《关键信息基础设施安全保护条例》解读
发布时间 2021-09-292021年8月17日,国务院第745号令《关键信息基础设施安全保护条例》(以下简称《条例》)公布,并将于9月1日起施行。《条例》对关键信息基础设施运营者提出了一系列安全要求,属于法定义务,受到业界各方密切关注。《条例》的内容明确了定义和认定程序,确定了各部门的职责和分工,细化了责任主体的义务和要求,以及对违反条例的惩罚措施,本文将围绕《条例》指出的保护部门定级思路、运营主体工作义务等几个关键点进行解读。
第一条
为了保障关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》,制定本条例。
l 解读:
《中华人民共和国网络安全法》是网络空间安全的基础法律,其中提到了三个核心保护制度: 网络安全等级保护制度、用户信息保护制度、关键信息基础设施保护制度。网络安全等级保护制度和关键信息基础设施保护制度是网络安全法的两个重要组成部分,不可分割。关键信息基础设施保护制度是在网络安全等级保护制度的基础上,采取技术保护措施和其他必要措施,保障完整性、保密性和可用性。这两个制度同时兼顾了合规性和实用性要求,在网络安全法的支持下,给保护工作提供了法律保障。
第二条
本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
l 解读:
关键信息基础设施的范围划定,属于关系国计民生的行业和领域,一般在等保三级以上。关键信息基础设施范围划定的系统是指垂直的业务系统,仅从业务角度划分,不区分省市级别。依据国家互联网信息办公室发布的《关键信息基础设施确定指南(试行)》来看,关键信息基础设施包括:
网站类, 如县级(含)以上党政机关网站,重点新闻网站或者日均访问超过100万人次的网站等;
平台类,如注册用户数超过 1000 万,或活跃用户(每日至少登陆一次)数超过 100 万,或日均成交订单额或交易额超过 1000 万元的网络服务平台可定为关键信息基础设施;
生产业务类,如地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统,或规模超过 1500 个标准机架的数据中心等。
第八条
本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)。
第九条
保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。
l 解读:
关键信息基础设施保护的流程首先需要由行业主管、监管部门制定认定规则,然后由公安部门整体监管,各行业情况报送公安部备案,最后各运营者落实保护措施,开展安全检测评估工作。
关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
第十二条
安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
l 解读:
重申了在网络安全法提到的安全 “三同步”原则,三同步原则覆盖了信息系统的全生命周期,这一点体现了《条例》中以问题为导向的总体思路,一方面强调了业务系统和安全建设必须同步进行, 杜绝“重业务,轻安全”的现象,另一方面,也要求在运维过程中的持续安全措施的迭代,需要在规划中考虑, 杜绝“重建设,轻运维”的弊端。
第十七条
运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
l 解读:
关键信息基础设施每年至少一次安全检测和评估,这说明 关键信息基础设施至少是等保三级以上的系统。检测评估内容包括但不限于网络安全制度落实情况、组织机构建设情况、人员和经费投入情况、教育培训情况、网络安全等级保护工作落实情况、密码应用安全性评估情况、技术防护情况、云服务安全评估情况、风险评估情况、应急演练情况、攻防演练情况等,尤其关注关键信息基础设施跨系统、跨区域间的信息流动,及其关键业务流动过程中所经资产的安全防护情况。
第十九条
运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
l 解读:
《条例》中提到的安全可信包括了两层含义。 首先是需要有自主知识产权的产品,第二是产品的可信验证的能力。虽然在网络安全等级保护通用要求里面提到过,但是由于只是推荐的条款,在实际执行的时候容易忽视,产品供应商也以此为依据,在该技术领域投入研究不足。《条例》中明确了应“优先”采购,这一点确立了具备可信能力产品的商业优先权。
第二十二条
保护工作部门应当制定本行业、本领域关键信息基础设施安全规划,明确保护目标、基本要求、工作任务、具体措施。
第二十四条
保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。
l 解读:
《条例》创新性的提出以行业为单位进行规划和保护,这一点很接地气,网络安全等级保护推出通用性的标准后,实际上在很多行业都会依据自己的行业特征,制定本行业的网络安全等级保护规范。该条例的推出,行业主管部门以及行业联盟组织机构将要承担更多的管理职能。行业安全监管的内容也很明确,包括监测、状态、预警、态势、通报等内容,技术上对安全能力要求具备跨层级、跨地域的管理和监测能力,管理上要求安全态势与通报制度进行同步对接。
第二十五条
保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。
l 解读:
关键信息基础设施运营者和等保三级以上网络运营者应定期开展应急演练,有效处置网络安全事件,并针对应急演练中发现的突出问题和漏洞隐患,及时整改加固,完善保护措施。行业主管部门、网络运营者应配合公安机关每年组织开展的网络安全监督检查、比武演习等工作,不断提升安全保护能力和对抗能力。
第三十五条
国家采取措施,鼓励网络安全专门人才从事关键信息基础设施安全保护工作;将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。
l 解读:
将培训纳入国家继续教育体系,在安全领域实属首次。网络安全的本质是“人与人的对抗”,安全教育培训体系是提升安全人员的单兵素质的最有效手段。培训体系应包括理论学习、实战演练、综合考核,定期培训,持证上岗,确保安全人员的专业水平能够保持与时俱进。
当前,关键信息基础设施面临的网络安全形势日趋严峻,网络攻击威胁上升,事故隐患易发多发,《条例》的发布,能够加快提升关键信息基础设施安全保护能力。《条例》是继网络安全等级保护之后的又一重大安全保护体系。虽然《条例》已经发布,但是相关支撑的标准体系还未出台,其中最重要的是基础标准《信息安全技术关键信息基础设施安全保护要求》,目前该标准已经通过了送审稿的审查,按程序将进入报批稿阶段,相信随着9月1日的《条例》实施,相关的标准出台也将会提速。