关键信息基础设施安全保护条例(征求意见稿)
交通运输部关于《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》公开征求意见的通知
交通运输部关于《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》公开征求意见的通知文章属性•【公布机关】交通运输部,交通运输部,交通运输部•【公布日期】2022.08.23•【分类】征求意见稿正文交通运输部关于《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》公开征求意见的通知为规范公路水路关键信息基础设施安全保护管理,落实关键信息基础设施安全保护工作责任,我部起草了《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》,现向社会公开征求意见。
公众可通过以下途径和方式提出反馈意见:1.登录中华人民共和国司法部中国政府法制信息网(、),进入首页主菜单的“立法意见征集”栏目提出意见。
2.登录交通运输部网站(网址:https://),进入首页右侧的“互动”栏“意见征集”点击“关于《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》公开征求意见的通知”提出意见。
3.电子邮箱:***************.cn,邮件主题请注明“《公路水路关键信息基础设施安全保护管理办法》修改意见”。
4.通信地址:北京市建国门内大街11号交通运输部科技司信息化管理处(100736)。
意见反馈截止时间为2022年9月26日。
交通运输部2022年8月23日附件1公路水路关键信息基础设施安全保护管理办法(征求意见稿)第一章总则第一条为规范公路水路关键信息基础设施安全保护管理,落实关键信息基础设施安全保护工作责任,根据《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律、行政法规,制定本办法。
第二条在公路水路关键信息基础设施规划建设、识别认定、安全防护、检测评估、监测预警、事件处置及监管等过程中,为保障关键信息基础设施安全稳定运行和维护数据的完整性、保密性、可用性所执行的各项工作,适用于本办法。
第三条公路水路关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,加强和规范交通运输主管部门监督管理,强化和夯实公路水路关键信息基础设施运营者(以下简称运营者)主体责任,引导和发挥网络安全服务机构等社会各方面的作用,共同保护公路水路关键信息基础设施安全。
对加强关键信息基础设施安全保护工作的建议
加强关键信息基础设施安全保护工作的建议随着信息化、智能化的发展,关键信息基础设施的重要性日益突显。
为了保障国家安全和社会稳定,加强关键信息基础设施安全保护工作势在必行。
在此背景下,我们有必要提出一些建议,以期在加强安全保护工作的过程中更加高效、系统地应对挑战。
一、明确责任,强化监管1. 完善相关法律法规,明确关键信息基础设施安全保护的责任主体和监管机构。
建立健全相关制度和标准,明确各方的权责,形成有力的监管体系。
2. 落实企业主体责任,鼓励企业加大投入,提升安全防护水平。
加强政府监管,对企业进行定期检查和评估,确保安全措施的有效执行。
二、加强技术建设,提升安全防护能力1. 加大对关键信息基础设施的技术研发和应用推广投入,引导企业加强自主创新,提升安全防护技术水平。
2. 推动关键信息基础设施运行商建立健全的安全保护机制,加强漏洞修复和安全更新措施,防范网络攻击和数据泄露风险。
三、强化人才培养,提高安全意识1. 发展相关专业人才,加强对关键信息基础设施安全保护的技术支撑和人才储备。
鼓励高校开设相关专业课程,引导学生关注安全防护领域。
2. 组织针对从业人员的安全培训和演练,提高从业人员的安全防范意识和应急处置能力。
促进安全文化的建立,形成全社会关注安全、共同维护安全的良好氛围。
四、加强国际合作,共同维护网络安全1. 深化与国际组织、外国政府以及企业的合作,共同推进关键信息基础设施安全保护规范和标准的制定和执行。
加强信息共享,提高网络攻击和数据泄露的预警能力。
2. 参与全球网络治理和安全合作,推动国际多边和双边合作机制的建立和完善,共同应对网络安全威胁和挑战。
关键信息基础设施安全保护工作是一项系统工程,需要政府、企业、学术界和社会各界共同参与,形成合力。
我们应该以科学的态度对待这项工作,认真研究和探索有效的保护措施,不断完善相关制度和技术手段,切实加强关键信息基础设施的安全保护,为国家安全和社会稳定提供坚实保障。
专家解读《关键信息基础设施安全保护条例》开启关键信息基础设施安全保护新阶段
专家解读《关键信息基础设施安全保护条例》开启关键信息基础设施安全保护新阶段2021年7月30日,《关键信息基础设施安全保护条例》(以下简称《条例》)正式公布,标志着我国网络安全保护进入了以关键信息基础设施安全保护为重点的新阶段。
作为网络安全法的重要配套立法,《条例》积极应对国内外网络安全保护的主要问题和发展趋势,为下一步加强关键信息基础设施安全保护工作提供了重要法治保障。
一、关键信息基础设施安全保护立法是各国网络安全战略重要一环(一)全球网络安全局势复杂严峻对各国关键信息基础设施安全防护提出新挑战。
近期,多国基础设施和重要信息系统遭受网络攻击,引发全球震荡,对国家安全稳定造成巨大风险。
特别是2021年,美国最大的燃油管道运营商、全球最大的肉类加工企业均因黑客攻击而停摆,导致影响国家乃至全球经济运行的基础设施受损,对全产业链产生连锁影响,也引发了全球关于加强关键信息基础设施安全保护的思考。
近期,世界主要国家和地区均强化关键基础设施安全防护。
美国不仅大幅增加关键基础设施网络安全方面的资金投入,而且提出多部强化关键基础设施网络安全、预防勒索软件攻击等方面的法案和官方指南。
