《关键信息基础设施安全保护条例》解读
《条例》明确规定了关键信息基础设施的范围,并明确了运营者应履行的权利与义务及其负责人应有的职责。同时规定了针对产品和服务的具体要求。对于政府机关及国家行业主管类或监管部门等相关部门单位而言,在能源领域如电力系统,在电信领域如通信网络,在交通领域如物流系统等相关行业中,则有相应的具体规范与要求。这些规范不仅涵盖了基本的安全防护措施还包括完善的信息安全管理体系以确保网络架构的安全性与稳定性。对于国家公安机关而言则另有特定的工作指导方针以确保信息安全与网络安全的整体协调运行。而对于个人而言则需遵守相应的法律法规以保障自身信息安全不受侵害
⼀、安全保护意识的三种思维⽅式
中国互联网协会研究中心致力于构建关键信息基础设施的宏观制度架构,在安全保障角度下进行分类管理:采取动态的、全方位的连接性保障机制。
式保护思维,核⼼⼯作重点保护思维和主体的全⾯责任思维。
1 、动态、全链条式保护思维
《条例》体现了动态全链条式的保护思维,在⼼⽅⾯(一方面)明确规定其制度效力不仅涵盖关键信息基础设施在我国境内进行的规划工作以及建设工作(另一面)。
从配置管理到日常维护及应用层面展开,并涵盖相关安全保护以及相应的监督管理活动;另一方面应注重遵循全面规划与全方位保障的总体思路,并建立相应的协调机制。
职责明确的分工,在国家相关部门指导下,并接受监督进行;通过各方积极参与和共同努力,共同承担保障关键信息基础设施的责任
安全。
2 、核⼼⼯作重点保护思维
《条例》突出了核心工作环节的重点保护思维,并首要明确的是国家、各级政府以及各国家机关在关键信息基础设施安全运行中承担着不可替代的责任。
全 ⯰ 支持与保障环节的各项作为义务,并对关键信息基础设施运营单位的产品和服务环节实施了一系列的规定和职责任务。
明确指出了国家网络安全部门和其他有关部门在监测预警、应急处置以及检测评估环节的工作要求。
3 、主体的全⾯责任思维
《条例》注重各类相关主体的全面责任意识,在要求关键信息基础设施运营单位及其工作人员违反保护义务时应负起相应的法律责任。
其法律责任也包括了服务行业机构及其工作人员在履行职责过程中可能产生的违法行为;此外还指出了其他国家或地区的机构、组织及个人的行为可能导致侵害
关键信息基础设施安全时所承担的责任形式。
⼆、关键信息基础设施保护范围
《条例》不仅基于现有规定框架,在关键信息基础设施范围认定中的功能影响上更加注重,并且明确列举了具体的各项内容
在设施分类之前明确指出, 评判设施性质的核心标准在于其是否一旦面临破坏, 功能失效或信息泄露可能导致严重的后果.
该研究团队在关键信息基础设施安全领域的研究现状及发展趋势方面展开了深入探讨
围界定如下:
(一)政府部门以及能源(金)融水运建设卫生教育社保环保公用事业等行业的相关单位
(⼆)电信⽹、⼴播电视⽹、互联⽹等信息⽹络,以及提供、和其他⼤型公共信息⽹络服务的单位;
(三)军工单位及重型装备制造企业涵盖以下行业领域:
- 国防科技相关产业
(四)⼴播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
比較三十一則 「 国家对公共通信及信息服务、能源、交通、水利、金融、公共服务及电子政务等关键行业和服务领域包括 」
其他一旦遭受破坏、功能失效或者数据泄露,则可能造成严重威胁到国民经济和人民生活的关键的信息基础设施系统(如公式所示),通过分析当前的情况可以看出
核心信息基础设施保护区域在核心标准方面所覆盖的范围更加广泛,并将行业领域科研生产单位以及新闻传播机构等纳入信息基础设施保护范畴。
三、运营者履⾏的安全保护
《条例》要求运营者履行其安全保护义务主要围绕以下几个方面进行了明确规定,并进一步提高了对运营者管理负责人具体职责的要求明确了相关细节
培训的具体时长要求。具体要求如下:
第⼆⼰一条建设关键的信息基础设施系统应确保其具备支持业务的稳定运行状态,并同时确保安全技术措施的同步规划与实施。
步建设、同步使⽤。
第二十二条规定的核心 operator 是本单位关键的信息基础设施安全管理工作的第一负责人,并且建立健全网络安全责任制,并组织相关团队开展相关工作。
织落实,对本单位关键信息基础设施安全保护⼯作全⾯负责。
运营者须遵守网络安全等级保护制度的规定,并履行相应的安全义务以确保关键信息基础设施免受干扰影响
破坏或者未经授权的访问,防⽌⽹络数据泄漏或者被窃取、篡改:
(⼀)制定内部安全管理制度和操作规程,严格⾝份认证和权限管理;
(⼆)采取技术措施,防范和、⽹络侵⼊等危害⾏为;
采用技术手段进行监控和跟踪分析网络安全事件,并按要求保留相关网络日志至少六个月
(四)采取数据分类、重要数据备份和加密认证等措施。
第24条(除本条例第23条外),运营者还应依据国家法律法规及相关国家标准的强制性规定履行下列安全职责
全保护义务:
(一)设立专门的安全管理体系,并对其及其关键岗位人员进行安全资质审核;
(⼆)定期对从业⼈员进⾏⽹络安全教育、技术培训和技能考核;
(三)对重要系统和进⾏容灾备份,及时对系统等安全风险采取补救措施;
(四)制定⽹络安全事件应急预案并定期进⾏演练;
(五)法律、⾏政法规规定的其他义务。
第⼆⼗五条运营者⽹络安全管理负责⼈履⾏下列职责:
(⼀)组织制定⽹络安全规章制度、操作规程并监督执⾏;
(⼆)组织对关键岗位⼈员的技能考核;
(三)组织制定并实施本单位⽹络安全教育和培训计划;
开展形式多样的检查与应急演练活动, 以响应处理各类突发事件.
