没有网络安全就没有国家安全,在日益严峻的网络安全形势下,保障关键信息基础设施安全至关重要。关键信息不仅关系着我国的网络安全和国家安全,也是经济社会稳定发展的基石。近日,国务院正式公布《关键信息基础设施安全保护条例》(以下简称为“《关保条例》”),国源天顺将从六方面展开条例内容,一起来学习下吧:
一、When 条例生效时间
2021年8月17日,《关键信息基础设施安全保护条例》正式公布,并将与《数据安全法》和《网络产品安全漏洞管理规定》自2021年9月1日起正式施行。
二、What 条例内容
为了保障关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》,制定《关保条例》,明晰关键信息基础设施的监管机构及角色分工、认定的考虑因素、认定流程,以及关键信息基础设施运营者的安全保护义务及对关键信息基础设施实施漏洞探测、渗透性测试需经主管部门审批的要求、运营者授权等方面。关键信息基础设施安全保护坚持综合协调、分工负责,强化和落实关键信息基础设施运营者主体责任,充分发挥政府及社会各方面的作用。
三、Why 出台条例的原因
《条例》出台原因可从国家与运营者两个层面解析。
从国家层面来说,《条例》的出台是国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来自国内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动,保证任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。
从运营者层面来说,《条例》出台后,运营者可依法依规开展关键信息基础设施保护工作,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
四、Where 条例覆盖范围
《条例》保护对象为整体关键信息基础设施,覆盖范围包含公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
网络通信和电力是上述目标的最基础的环境机制,没有上述基础保障,一切保护措施都是空谈,因此优先保障能源、电信等关键信息基础设施安全运行。
五、Who条例涉及的责任方
《条例》对国家网信部门、国务院公安部门、国务院电信主管部门和其他有关部门、省级人民政府有关部门、重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)、关键信息基础设施运营者(以下简称运营者),划定了不同部门应承担的责任。更针对避免行为、鼓励发展以及其他行为划定了措施。
更针对避免行为、鼓励发展以及其他行为划定了措施。
六、How 如何落实条例
《条例》针对安全对应责任的落实做了具体要求,包含强化运营主体责任、细化安全保护要求、强化重点安全保障以及严格法律责任要求,竭力将责任落实到具体主体,将保护细化到具体要求,保障《条例》顺利落实。
1、强化运营主体责任
强调关键信息基础设施运营者在关键信息基础设施安全保护中承担主体责任,并对于运营者自身安全管理机制的设置进行了严格要求。
(1)建立健全网络安全保护制度和责任制,保障人力、财力、物力投入;
(2)强调主要负责人责任,明确运营者的主要负责人对关键信息基础设施的安全保护负责;
(3)设立专门的安全管理机构,具体负责本单位关键信息基础设施的安全保护工作;
(4)对关键岗位人员实施安全背景审查,其中包括运营者专门安全管理机构的负责人及其认定的关键岗位人员;
(5)保障专门安全管理机构运行,为本单位专门安全管理机构提供经费和专业人员保障;
(6)优先采购安全可信的网络产品和服务,规范网络产品和服务采购活动。
2、细化安全保护要求
强化关键信息基础设施的安全保护,在网络安全法的基础上对运营者提出了更高的安全防护要求。
(1)实施规划、建设、使用“三同步”原则
(2)建立健全网络安全管理、评价考核制度
(3)拟订关键信息基础设施安全保护计划
(4)开展网络安全监测、检测和风险评估
(5)建立应急预案、演练和处置体系
(6)认定网络安全关键岗位和考核要求
(7)组织网络安全教育、培训
(8)建立健全个人信息和数据安全保护制度
(9)履行重大安全事件和威胁的报告义务
(10)落实网络安全审查要求
(11)提升监测预警和信息共享
3、强化重点安全保障
一是针对关键信息基础设施实施的漏洞探测、渗透测试等活动,应得到有关的部门批准、运营授权和事先报告。
二是能源、电信行业为金融、水利和交通等行业关键信息基础设施稳定运行提供重要支撑及资源保障。
三是基础电信网络具有基础性、全局性,承载着其他关键信息基础设施,对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。
四是国家将采取措施,优先保障能源、电信等关键信息基础设施安全运行。
4、严格法律责任要求
对国家而言,关键信息基础设施保护是国家网络安全的重大关切。对重要行业而言,关键信息基础设施的安全防护是企业生产经营的底线和红线。通过《条例》可以看到,政策制定的初衷是希望通过政策法规的及时卡位、规范、公正和透明,在顶层设计上给信息化发展提供可操作的安全指南,在安全的前提下促进经济高质量发展。因此,无论是立足国家安全,还是着眼经济发展,我国网络安全产业都处于前所未有的战略机遇期,网络安全企业要抓住千载难逢的机遇,乘势而上,为建设网络强国做出应有的贡献。
国源天顺作为一家面向全国专业从事网络安全服务的科技型公司,是公安部推荐的网络安全等级保护测评机构,主营业务涵盖互联网信息服务;网络安全等级保护测评、安全咨询服务、渗透测试服务、漏洞扫描服务、应急处理服务、技术咨询服务等。国源天顺成立发展至今,一直以推动国家网络空间安全良好发展为己任,致力于为行业同仁提供国内网络安全行业产、学、研、用高水平的信息交流平台,在积极发展业务的同时,始终将 " 网络安全 " 这一重点要求嵌入各服务服务流程中,以期通过不断助力行业网络安全治理水平,为广大网民的网络安全保驾护航,积极响应国家信息安全建设的号召,一起共筑网络安全屏障。