欧盟也在《欧盟安全联盟战略》中将提升关键基础设施的保护和恢复能力作为未来五年网络安全工作的重中之重。
(二)世界主要国家和地区将关键基础设施立法作为网络安全立法中最为关键的环节。
美欧在关键基础设施立法方面起步较早,美国早在2001年即颁布了《2001年关键基础设施保护法》,之后相继出台《改进关键基础设施网络安全行政令》《增强联邦政府网络与关键基础设施网络安全行政令》等相关立法。
随着网络安全形势的日益严峻,美国积极调整网络安全保护战略,近期发布了《2021年临时国家安全战略方针》《2021年关于加强国家网络安全的行政命令》等相关政策。
欧盟出台了《2008年欧盟关键基础设施认定和安全评估指令》《2016年网络与信息安全指令》等多部关键基础设施保护相关立法。
关键信息基础设施安全保护条例
关键信息基础设施安全保护条例文章属性•【制定机关】国务院•【公布日期】2021.07.30•【文号】中华人民共和国国务院令第745号•【施行日期】2021.09.01•【效力等级】行政法规•【时效性】现行有效•【主题分类】公共信息网络安全监察正文中华人民共和国国务院令第745号《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过,现予公布,自2021年9月1日起施行。
总理李克强2021年7月30日关键信息基础设施安全保护条例第一章总则第一条为了保障关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》,制定本条例。
第二条本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
第三条在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。
国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
第四条关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。
第五条国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。
第六条运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
关键信息基础设施安全保护条例
关键信息基础设施安全保护条例(征求意见稿)第一章总则第一条为了保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,制定本条例.第二条在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。
第三条关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全.第四条国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作.国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。
国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。
县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作.第五条关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
第六条关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。
第七条任何个人和组织发现危害关键信息基础设施安全的行为,有权向网信、电信、公安等部门以及行业主管或监管部门举报。
收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。
第二章支持与保障第八条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动.第九条国家制定产业、财税、金融、人才等政策,支持关键信息基础设施安全相关的技术、产品、服务创新,推广安全可信的网络产品和服务,培养和选拔网络安全人才,提高关键信息基础设施的安全水平。
关键信息基础设施安全保护基本要求
关键信息基础设施安全保护基本要求关键信息基础设施(Critical Infrastructure)是指在国家安全、经济安全及社会稳定方面,具有重要地位和作用,一旦遭到破坏或失效,就会造成严重后果的基础设施。
我国当前已明确34个关键信息基础设施行业,包括电网、金融、水利、交通、卫生、环保等领域。
对于关键信息基础设施的安全保护,是国家信息安全工作中的重要内容之一,下面是关键信息基础设施安全保护基本要求。
一、立足法规1、遵守安全法律法规关键信息基础设施的安全保护必须依据国家有关法律、法规的规定,认真执行信息安全保护制度和标准,明确责任、权限、义务和程序,完善风险管理体系,确保信息安全。
2、明确安全管理制度建立健全安全管理制度,包括安全组织机构、安全管理制度、安全管理流程、安全教育和培训、安全检查与评估等。
安全管理制度的建立和完善是关键信息基础设施安全保护的重要基础。
二、加强物理安全1、强化保护区域的安全关键信息基础设施的保护区域应该进行严格的安全验收,实施封闭管理、人员进出口控制、保安巡逻等措施,确保未经许可的人员无法进入。
此外,应该加强保护区域的防火、水、电、气安全管理,保障设施、设备的安全运行。
2、增强关键设备安全保护设备是关键信息基础设施的重点保护对象,必须采取有效的物理安全措施,如防破坏、防压力波、防爆、防火等。
保持设备的正常运行和安全,加强设备的维护和保养,确保设备安全可靠。