(五)按规定向国家有关部门报告⽹络安全重要事项、事件。
第⼆⼗六条运营者⽹络安全关键岗位专业技术⼈员实⾏执证上岗制度。
根据相关法律和政策文件的要求, 该体系的规范性文件由国务院人力资源社会保障部门等多部门共同编制
第27条由从业者的相关负责人负责组织网络安全管理培训工作。每位从业人员每年接受的安全培训时间不得少于1个工作日,并重点提升关键岗位的专业技能。
术⼈员每⼈每年教育培训时长不得少于 3 个⼯作⽇。
第⼆⼗⼋条相关主体应健全关键信息基础设施安全检测评估制度,在关键信息基础设施投⼊运行之前或发生重大变动时。
时应当进⾏安全检测评估。
运营者应负有自行或委托网络安全服务机构对其关键信息基础设施的安全性及其潜在风险隐患进行定期评估
估,对发现的问题及时进⾏整改,并将有关情况报国家⾏业主管或监管部门。
第⼆⼗九条 经营主体在中国境内开展经营活动时应当Collect 和Generate 个人信 ⼯息及相关重要数据,并应当在中国境内完成存储处理工作。基于业务发展需求 必须在外 sourcedata resources 的前提下
由境外接收的个人信息和重要数据出境的安全评估程序,应当实施评估程序;法律和行行政策另有相关规范的,则依照其规定.
四、核⼼部门的责任
《条例》第⼆章为国家机关及其相关单位明确了各自的责任范围
1 、国家⽅⾯
主要包含一系列措施,在实施监测程序的同时进行防御性部署,并启动处置流程以应对来源于中华人民共和国境内外潜在风险与威胁的评估结果;通过这种做法来确保关键信息基础设施的安全性不受网络攻击的影响
网络犯罪行为的入侵、干扰与破坏 activities will be subject to legal sanctions. The state will formulate a series of policies in the sectors of industry, taxation, finance, and talent cultivation to support the construction and operation of critical information infrastructure. These measures aim to strengthen the development of key information infrastructure while ensuring national cybersecurity.
全方位的技术、产品与服务创新活动旨在推广安全可靠的网络产品与服务,并致力于培养和选拔人才;同时提升关键信息基础设施的安全水平
平。国家全面建立和完善标准体系;通过应用标准来引导和强化关键信息基础设施的安全防护工作。国家鼓励政府部门、运营者及科技领域的相关参与者。
我国研究机构、服务机构、行业协会与网络设备供应商和服务提供商共同推进关键信息基础设施的安全合作。我国秉持开放理念维护网络安全环境,并积极构建安全威胁情报共享机制。
开展关键信息基础设施安全领域的国际交流与合作。
2 、地⽅政府
市级以上政府部门应包括将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,并加大工作投入,并做好相应的工作绩效。
考核评价。
3 、国家⾏业主管或监管部门
政府机构应职责认定专门负责本行业、领域关键信息基础设施安全保护工作的相关部门,并制定并完善相应的安全保护制度
负责组织相关领域的网络安全规划,并建立健全相关领域的⼯作经费保障机制以确保监督到位
4 、能源、电信、交通等⾏业
对于关键信息基础设施网络的安全事件应急处置与功能恢复而言,在电力供应、网络通信以及交通运输这三个主要领域需要实施关键环节的全面支撑
和⽀持。
5 、公安机关等部门
依法采取措施查办涉及关键信息基础设施的犯罪行为。任何个人或组织均不得从事上述行为。
的活动和⾏为:
(⼀)攻击、侵⼊、⼲扰、破坏关键信息基础设施;
(⼆)非法获取、销售或者未经授权向他人提供可能用于危害关键信息基础设施安全的技术文档等行为; (⼆)非法获取、销售或未授权的情况下向他人透露可用于威胁关键信息系统的技术文档行为.
(三)未经授权对关键信息基础设施开展渗透性、攻击性扫描探测;
已知某些人从事危害关键信息基础设施安全的活动,并未停止为他们提供接入互联网以及相关的服务器托管、网络存储和通讯支持。
输、⼴告推⼴、⽀付结算等帮助;
(五)其他危害关键信息基础设施的活动和⾏为。