关键信息基础设施安全保护条例
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关键信息基础设施安全保护条例在《网络安全法》第三章“网络运行安全”中,以“关键信息基础设施的运行安全”共计9条(第三十一至三十九条)的对关键信息基础设施安全保护的基本要求、部门分工以及主体责任等问题作了基本法层面的总体制度安排,并规定关键信息基础设施的具体范围和安全保护办法应由国务院制定。正是以此为规范依据,2017年7月11日,国家互联网信息办公室公布备受瞩目的《关键信息基础设施安全保护条例(征求意见稿)》(以下简称《条例》),揭开了中国关键信息基础设施安全保护立法进程的新篇章。
《条例》详细阐明了关键信息基础设施的范围、运营者应履行的职责以及对产品和服务的要求,对政府机关,国家行业主管或监管部门,能源、电信、交通等行业,公安机关以及个人进行要求,明确关键信息基础设施范围,规定运营者安全保护的权利和义务及其负责人的职责,要求建立关键信息基础设施网络安全监测预警体系和信息通报制度,违反本条例将会受到行政处罚、判处罚金甚至要承担刑事责任。
《条例》以八章共计五十五条的篇幅,对于关键信息基础设施保护相关的一系列制度要素作了更具体的规定,涵盖:总则(第一至七条),支持与保障(第八至十七条),关键信息基础设施范围(第十八至二十条),运营者安全保护(第二十一至二十九条),产品和服务安全(第三
十至三十五条),监测预警、应急处置和检测评估(第三十六至四十四条),法律责任(第四十五至五十二条)和附则(第五十三至五十五条)。
一、安全保护意识的三种思维方式
中国互联网协会研究中心将关键信息基础设施保护宏观制度框架,从安全保护意识上分为三种思维方式:动态、全链条式保护思维,核心工作重点保护思维和主体的全面责任思维。
1、动态、全链条式保护思维
《条例》突出了动态的全链条式保护思维,一方面明确规定其制度效力既覆盖关键信息基础设施在我国境内的规划、建设、运营、维护和使用,也覆盖相关的安全保护和监督管理活动;另一方面强调应当坚持顶层设计、整体防护、统筹协调、分工负责,在国家相关部门的指导和监督下,充分发挥运营主体作用,各方积极参与,共同保障关键信息基础设施安全。
2、核心工作重点保护思维
《条例》突出了核心工作环节的重点保护思维,首先明确了国家、各级人民政府以及各国家机关在关键信息基础设施安全支持与保障环节的各项作为义务,同时明确了关键信息基础设施运营单位在产品和服务环节的一系列义务要求,还明确了国家网信部门和其他有关部门在监测预警、应急处置和检测评估环节的工作要求。
3、主体的全面责任思维
《条例》突出了各类有关主体的全面责任思维,既强调关键信息基础设施运营单位及其工作人员违反保护义务应当承担的法律责任,也强调服务机构、其他有关部门及其工作人员可能的违法责任,还强调其他境内外机构、组织和个人侵害关键信息基础设施安全时所承担的责任形式。
二、关键信息基础设施保护范围
《条例》在相关规定的基础上,更聚焦于关键信息基础设施范围认定中的功能-后果,在明文列举具体的关键信息基础设施类型之前,突出表明评判设施性质的核心标准在于其是否“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害、国计民生、公共利益”,凸显了对关键信息基础设施安全保护工作根本价值的深刻认识。关键信息基础设施保护范围界定如下:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供、和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
对比三十一条“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害、国计民生、公共利益的关键信息基础设施”,可以发现,关键信息基础设施保护范围在突出核心标准上的范围更大,将行业领域科研生产单位、新闻传播单位等纳入到保护中。
三、运营者履行的安全保护
《条例》要求运营者履行的安全保护义务主要围绕给出了具体的要求,增加了对运营者管理负责人的具体要求,明确了培训的具体时长要求。具体要求如下:
第二十一条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第二十二条运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人,负责建立健全网络安全责任制并组织落实,对本单位关键信息基础设施安全保护工作全面负责。
第二十三条运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障关键信息基础设施免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,严格身份认证和权限管理;
(二)采取技术措施,防范和、网络侵入等危害行为;
(三)采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密认证等措施。
第二十四条除本条例第二十三条外,运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求,履行下列安全保护义务:
(一)设置专门管理机构和管理负责人,并对该负责人和关键岗位人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和进行容灾备份,及时对系统等安全风险采取补救措施;
(四)制定网络安全事件应急预案并定期进行演练;
(五)法律、行政法规规定的其他义务。
第二十五条运营者网络安全管理负责人履行下列职责:
(一)组织制定网络安全规章制度、操作规程并监督执行;
(二)组织对关键岗位人员的技能考核;
(三)组织制定并实施本单位网络安全教育和培训计划;
(四)组织开展检查和应急演练,应对处置事件;
(五)按规定向国家有关部门报告网络安全重要事项、事件。
第二十六条运营者网络安全关键岗位专业技术人员实行执证上岗制度。
执证上岗具体规定由国务院人力资源社会保障部门会同国家网信部门等部门制定。
第二十七条运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于1个工作日,关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。