1、网络物理隔离关键信息基础设施的网络必须进行物理隔离,限制有权访问网络的用户范围,保证网络安全可靠。
严格控制入口、出口、端口、协议等细节,保障网络安全。
2、建立安全防护体系建立防火墙、入侵检测、反病毒等安全防护措施,保障网络安全。
加强信息安全监测与攻击检测,及时掌握安全态势和威胁情况,采取应对措施降低安全风险。
1、强化资格审查对进入保护区域、接触关键信息基础设施的人员,进行资格审查,确保只有合格的人员进入保护区域,并严格执行人员出入境体验,并建立考勤制度。
关键信息基础设施评估方案
关键信息基础设施范围评估方案1、什么是关键信息基础设施根据《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》(征求意见稿),关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
2、如何确定关键信息基础设施关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
4.1.确定本地区、本部门、本行业的关键业务。
可参考下表,结合本地区、本部门、本行业实际梳理关键业务。
4.2.确定关键业务相关的信息系统或工业控制系统。
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。
如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。
4.3.认定关键信息基础设施。
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
A.网站类符合以下条件之一的,可认定为关键信息基础设施:1. 县级(含)以上党政机关网站。
2. 重点新闻网站。
3. 日均访问量超过100万人次的网站。
4. 一旦发生网络安全事故,可能造成以下影响之一的:(1)影响超过100万人工作、生活;(2)影响单个地市级行政区30%以上人口的工作、生活;(3)造成超过100万人个人信息泄露;(4)造成大量机构、企业敏感信息泄露;(5)造成大量地理、人口、资源等国家基础数据泄露;(6)严重损害政府形象、社会秩序,或危害国家安全。
对关键信息基础设施安全检查、评估、保护工作的认识和思考
CIVIL-MILITARY INTEGRATIONON CYBERSPACE网信军民融合2020年02月59对关键信息基础设施安全检查、评估、保护工作的认识和思考关键信息基础设施是经济社会稳定运行的重要基础,是国家安全的重要基石。
近期,我国发布了对关键信息基础设施安全检查、评估、保护相关条例及制度,揭开了中国关键信息基础设施安全保护工作的新篇章。
本文从识别认定、概念内涵、体系化保护和统筹发展等角度,提出了对关键信息基础设施安全检查、评估、保护工作的认识和思考。
通过学习《关键信息基础设施安全保护条例》(征求意见稿)、国家标准《信息安全技术 关键信息基础设施安全检查评估指南》(征求意见稿)、国家标准《信息安全技术 关键信息基础设施安全保障指标体系》(征求意见稿)等文献(下文分别简称“条例”、“指南”、“指标体系”),以及研究美国关键基础设施保护的实践,本文提出对关键信息基础设施(Critical Information Infrastructure,CII )安全检查、评估、保护工作的四点思考。
一、识别认定:从关键业务到CII,力避“关键”与“非关键”混为一谈首先,要将CII从普遍的、一般的信息基础设施中区分出来。
在“指南”的检查评估流程中明确了CII的范围:调研和梳理检查评估对象的关键业务,确定支撑关键业务运行的基础设施。
这样的基础设施就是CII。
同样,相关学者在《关键信息基础设施边界识别刻不容缓》一文中提出的依关键业务来判断CII,以及依业务链(信息流)来将相互联系的CII “顺藤摸瓜”排查出来,这都体现了从关键业务到CII的思想方法。
而关键业务的确定,可从关键信息基础设施运营机构的战略任务、目标使命中导出,这应该是比较明确的。
将关键业务从一般化的业务中剥离出来了,就能将CII从普通的信息基础设施或基础设施中分离出来,避免了“关键”与“非关键”混为一谈。
二、区分重点:“网络设施”与“信息系统”要有所侧重根据“条例”中明确的“关键信息基础设施范围”,CII可区分为“网络设施”与“信息系统”。
网络安全法相关配套法律法规和规范性文件梳理2
《网络安全法》相关配套法律法规和规范性文件梳理《中华人民共和国网络安全法》(以下简称《网络安全法》)于2019年6月1日正式实施。
《网络安全法》作为我国网络空间安全管理的基本法律,框架性地构建了许多法律制度和要求,重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全审查、个人信息和重要数据保护制度、数据出境安全评估、网络关键设备和网络安全专用产品安全管理制度、网络安全事件应对制度等。
为保障上述制度的有效实施,一方面,以国家互联网信息办公室(以下简称“网信办”)为主的监管部门制定了多项配套法规,进一步细化和明确了各项制度的具体要求、相关主体的职责以及监管部门的监管方式;另一方面,全国信息安全标准化技术委员会(以下简称“信安标委”)同时制定并公开了一系列以信息安全技术为主的重要标准的征求意见稿,为网络运营者提供了非常具有操作性的合规指引。
具体讲:1. 在互联网信息内容管理制度方面网信办颁布了《互联网信息内容管理行政执法程序规定》,并已经针对互联网新闻信息服务、互联网论坛社区服务、公众账户信息服务、群组信息服务、跟帖评论服务等制定了专门的管理规定或规范性文件,以期全方位多层次地保障互联网信息内容的安全和可控性;2. 在网络安全等级保护制度方面信安标委在原有的信息系统安全等级保护制度的基础之上,发布了包括《网络安全等级保护实施指南》、《网络安全等级保护基本要求》等在内的多项标准文件的征求意见稿。
