《关键信息基础设施安全保护条例》学习解读

关键信息基础设施安全保护条例 学习解读,主讲人：X X X,时间：202X年X月X日,学习解读,关键信息基础设施安全保护条例已经2021年4月27日国务院第133次常务会议通过，现予公布，自2021年9月1日起施行。条例对关键信息基础设施运营者提出了一系列安全要求，属于法定义务，受到业界各方密切关注。条例的内容明确了定义和认定程序，确定了各部门的职责和分工，细化了责任主体的义务和要求，以及对违反条例的惩罚措施。,前 言,党中央、国务院高度重视关键信息基础设施安全保护工作。关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重。保障关键信息基础设施安全，对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。当前，关键信息基础设施面临的网络安全形势日趋严峻，网络攻击威胁上升，事故隐患易发多发，安全保护工作还存在法规制度不完善、工作基础薄弱、资源力量分散、技术产业支撑不足等突出问题，亟待建立专门制度，明确各方责任，加快提升关键信息基础设施安全保护能力。2017年施行的中华人民共和国网络安全法规定，关键信息基础设施的具体范围和安全保护办法由国务院制定。出台条例旨在落实中华人民共和国网络安全法有关要求，将为我国深入开展关键信息基础设施安全保护工作提供有力的法治保障。,条例出台的背景,总体思路上主要把握了以下三点： 一是坚持问题导向。针对关键信息基础设施安全保护工作实践中的突出问题，细化中华人民共和国网络安全法有关规定，将实践证明成熟有效的做法上升为法律制度，为保护工作提供法治保障。 二是压实责任。坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。 三是做好与相关法律、行政法规的衔接。在中华人民共和国网络安全法确立的制度框架下，细化相关制度措施，同时处理好与相关法律、行政法规的关系。,条例的总体思路,第一章,总则,第二章,关键信息基础设施认定,第三章,运营者责任义务,第四章,保障和促进,第五章,法律责任,第六章,附则,目录,学习解读,第 一 章,总 则,学习解读,为了保障关键信息基础设施安全，维护网络安全，根据中华人民共和国网络安全法，制定本条例。,中华人民共和国网络安全法是网络空间安全的基础法律，其中提到了三个核心保护制度：网络安全等级保护制度、用户信息保护制度、关键信息基础设施保护制度。 网络安全等级保护制度和关键信息基础设施保护制度是网络安全法的两个重要组成部分，不可分割。关键信息基础设施保护制度是在网络安全等级保护制度的基础上，采取技术保护措施和其他必要措施，保障完整性、保密性和可用性。这两个制度同时兼顾了合规性和实用性要求，在网络安全法的支持下，给保护工作提供了法律保障。,本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。,关键信息基础设施的范围划定，属于关系国计民生的行业和领域，一般在等保三级以上。关键信息基础设施范围划定的系统是指垂直的业务系统，仅从业务角度划分，不区分省市级别。依据国家互联网信息办公室发布的关键信息基础设施确定指南（试行）来看，关键信息基础设施包括： 网站类：如县级（含）以上党政机关网站，重点新闻网站或者日均访问超过100万人次的网站等； 平台类：如注册用户数超过1000万，或活跃用户（每日至少登陆一次）数超过100万，或日均成交订单额或交易额超过1000万元的网络服务平台可定为关键信息基础设施； 生产业务类：如地市级以上政府机关面向公众服务的业务系统，或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统，或规模超过1500个标准机架的数据中心等。,在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。 省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。,关键信息基础设施安全保护坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者（以下简称运营者）主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。,国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动。 任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全。,运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。,对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人，按照国家有关规定给予表彰。,第 二 章,关键信息基础设施认定,学习解读,本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门（以下简称保护工作部门）。,护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。 制定认定规则应当主要考虑下列因素： （一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度； （二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度； （三）对其他行业和领域的关联性影响。,关键信息基础设施保护的流程首先需要由行业主管、监管部门制定认定规则，然后由公安部门整体监管，各行业情况报送公安部备案，最后各运营者落实保护措施，开展安全检测评估工作。 关键信息基础设施的确定，通常包括三个步骤： 一是确定关键业务； 二是确定支撑关键业务的信息系统或工业控制系统； 三是根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。