一是明确关键信息基础设施范围和保护工作原则目标。
二是明确了监督管理体制。
三是完善了关键信息基础设施认定机制。
四是明确运营者责任义务。
五是明确了保障和促进措施。
六是明确了法律责任。
《条例》明确,重点行业和领域重要网络设施、信息系统属于关键信息基础设施。运营者落实网络安全责任、建立健全网络安全保护制度、设置专门安全管理机构、开展安全监测和风险评估、报告网络安全事件或网络安全威胁、规范网络产品和服务采购活动等作了规定。《条例》明确,对关键信息基础设施运营者未履行安全保护主体责任、有关主管部门以及工作人员未能依法依规履行职责等情况,采取处罚、处分、追究刑事责任等处理措施。对实施非法侵入、干扰、破坏关键信息基础设施,危害其安全活动的组织和个人,依法予以处罚。>>详情
图片来源:视觉中国
条例出台的背景
当前,关键信息基础设施面临的网络安全形势日趋严峻,网络攻击威胁上升,事故隐患易发多发,安全保护工作还存在法规制度不完善、工作基础薄弱、资源力量分散、技术产业支撑不足等突出问题,亟待建立专门制度,明确各方责任,加快提升关键信息基础设施安全保护能力。
各司其职 分工明确
当被问到各部门的职责分工是什么?相关负责人表示,在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
强化和落实关键信息基础设施运营者主体责任
有关义务要求主要包括:
一是建立健全网络安全保护制度和责任制,实行“一把手负责制”,明确运营者主要负责人负总责,保障人财物投入。
二是设置专门安全管理机构,履行安全保护职责,参与本单位与网络安全和信息化有关的决策,并对机构负责人和关键岗位人员进行安全背景审查。
三是对关键信息基础设施每年进行网络安全检测和风险评估,及时整改问题并按要求向保护工作部门报送情况。
四是关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,按规定向保护工作部门、公安机关报告。
五是优先采购安全可信的网络产品和服务,并与提供者签订安全保密协议;可能影响国家安全的,应当按规定通过安全审查。
关于重要数据出境
根据网络安全法规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。>>详情
图片来源:视觉中国
专家观点
中国信息通信研究院院长余晓晖说:“我国网络安全保护自此进入以关键信息基础设施安全保护为重点的新阶段。作为网络安全法的重要配套立法,《条例》积极应对国内外网络安全保护的主要问题和发展趋势,为下一步加强关键信息基础设施安全保护工作提供了重要法治保障。”
全国信息安全标准化委员会委员、北京威努特技术有限公司CTO 黄敏介绍,《条例》进一步明确了关键信息基础设施的具体范围和判断标准,即一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益等的重要网络设施和信息系统。公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域等都包含在内。
奇安信集团安全专家杨波说:“无论从网络安全理论还是实践看,攻击都是无法完全避免的,因此只能通过安全保护能力的提升尽可能延长攻击成功的时间,同时通过协同机制尽可能加快风险检测和风险处置的时间。构建立体化的综合防控体系,旨在通过共享情报、掌握全局态势、贯通多级指挥调度,快速处置有组织、大规模的网络攻击事件。”>>详情
全文链接:《关键信息基础设施安全保护条例》