考虑到现行的《信息安全等级保护管理办法》已不适用《网络安全法》的要求,新的《网络安全等级保护管理办法》也正在制定中;3. 在关键信息基础设施安全保护制度方面随着《关键信息基础设施安全保护条例》、《信息安全技术关键信息基础设施安全检查评估指南》等征求意见稿的公布,关键信息基础设施运营者的安全保护义务得以进一步明确。
但是关键信息基础设施的范围依旧有待制定中的《关键信息基础设施识别指南》进行进一步地明确;4. 在个人信息和重要数据保护制度方面其核心内容主要包括个人信息收集和使用过程中的安全规范以及个人信息和重要数据出境时的安全评估制度。
商用密码应用法规政策要求汇编
商用密码应用法律政策要求新时期,网络环境日益复杂而深刻,密码应用需求日益多样化。
推进商用密码合规、正确、有效应用,是新时期商用密码管理和创新发展的重中之重。
国家法律法规有关密码应用的要求面对国家安全的新形势,我国已在多部法律法规中明确规定了密码应用的要求,包括《密码法》、《网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例(征求意见稿)》、《网络安全等级保护条例(征求意见稿)》等。
1.《中华人民共和国密码法》2.《中华人民共和国网络安全法》3.《商用密码管理条例》1999年发布的《商用密码管理条例》规定国家对商用密码产品的研发、生产、销售和使用实行专控管理。
为落实《密码法》有关立法精神,《商用密码管理条例》修订将充分体现国家“放管服”改革要求,取消对科研、生产、销售单位等的行政许可事项,强化密码应用要求,突出对关键信息基础设施和网络安全等级保护第三级及以上信息系统的密码应用监管,并实施商用密码应用安全性评估和安全审查制度。
4.《关键信息基础设施安全保护条例(征求意见稿)》《关键信息基础设施安全保护条例(征求意见稿)》明确了在关键信息基础设施保护工作中,依据密码管理法律法规开展有关密码管理工作,充分体现了密码管理在国家网络安全大局中的重要地位和作用。
该《条例》明确了关键信息基础设施的密码应用要求,压实了网络安全运营者和主管部门有关密码应用和密码安全的主体责任,为密码管理部门开展网络空间密码保护工作,尤其是网络安全检查和安全审查等工作提供了法律依据,同时也为开展密评工作提供了强有力的支撑。
5.《网络安全等级保护条例(征求意见稿)》2018年6月27日,《网络安全等级保护条例(征求意见稿)》向社会公开征求意见,其中设置了密码管理专章,体现了密码管理在网络安全等级保护工作中的重要作用,明确了网络安全等级保护密码管理的主要思路、方式和手段,强调了网络安全等级保护第三级及以上系统使用密码进行保护的义务,突出了商用密码应用安全性评估作为等级保护密码管理主要抓手的地位和作用,强化了密码管理部门在等级保护技术标准制定、监督检查、密码应用安全性评估工作开展等方面的职权,明确规定了“国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理”,还从网络安全等级保护的事前备案审核、事中应用要求,以及事中事后监管和法律责任各环节对密码管理和应用进行了规定。
关键信息基础设施认定工作指南
关键信息基础设施认定工作指南关键信息基础设施(Critical Information Infrastructure,CII)是指在经济、国防、能源、交通、水利、环境保护、电力、通信、金融、公共安全等领域,对国家安全和经济社会运行具有重要影响的信息系统和技术设施。
关键信息基础设施的保护是国家安全的重要组成部分,也是维护公共安全和国家利益的重要保障。
为了明确关键信息基础设施的范围和认定标准,中国制定了《关键信息基础设施认定办法(试行)》和《关键信息基础设施保护条例(征求意见稿)》等相关政策文件,并制定了关键信息基础设施认定工作指南。
该指南为相关部门和组织提供了详细的指导和操作方法,以确保关键信息基础设施的认定工作科学有效进行。
关键信息基础设施认定工作指南首先明确了关键信息基础设施的概念和范围,包括了电信运营商、电力系统、金融机构、水务系统、公共安全系统、交通运输系统、国防军事系统、政府行政管理系统等各个领域的重要信息系统和设施。
指南指出,关键信息基础设施的认定应当综合考虑国家安全和社会经济运行的重要性以及对公众利益的影响程度。
指南还明确了关键信息基础设施认定的程序和要求。
首先,相关部门和组织应当按照国家的法律、法规和政策要求,制定认定工作的计划和时间表,并确保认定工作的透明性和科学性。
其次,需要进行信息收集和调查研究,通过现场核查、数据分析、专家评审等方式,对候选设施进行评估和筛选。
最后,对认定结果进行公示和复核,确保认定工作的公正性和合法性。
指南还强调了关键信息基础设施认定结果的重要性和应用。
认定结果可以作为制定相关政策、法规和标准的依据,也可以作为建设和改造关键信息基础设施的指导。
同时,认定结果还可以作为关键信息基础设施保护的基础,相关部门和组织可以依据认定结果,采取相应的保护措施和应对措施,确保关键信息基础设施的安全稳定运行。
总体而言,关键信息基础设施认定工作指南为我国关键信息基础设施保护提供了依据和指导。
按照《关键信息基础设施安全保护条例》筑牢网络空间安全底线
Establish the Baseline of Cyberspace Security in Accordance with the Regulations on the Security Protection of Critical Information Infrastructure 作者: 沈昌祥[1]
作者机构: [1]不详
出版物刊名: 信息安全研究
页码: 890-893页
年卷期: 2021年 第10期