,保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。,关键信息基础设施发生较大变化，可能影响其认定结果的，运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定，将认定结果通知运营者，并通报国务院公安部门。,第 三 章,运营者责任义务,学习解读,安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。,重申了在网络安全法提到的安全 “三同步”原则，三同步原则覆盖了信息系统的全生命周期，这一点体现了条例中以问题为导向的总体思路，一方面，强调了业务系统和安全建设必须同步进行， 杜绝“重业务，轻安全”的现象；另一方面，也要求在运维过程中的持续安全措施的迭代，需要在规划中考虑， 杜绝“重建设，轻运维”的弊端。,运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。,运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时，公安机关、国家安全机关应当予以协助。,专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责： （一）建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划； （二）组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估； （三）按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件； （四）认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议； （五）组织网络安全教育、培训； （六）履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度； （七）对关键信息基础设施设计、建设、运行、维护等服务实施安全管理； （八）按照规定报告网络安全事件和重要事项。,运营者应当保障专门安全管理机构的运行经费、配备相应的人员，开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。,运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。,关键信息基础设施每年至少一次安全检测和评估，这说明关键信息基础设施至少是等保三级以上的系统。检测评估内容包括但不限于网络安全制度落实情况、组织机构建设情况、人员和经费投入情况、教育培训情况、网络安全等级保护工作落实情况、密码应用安全性评估情况、技术防护情况、云服务安全评估情况、风险评估情况、应急演练情况、攻防演练情况等，尤其关注关键信息基础设施跨系统、跨区域间的信息流动，及其关键业务流动过程中所经资产的安全防护情况。,关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当按照有关规定向保护工作部门、公安机关报告。 发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时，保护工作部门应当在收到报告后，及时向国家网信部门、国务院公安部门报告。,运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。,条例中提到的安全可信包括了两层含义。首先是需要有自主知识产权的产品，第二是产品的可信验证的能力。虽然在网络安全等级保护通用要求里面提到过，但是由于只是推荐的条款，在实际执行的时候容易忽视，产品供应商也以此为依据，在该技术领域投入研究不足。条例中明确了应“优先”采购，这一点确立了具备可信能力产品的商业优先权。,运营者采购网络产品和服务，应当按照国家有关规定与网络产品和服务提供者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督。,运营者发生合并、分立、解散等情况，应当及时报告保护工作部门，并按照保护工作部门的要求对关键信息基础设施进行处置，确保安全。,第 四 章,保障和促进,学习解读,保护工作部门应当制定本行业、本领域关键信息基础设施安全规划，明确保护目标、基本要求、工作任务、具体措施。,国家网信部门统筹协调有关部门建立网络安全信息共享机制，及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息，促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。,保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度，及时掌握本行业、本领域关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作。,条例创新性的提出以行业为单位进行规划和保护，这一点很接地气，网络安全等级保护推出通用性的标准后，实际上在很多行业都会依据自己的行业特征，制定本行业的网络安全等级保护规范。该条例的推出，行业主管部门以及行业联盟组织机构将要承担更多的管理职能。行业安全监管的内容也很明确，包括监测、状态、预警、态势、通报等内容，技术上对安全能力要求具备跨层级、跨地域的管理和监测能力，管理上要求安全态势与通报制度进行同步对接。,保护工作部门应当按照国家网络安全事件应急预案的要求，建立健全本行业、本领域的网络安全事件应急预案，定期组织应急演练；指导运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助。,关键信息基础设施运营者和等保三级以上网络运营者应定期开展应急演练，有效处置网络安全事件，并针对应急演练中