也是《中华人民共和国网络安全法》的重要配套法规。《关键信息基础设施安全保护条例》对关键信息基础设施(“CII”)的范围、各监管部门的职责、运营者的安全保护义务以及安全检测评估制度提出了更加具体、操作性也更强的要求,为开展关键信息基础设施的安全保护工作提供了重要的法律支撑。《条例》出台的背景及必要性是什么?对于运营者来说如何才能做到合规?

《条例》的出台必要而迫切

关键信息基础设施涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。当前迫切需要加强关键信息基础设施安全保护力度。

一是关键信息基础设施关乎国家安全和社会稳定。随着信息化的快速普及和发展,关键信息基础设施作为事关国家安全和社会稳定的重要战略资源的地位日益凸显。首先,互联网的飞速发展,使得网络入侵和网络攻击事件频发,严重威胁着关键信息基础设施的正常运转,给国家安全带来极大隐患。其次,关键信息基础设施是恐怖主义和网络攻击的重点对象,各国均将视为网络安全的重点并上升到国家安全的高度。通常认为,关键基础设施或关键信息基础设施是支撑国家安全和公共利益的重要基础设施。同时,国家间的网络战争威胁日益加剧。信息技术的快速发展极大地开拓了互联网络平台,网络攻击不再仅仅依附于传统的常规战争而存在,已经拓展和波及所有与网络相关的事件和人员,通过技术手段破坏关键信息基础设施从而导致政府机构、通信瘫痪、基础设施停摆等已然成为网络战争的重要手段。基于此,为了更好地应对各种形式的网络攻击,维护国家安全和社会稳定,应加强对关键信息基础设施的保护。

二是加强关键信息基础设施保护是社会持续运转的重要保障。关键信息基础设施为国家机构、各行业正常运转提供必需的支撑和服务。关键信息基础设施是承载或支撑着各行业的关键核心业务,是政府部门、各重要行业正常运转不可或缺的基础设施。其次,关键信息基础设施是行业运转体系中被强依赖的关键节点,它所承载的业务对其他部门或行业核心业务有较大关联性影响。对这类关键信息基础设施的攻击所产生的破坏,通过关联的行业、领域逐渐传递,会造成连锁连片的严重后果。因此,社会的持续运转需要大力加强对关键信息基础设施的保护。

三是对关键信息基础设施进行法律保护是顺应国际形势的必要举措。目前各个国家均已建立关键基础设施保护的相关制度,美、德、英、日等国家通过出台和发布政策、法律、标准等多种措施,构建了国家关键信息基础设施保护体系。各国通过发布或升级监管框架、出台指南、完善机构设置等方式进一步推动关键信息基础设施的安全防护工作落地和具体化,提升工业信息安全防护水平。而针对新一代信息技术的应用可能面临的信息安全风险,也已有一些国家做出了相关的尝试,如英国政府致力于保护关键基础设施免受针对计算机或通信系统的电子攻击威胁,并建立了由国务大臣负责的国家基础设施保护中心为核心,各基础设施部门具体实施相关职责的关键基础设施保护管理体系。因此,为了提升我国关键信息基础设施防护水平,加强监管,防止安全事件发生,我国须加快对关键信息基础设施相关法律法规细则进行研究制定工作。

四是加强关键信息基础设施保护对于公民福祉的保障意义重大。加强关键信息基础设施保护的根本是对公民福祉、公民利益的保护。关键信息基础设施运行过程中存储或传输的信息数据大量集中或极其敏感,其中供水、供电、医疗卫生、社会保障等公共服务领域的信息系统、政务网络及网络服务提供者所有和管理的网络及系统中有大量的公民身份信息、金融信息等,这些信息一旦被恶意收集或利用,必将损害公民的利益。其次,基于其他行业对于关键信息基础设施的依赖性,加强关键信息基础设施的保护,可以使得公民的工作、生活等更加便利。国家安全、社会稳定及社会的持续运转等是公民福祉得以保障的前提,故加强关键信息基础设施建设也关乎公民福祉。


详细规定了运营者的责任和义务

《条例》在总则部分对运营者责任作了原则规定,要求运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。《条例》明确规定了运营者责任义务,主要包括:

一是建立健全网络安全保护制度和责任制,实行“一把手负责制”,明确运营者主要负责人负总责,保障人财物投入。

二是设置专门安全管理机构,履行安全保护职责,参与本单位与网络安全和信息化有关的决策,并对机构负责人和关键岗位人员进行安全背景审查。

三是对关键信息基础设施每年进行网络安全检测和风险评估,及时整改问题并按要求向保护工作部门报送情况。

四是关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,按规定向保护工作部门、公安机关报告。五是优先采购安全可信的网络产品和服务,并与提供者签订安全保密协议;可能影响国家安全的,应当按规定通过安全审查。与《网络安全法》相比,《条例》进一步明确了运营者责任义务,更具有可操作性。

便于运营者贯彻落实


总体来说,《条例》对运营者的要求更为明确和具体,便于运营者贯彻落实;同时运营者的安全责任也更加清晰,并确定到具体但责人,督促运营者主要负责人真正推动《条例》执行。根据《条例》要求,运营者需要重点做好以下三个方面:

一是落实主体责任,保障相关资金落实,建立网络安全保障体系。第一建立安全保护制度,并保障资金投入。《条例》第十三条指出运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。第二,设置专门管理机构,壮大网络安全队伍,完善关键信息基础设施防护网络安全组织体系。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。第十四条规定运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。第三,加强网络安全意识教育。树立科学正确的网络安全观,常态化开展全员网络安全意识教育培训。

二是高度重视安全保护工作,合规做好系统建设相关工作。第一,保障相关资金落实,加强网络安全建设资金的集约化管理与使用,平衡分配网络安全建设投资。《条例》第十二条明确提出,安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。第二,采购的产品和服务应当符合规定,并签订保密协议。第十九条规定运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。第二十条规定运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。

三是定期开展网络安全检测和风险评估,发生重大安全事件应及时报告。第一,应当定期开展网络安全风险评估。第十七条规定运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。第二,发生重大安全事件应当向有关部门报告。第十八条规定关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。

责任编辑:诸玲珍


声明

1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。

相关链接

视频

专题

2021年上半年中国家电市场报告

8月9日,中国电子信息产业发展研究院(又称赛迪研究院)发布了《2021年上半年中国家电市场报告》(以下简称《报告》)。《报告》显示,2021年上半年,我国家电市场加速回暖,零售额达4293亿元,同比增长16.3%;家电消费进一步向线上迁移,电商渠道对家电零售的贡献率达53.65%;家电产品均价普遍提升,高端家电销售热度不减,有效促进了消费升级...

新思想引领新征程·红色足迹

党的十八大以来,习近平总书记在地方考察调研时多次到访革命纪念地,强调要从中国革命历史、优良传统和精神中汲取养分。追寻红色足迹,感悟初心使命。即日起,本报推出“新思想引领新征程·红色足迹”专栏,跟随习近平总书记的红色足迹,访当事人、忆当年事,重温总书记的重要论述和重要指示精神,生动回顾红色圣地光荣的革命历史、优秀的革命传统...

聚焦2021年全国两会

3月5日,第十三届全国人民代表大会第四次会议在北京人民大会堂开幕。党和国家领导人习近平、李克强、汪洋、王沪宁、赵乐际、韩正、王岐山等出席,栗战书主持大会。初春的北京,处处生机盎然。第十三届全国人民代表大会第四次会议5日上午在人民大会堂开幕。近3000名全国人大代表肩负人民重托出席大会,认真履行宪法和法律赋予的神圣职责。

2021年全国工业和信息化工作会议

12月28-29日,全国工业和信息化工作会议在京召开。会议以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,认真落实习近平总书记重要指示批示精神和中央经济工作会议部署,总结2020年工业和信息化工作,分析形势,部署2021年重点工作。工业和信息化部党组书记、部长肖亚庆作工作报告。

世界超高清视频(4K/8K)产业发展大会

会议

2021世界显示产业大会

6月17日,由工业和信息化部、安徽省人民政府共同主办的2021世界显示产业大会在合肥市开幕。安徽省委书记李锦斌出席开幕式并宣布大会开幕,安徽省省长王清宪、上海合作组织秘书长弗拉基米尔·诺罗夫、工业和信息化部副部长王志军出席开幕式并先后致辞。

2021世界超高清视频(4K/8K)产业发展大会

5月8日-10日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2021世界超高清视频(4K/8K)产业发展大会在广州召开。5月9日,广东省委书记李希出席开幕式,工业和信息化部部长肖亚庆、广东省省长马兴瑞、国家广播电视总局副局长孟冬、中央广播电视总台编务会议成员姜文波出席开幕式并致辞。

CITE2021第九届中国电子信息博览会开幕论坛

4月9日,第九届中国电子信息博览会(简称CITE2021)在深圳举办。深圳市人民政府市长陈如桂、广东省人民政府副秘书长陈岸明、工业和信息化部电子信息司司长乔跃山出席开幕式并先后致辞。

2020世界显示产业大会

11月20日,由工业和信息化部、安徽省人民政府共同主办的2020世界显示产业大会在合肥市举行。在开幕式上,工业和信息化部部长肖亚庆、韩国驻华大使张夏成发表视频致辞。安徽省委副书记、省长李国英,工业和信息化部副部长王志军出席开幕式并致辞。

2020世界超高清视频(4K/8K)产业发展大会

11月2日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2020世界超高清视频(4K/8K)产业发展大会在广州市召开。广东省委书记李希出席开幕式,省长马兴瑞出席并致辞。国家广播电视总局局长聂辰席、工业和信息化部副部长王志军、中央广播电视总台副台长蒋希伟出席开幕式并致辞。

2020世界VR产业大会云峰会

10月19日—20日,由工业和信息化部、江西省人民政府主办的2020世界VR产业大会云峰会在南昌举行。在10月19日的开幕式上,中共中央政治局委员、国务院副总理刘鹤发来书面致辞。江西省委常委、南昌市委书记吴晓军,工业和信息化部副部长王志军,江西省委书记、省人大常委会主任刘奇先后致辞。开幕式由江西省委副书记、省长易炼红主持。

世界显示产业大会

本周排行