摘要:关键信息基础设施是指包括公共通信和信息服务、能源、交通、水利等重要行业和领域的重要网络设施及信息系统,一旦遭到破坏或者数据泄露,可能严重危害国家安全、国计民生、公共利益."封堵查杀"等被动安全防护手段难以应对层出不穷的网络攻击,必须改变传统的计算模式和体系架构,为关键信息基础设施增加主动防御的"免疫系统",按照我国自主创新的可信计算3.0技术体系框架,重塑关键信息基础设施安全保障体系,筑牢网络空间安全底线.。
国家互联网信息办公室发布《关键信息基础设施安全保护条例(征求
^* ● l i ( ■ ■… #^ ‰ } n
黜
■
…
t ^
* *■
■ t ^ t ■, Nhomakorabeat q
金 融 、交 通 、公 用 事 业 等 关 键 信 息 魑硎{ 设 施一 - I J f …司题 , 町能 导 致 金 融 瘫 痪 、交 通 I l l 断、 f : 会 索 乩 等 , 具仃 很 大 破 坏 性 . .国 家 网 信 办 剐 主 任 畅 小 仲 7 月I 1 日在 2 0 l 7 巾 曰 互 联 网大 会开 幕 论 坛 I 说, 网信办会 同卡 H 父 部 门起 草 y - 《 关 键 信 息 砌 没施 安 个 保 护 条 例 ( 求 意 稿 )》 ,保 障 火键 息
施 保护 范 、
“ 鉴 于关 键 信 息 基 硎{ 设 施 的重 要性 ,对 此 建 立 々项 安 全 保 护 制 度 很 有 必 要
” 巾 旧价 息 发 个 = 研 究 院
剐 院 长左 晓 栋 表 示 ,信 息 化 的深 入推 进 。使 关 键 信息 基 础 设施 成 为 卒 十 会 运转 的神 绛 系统 f 障 火 键 息 系 统 的安 全 ,是 保 护 经 济安 全 ,更是 保 护 社 会 安 全 、公 共 安 全 乃至 同家 安 全 。制 定此 条 例是 按 照 络 发 个 : 法 的 要求 进 行 的 , 目的是 保 护 关 键信 息 基 础 设施 免受 攻 击 、侵 入 、十 扰 和破 坏 。 意 见稿 提 ,建 设 关 键 信 息 基 础 设 施 应 当 确 保 其 具 有 支 持 业 务 稳 定 、持 续 运 行 的性 能 l 家 仃 、 I I , 主 管或 监 管 部 门 应设 立 或 明确 专 门 负责 本 行 业 、本 领 域 关 键信 息 基 石 { I } 设 施 安 全 保 护 作 [ b  ̄ j , h J L 构币 l 】 人 、天鼬 信息 基 础 设 施 网 络安 全关 键 岗位 专业 技 术 人 员实 行 执 证 上 岗制 度 。 6
关键信息基础设施确定范围方案
关键信息基础设施确定范围
评估方案
2020年5月
目录
1、范围 (3)
2、规范性引用文件 (3)
3、什么是关键信息基础设施 (3)
4、如何确定关键信息基础设施 (4)
4.1.确定本地区、本部门、本行业的关键业务。
(4)
4.2.确定关键业务相关的信息系统或工业控制系统。
(6)
4.3.认定关键信息基础设施。
(6)
1、范围
本方案为关键信息基础设施确定范围提供参考建议,适用于管理部门对各单位关键信息基础设施确定工作提供参考。
2、规范性引用文件
本方案参考下列文件中的条款引用而编制成为本方案,其随后所有的修改或修订版均适用本方案。
《中华人民共和国网络安全法》
《关键信息基础设施安全保护条例(征求意见稿)》
《信息安全技术关键信息基础设施安全检查评估指南》(征求意见稿)
《信息安全技术关键信息基础设施安全保障指标体系》(征求意见稿)
3、什么是关键信息基础设施
根据《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》(征求意见稿),关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这。
关键信息基础设施的认定和十个保护要求
关键信息基础设施的认定和十个保护要求《关键信息基础设施的认定和十个保护要求》一、背景关键信息基础设施(KII)是指以公用事业为基础提供社会关键服务,并应用信息技术的信息基础设施(ICS)设施系统,其重要性特别可见于重要的社会领域,如通信、电力和医疗保健。
这些关键基础设施的安全保护从而成为国家安全和社会稳定的重要基础。
二、定义根据《中华人民共和国关键信息基础设施保护条例(修订草案)》,KII是指,它对社会和经济发展具有重要意义以及对国家安全特别重要的信息基础设施系统。
三、标准与要求1、对KII的确定和识别根据《中华人民共和国关键信息基础设施保护条例(修订草案)》,KII的确定和识别是按照社会的战略安全需求,国家战略的发展方向,社会关键服务的需求,国家安全的要求,以及社会和经济的发展情况和技术特征来进行的。
2、KII的安全管理要求(一)建立KII的安全管理机制。
KII的安全管理机制应根据社会安全需求,对关键信息基础设施进行综合管理,并确保其安全运行。
(二)规章制度化。
应建立和完善关键信息基础设施的安全法律、法规和相关政策,明确关键信息基础设施安全的法律责任,加强管理。
(三)强化安全架构。
应设计完善的关键信息基础设施的安全架构,包括企业安全架构、技术安全架构、管理安全架构等,为安全架构及其管理提供可靠的保证。
(四)提高员工的安全意识。
应通过安全培训、安全演练和安全意识宣传等形式,提升关键信息基础设施的人员安全意识,强化安全规范知识以及安全行为技能。
(五)加强安全审批。
应建立和完善安全审查制度,对关键信息基础设施的安全、可靠性和可用性等进行审核,以确保对关键信息基础设施安全有效的管理。
3、KII的十个保护要求(一)加强物理环境安全的管理。
应加强物理环境的安全管理,并实施规范的安全检查。
(二)建立健全网络安全管理机制。
应建立和完善网络安全的管理机制,对网络系统的安全性、可靠性和可用性进行有效管理。
(三)实施计算机病毒检测和防控措施。
关键信息基础设施安全保护条例
关键信息基础设施安全保护条例关键信息基础设施安全保护条例第一章总则第一条目的和依据为了加强对关键信息基础设施的安全保护,维护国家安全和社会稳定,根据相关法律法规,制定本条例。
