关键信息基础设施承载或支撑着重要行业和领域关键业务,并成为各行各业运行体系所依赖的关键节点,一旦遭到破坏,通过关联行业、领域逐渐传递,会给国民经济和国家安全造成连锁连片影响的严重后果。完善关键信息基础设施保护法律体系,全面提升关键信息基础设施安全保护意识、保障能力和水平,已经成为网络安全博弈的制胜关键。
2021年8月17日,国务院总理签署国务院令第745号,公布《关键信息基础设施安全保护条例》(以下简称“《条例》”),《条例》自2021年9月1日起施行。本文将以问答形式对《条例》的主要内容进行解析。
《条例》从法律位阶上属于行政法规,是2017年施行的《中华人民共和国网络安全法》(“《网络安全法》”)的下位法。《条例》的发布,旨在落实《网络安全法》有关要求,将为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。
除《网络安全法》和《条例》之外,《网络安全审查办法》从供应链安全的角度,对关键信息基础设施采购网络产品和服务的行为做出了规范;《信息安全技术 关键信息基础设施安全保护要求》站在运营者的角度,对开展安全保护工作提出了安全基本要求,为运营者落实安全主体责任提供依据;《信息安全技术 关键信息基础设施安全检查评估指南》提出了对关键信息基础设施安全检查评估的流程和指标;《信息安全技术 关键信息基础设施安全控制措施》《信息安全技术 关键信息基础设施安全防护能力评价方法》《信息安全技术 关键信息基础设施信息技术产品供应链安全要求》等标准提出了运营者加强安全保护的措施手段,为有效开展自身安全能力建设、提高安全防护水平提供了全方位、系统化、层次化的标准化指导。
关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
至于关键信息基础设施的认定标准,《条例》规定,由以上重要行业和领域的主管部门、监督管理部门负责制定关键信息基础设施认定规则,组织认定本行业、本领域的关键信息基础设施。由此可知关键信息基础设施遵循事先认定原则。
但是,《条例》没有对关键信息基础设施的具体判定标准做出规定。根据2016年生效的《国家网络安全检查操作指南》,确定关键信息基础设施的步骤包括:
一是确定关键业务;
二是确定支撑关键业务的信息系统或工业控制系统;
三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
(1)下表所列业务为该行业的关键业务
(2)确定关键业务相关的信息系统或工业控制系统
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。
(3)认定关键信息基础设施
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
A. 网站类
a) 县级(含)以上党政机关网站
b) 重点新闻网站
c) 日均访问量超过100万人次的网站
d) 一旦发生网络安全事故,可能造成以下影响之一的:
影响超过100万人工作、生活;
影响单个地市级行政区30%以上人口的工作、生活;
造成超过100万人个人信息泄露;
造成大量机构、企业敏感信息泄露;
造成大量地理、人口、资源等国家基础数据泄露;
严重损害政府形象、社会秩序,或危害国家安全。
B.平台类
a) 注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万。
b) 日均成交订单额或交易额超过1000万元。
c) 一旦发生网络安全事故,可能造成以下影响之一的:
造成1000万元以上的直接经济损失;
直接影响超过1000万人工作、生活;
造成超过100万人个人信息泄露;
造成大量机构、企业敏感信息泄露;
造成大量地理、人口、资源等国家基础数据泄露;
严重损害社会和经济秩序,或危害国家安全。
C.生产业务类
a) 地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统。
b) 规模超过1500个标准机架的数据中心。
c) 一旦发生安全事故,可能造成以下影响之一的:
影响单个地市级行政区30%以上人口的工作、生活;
影响10万人用水、用电、用气、用油、取暖或交通出行等;
导致5人以上死亡或50人以上重伤;
直接造成5000万元以上经济损失;
造成超过100万人个人信息泄露;
造成大量机构、企业敏感信息泄露;
造成大量地理、人口、资源等国家基础数据泄露;
严重损害社会和经济秩序,或危害国家安全。
《条例》在总则部分对运营者责任作了原则规定,要求运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
《条例》还设专章(第三章)细化了有关义务要求,主要包括:
建立健全网络安全保护制度和责任制,实行“一把手负责制”,明确运营者主要负责人负总责,保障人财物投入;
设置专门安全管理机构,履行安全保护职责,参与本单位与网络安全和信息化有关的决策,并对机构负责人和关键岗位人员进行安全背景审查;
对关键信息基础设施每年进行网络安全检测和风险评估,及时整改问题并按要求向保护工作部门报送情况;
关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,按规定向保护工作部门、公安机关报告;
优先采购安全可信的网络产品和服务,并与提供者签订安全保密协议;可能影响国家安全的,应当按规定通过安全审查。
此外,关键信息基础设施运营者还负有应急预案、应急演练、网络安全教育培训等义务。
与2017年的征求意见稿相比,正式施行的《条例》删减了网络日志留存、数据分类和加密、重要系统和数据库容灾备份、技术人员持证上岗等运营者义务。我们理解,这是因为在过去四年间,多部网络安全、数据安全和个人信息安全的相关法律法规出台,其内容已经妥善覆盖了2017年征求意见稿的相关要求,无需再对义务人进行重复约束。
4.关键信息基础设施的主管部门是谁?其各自的职责有哪些?
《条例》第三条规定在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
保护工作部门对本行业、本领域关键信息基础设施的安全保护责任包括:
制定关键信息基础设施安全规划,明确保护目标、基本要求、工作任务、具体措施;
建立健全网络安全监测预警制度,及时掌握关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作;
建立健全网络安全事件应急预案,定期组织应急演练;
指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。定期组织开展网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。
与2017年的征求意见稿相比,正式施行的《条例》明确了公安部门在监督关键信息基础设施安全保护工作中的“领头羊”地位,并且将负责的政府部门的层级从县级提升至省级,有助于提高省级范围内监管机构行动的一致性和统一性。
《条例》针对关键信息基础设施运营者未能履行安全保护义务的具体情形,分别规定了警告、罚款、追究民事、行政、刑事责任等处理措施;对失职渎职的主管部门以及工作人员给予处分;实施非法侵入、干扰、破坏关键信息基础设施,危害其安全活动的组织和个人,依法予以罚款、行政拘留和刑事处罚。
实践中,一些个人和组织擅自对关键信息基础设施实施漏洞探测、渗透性测试等活动,影响关键信息基础设施安全。《条例》一是明确任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。二是规定未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。三是在法律责任章节中专门规定了相应罚则。
特别声明
本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。
专业领域