第二条适用范围本条例适用于关键信息基础设施的建设、运行、维护和管理活动。
第三条定义本条例中的关键信息基础设施是指对国家的安全、经济和社会运行具有重要影响的信息系统和网络,包括但不限于能源、交通、通信、金融、教育、医疗、卫生、科技、水利等领域的设施。
第二章关键信息基础设施安全保护的责任第四条国家安全部门的责任国家安全部门应当负责制定关键信息基础设施的安全保护政策、标准、技术要求,并进行监督检查。
第五条运营者的责任关键信息基础设施的运营者应当采取必要的措施,保护设施的安全和可靠运行,防止信息被非法获取、篡改、泄露等。
第六条用户的责任使用关键信息基础设施的用户应当遵守相关法律法规,保护自己使用的设施不被非法利用,不传播虚假信息。
第三章关键信息基础设施安全的保障措施第七条安全防护设施关键信息基础设施的运营者应当建立安全防护设施,包括但不限于入侵检测系统、防火墙、安全检测设备等。
第八条安全漏洞修复关键信息基础设施的运营者应当及时修复发现的安全漏洞,防止被黑客攻击和恶意入侵。
第九条技术保障措施国家安全部门应当提供技术保障措施,为关键信息基础设施提供安全评估、安全咨询等服务。
第四章监督检查和处罚第十条监督检查国家有关部门有权对关键信息基础设施的运营者进行定期或不定期的监督检查。
第十一条处罚措施对违反本条例的关键信息基础设施运营者,国家有关部门可以采取警告、罚款、停业整顿等措施进行处罚。
第五章附则第十二条生效日期本条例自公布之日起生效。
第十三条解释权本条例的解释权归国家有关部门所有。
26164874_关键信息基础设施运营者的主体责任
王春晖浙江大学教授、博导,网络空间治理与数字经济法治(长三角)研究基地主任兼首席专家,南京邮电大学数字经济战略与法治研究中心主任,工信部信息通信经济专家委员会委员、中国通信学会网络空间安全战略与法律委员会副主任委员、中国互联网协会应用创新工作委员会副主任委员、中国法学会网络与信息法学研究会常务理事、上海市法学会互联网司法研究会副会长。
■ 王春晖 ︱ 文明确建设关键信息基础设施的“三同步”原则《网络安全法》第三十三条:“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
”《条例》第十二条延续了《网络安全法》确定的“三同步”原则,进一步强调“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
”运营者在具体落实三同步原则时,可以从以下方面理解安全保护措施应当与关键信息基础设施的三同步:首先,“同步规划”,是指在网络设施与信息系统的规划阶段同步引入安全保护措施;其次,“同步建设”,要求在项目建设阶段,通过落实系统集成商、网络服务提供商,保证相关安全技术措施的顺利准时建设,保证项目上线时,安全保护措施的验收和工程验收同步,确保只有符合安全要求的系统才能上线;再次,“同步使用”,网络设施和信息系统安全验收后的日常运行和维护中,应当保持网络设施与信息系统处于持续安全防护的水平,并符合国家的相关安全技术标准。
建立健全网络安全保护制度和责任制《条例》第十三条规定:“运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。
运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
”首先,为了确保我国关键信息基础设施的安全运行,运营者应当建立健全网络关键信息基础设施运营者的主体责任近日,国务院总理李克强签署第745号国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。
网信办发布《关键信息基础设施安全保护条例(征求意见稿)》
双 方将 共同构建 “ 通信+ 金 融 ”的 新 生 态, 充 分 发 挥 各 自优 势 , 提 高 经 营 管 理 能 力, 改 善 客 户服 务 体 验 , 共 同 开 拓 大
数据、 物 联 网 等 创新 业 务 , 促 进科 技 金
基 础 设 施 的 安 全 性 和 可 能存 在 的风 险 隐 患每 年 至少 进 行一 次 检 测 评 估 , 对 发 现
投 入 上 亿 元 扣‘ 造物联专网。 截 至 日前 , 四 川 全 省 已完 成 NB— I o T网 络 基 站 建
设共计2 . 2 万个, 覆 盖率达到 9 5 . 6 6 %,
具 备 NB — l o T业 务 开 通 能 力。
资 讯 ・NE WS 新 闻
2 0 1 7 年7 月1 1 目, 网 信 办发 布 《 关 键 信息 基 础 设 施 安 全 保 护 条 例 ( 征 求 意 见
稿) 》( 以 下简 称 意 见 稿 ) , 意见稿是 《 网 络 安 全 法 》的 重 要 配 套 法 规 , 值得 高度
关注。
2 0 1 7 年7 月5 日, 四 川 电信 宣 布 全 完 成 NB — I o T网 络 覆 盖 , NB— l o T正 式 商用, 这 标 志 着 中 国 电 信 物 联 网 商 用
再 下一 城 。
中 国 电 信 白去 年 年 底 以 来 , 物 联
市 启 动5 G 试验, 推 动 平 台架 构 成 熟 , 验证3 . 5 GHz  ̄ I t 网关键性能 , 其 中北 京试 验
意见稿提 出, 关 键 信 息 基 础 设 施 的 运 营 者 对 本 单 位 关 键 信 息 基 础 设 施 安 全 负 主体 责 任 , 应 履 行 网络 安 全 保 护 义 务 , 接 受政 府和社会监督 , 承 担社 会 责 任 。同 时 , 国 家 鼓 励 关 键 信 息 基 础 设 施 以 外 的 网 络 运 营 者 自愿 参 与关 键 信息 基 础设施保护体系。 意 见稿 进 一步 明 确 , 运 营 者主 要 负 责人 是 本 单 位关 键信 , 皂 、 基 础 设 施 安 全保 护工 作 第 一 责 任 人 , 运 营 者 应 当按 照 网络 安 全 等 级 保 护 制 度 的 要求 , 履 行 各项 安 全 保 护义 务 , 保 障关 键 信 息 基 础 设 施 免 受 干 扰 、 破坏或者未 经授权的访问 , 防止 网 络 数 据 泄 漏 或 者被 窃 取 、 篡改。 此外 , 意见稿强调 , 运 营 者 应 当 自行 或 委 托 网 络 安 全 服 务机 构对 关 键 信 息 2 0 1 7 年7 ) i 4 日, 中 旧 联 通 中闺 民 生 银 行 在 北 京 签 署 了战 略 合 作 协 议 。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关键信息基础设施安全保护条例(征求意见稿)第一章总则第一条为了保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,制定本条例。
第二条在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。
第三条关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。
第四条国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。
国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。
国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。
县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。
第五条关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
第六条关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。
第七条任何个人和组织发现危害关键信息基础设施安全的行为,有权向网信、电信、公安等部门以及行业主管或监管部门举报。
收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。
第二章支持与保障第八条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动。
第九条国家制定产业、财税、金融、人才等政策,支持关键信息基础设施安全相关的技术、产品、服务创新,推广安全可信的网络产品和服务,培养和选拔网络安全人才,提高关键信息基础设施的安全水平。
第十条国家建立和完善网络安全标准体系,利用标准指导、规范关键信息基础设施安全保护工作。
第十一条地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,加大投入,开展工作绩效考核评价。
第十二条国家鼓励政府部门、运营者、科研机构、网络安全服务机构、行业组织、网络产品和服务提供者开展关键信息基础设施安全合作。
第十三条国家行业主管或监管部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保护工作的机构和人员,编制并组织实施本行业、本领域的网络安全规划,建立健全工作经费保障机制并督促落实。
第十四条能源、电信、交通等行业应当为关键信息基础设施网络安全事件应急处置与网络功能恢复提供电力供应、网络通信、交通运输等方面的重点保障和支持。
第十五条公安机关等部门依法侦查打击针对和利用关键信息基础设施实施的违法犯罪活动。
第十六条任何个人和组织不得从事下列危害关键信息基础设施的活动和行为:(一)攻击、侵入、干扰、破坏关键信息基础设施;(二)非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施安全的技术资料等信息;(三)未经授权对关键信息基础设施开展渗透性、攻击性扫描探测;(四)明知他人从事危害关键信息基础设施安全的活动,仍然为其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助;(五)其他危害关键信息基础设施的活动和行为。
第十七条国家立足开放环境维护网络安全,积极开展关键信息基础设施安全领域的国际交流与合作。
第三章关键信息基础设施范围第十八条下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;(四)广播电台、电视台、通讯社等新闻单位;(五)其他重点单位。
第十九条国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。
国家行业主管或监管部门按照关键信息基础设施识别指南,组织识别本行业、本领域的关键信息基础设施,并按程序报送识别结果。
关键信息基础设施识别认定过程中,应当充分发挥有关专家作用,提高关键信息基础设施识别认定的准确性、合理性和科学性。
第二十条新建、停运关键信息基础设施,或关键信息基础设施发生重大变化的,运营者应当及时将相关情况报告国家行业主管或监管部门。
国家行业主管或监管部门应当根据运营者报告的情况及时进行识别调整,并按程序报送调整情况。
第四章运营者安全保护第二十一条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第二十二条运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人,负责建立健全网络安全责任制并组织落实,对本单位关键信息基础设施安全保护工作全面负责。
第二十三条运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障关键信息基础设施免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,严格身份认证和权限管理;(二)采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为;(三)采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密认证等措施。
第二十四条除本条例第二十三条外,运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求,履行下列安全保护义务:(一)设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份,及时对系统漏洞等安全风险采取补救措施;(四)制定网络安全事件应急预案并定期进行演练;(五)法律、行政法规规定的其他义务。
第二十五条运营者网络安全管理负责人履行下列职责:(一)组织制定网络安全规章制度、操作规程并监督执行;(二)组织对关键岗位人员的技能考核;(三)组织制定并实施本单位网络安全教育和培训计划;(四)组织开展网络安全检查和应急演练,应对处置网络安全事件;(五)按规定向国家有关部门报告网络安全重要事项、事件。
第二十六条运营者网络安全关键岗位专业技术人员实行执证上岗制度。
执证上岗具体规定由国务院人力资源社会保障部门会同国家网信部门等部门制定。
第二十七条运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于1个工作日,关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。
第二十八条运营者应当建立健全关键信息基础设施安全检测评估制度,关键信息基础设施上线运行前或者发生重大变化时应当进行安全检测评估。
运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行一次检测评估,对发现的问题及时进行整改,并将有关情况报国家行业主管或监管部门。
第二十九条运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。
因业务需要,确需向境外提供的,应当按照个人信息和重要数据出境安全评估办法进行评估;法律、行政法规另有规定的,依照其规定。
第五章产品和服务安全第三十条运营者采购、使用的网络关键设备、网络安全专用产品,应当符合法律、行政法规的规定和相关国家标准的强制性要求。
第三十一条运营者采购网络产品和服务,可能影响国家安全的,应当按照网络产品和服务安全审查办法的要求,通过网络安全审查,并与提供者签订安全保密协议。
第三十二条运营者应当对外包开发的系统、软件,接受捐赠的网络产品,在其上线应用前进行安全检测。
第三十三条运营者发现使用的网络产品、服务存在安全缺陷、漏洞等风险的,应当及时采取措施消除风险隐患,涉及重大风险的应当按规定向有关部门报告。
第三十四条关键信息基础设施的运行维护应当在境内实施。
因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和国务院公安部门。
第三十五条面向关键信息基础设施开展安全检测评估,发布系统漏洞、计算机病毒、网络攻击等安全威胁信息,提供云计算、信息技术外包等服务的机构,应当符合有关要求。
具体要求由国家网信部门会同国务院有关部门制定。
第六章监测预警、应急处置和检测评估第三十六条国家网信部门统筹建立关键信息基础设施网络安全监测预警体系和信息通报制度,组织指导有关机构开展网络安全信息汇总、分析研判和通报工作,按照规定统一发布网络安全监测预警信息。
第三十七条国家行业主管或监管部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度,及时掌握本行业、本领域关键信息基础设施运行状况和安全风险,向有关运营者通报安全风险和相关工作信息。
国家行业主管或监管部门应当组织对安全监测信息进行研判,认为需要立即采取防范应对措施的,应当及时向有关运营者发布预警信息和应急防范措施建议,并按照国家网络安全事件应急预案的要求向有关部门报告。
第三十八条国家网信部门统筹协调有关部门、运营者以及有关研究机构、网络安全服务机构建立关键信息基础设施网络安全信息共享机制,促进网络安全信息共享。
第三十九条国家网信部门按照国家网络安全事件应急预案的要求,统筹有关部门建立健全关键信息基础设施网络安全应急协作机制,加强网络安全应急力量建设,指导协调有关部门组织跨行业、跨地域网络安全应急演练。
国家行业主管或监管部门应当组织制定本行业、本领域的网络安全事件应急预案,并定期组织演练,提升网络安全事件应对和灾难恢复能力。
发生重大网络安全事件或接到网信部门的预警信息后,应立即启动应急预案组织应对,并及时报告有关情况。
第四十条国家行业主管或监管部门应当定期组织对本行业、本领域关键信息基础设施的安全风险以及运营者履行安全保护义务的情况进行抽查检测,提出改进措施,指导、督促运营者及时整改检测评估中发现的问题。
国家网信部门统筹协调有关部门开展的抽查检测工作,避免交叉重复检测评估。
第四十一条有关部门组织开展关键信息基础设施安全检测评估,应坚持客观公正、高效透明的原则,采取科学的检测评估方法,规范检测评估流程,控制检测评估风险。
运营者应当对有关部门依法实施的检测评估予以配合,对检测评估发现的问题及时进行整改。
第四十二条有关部门组织开展关键信息基础设施安全检测评估,可采取下列措施:(一)要求运营者相关人员就检测评估事项作出说明;(二)查阅、调取、复制与安全保护有关的文档、记录;(三)查看网络安全管理制度制订、落实情况以及网络安全技术措施规划、建设、运行情况;(四)利用检测工具或委托网络安全服务机构进行技术检测;(五)经运营者同意的其他必要方式。