2021年7月30日,国务院总理李克强签署第745号国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。该《条例》是我国针对关键信息基础设施安全保护的专门性行政法规,也是指导国家网络安全保障工作的基础性行政法规。认真学习领会《条例》内容,对于推动关键信息基础设施安全保障能力建设,维护国家网络空间主权和安全利益具有深刻意义。日前,绿盟科技 CII 安全服务方案小组就《条例》内容进行解读,参见下文:
一、《条例》的发布背景
2003年,中办发27号文中首次提出我们要对基础网络和重要系统的安全进行重点保障。
2014年2月,中央网络安全和信息化领导小组第一次会议,习近平总书记指示,抓紧制定国家关键信息基础设施保护等方面的专项法规。在2016年11月7日通过的《中华人民共和国网络安全法》(以下简称《网络安全法》)中提出在网络安全等级保护制度的基础上对关键信息基础设施实行重点保护。
2021年4月27日,国务院第133次常务会议通过《条例》明确了关键信息基础设施安全保护涉及的范围,管理监督的组织机构,运营者的职责等内容,并于2021年9月1日正式施行。
《网络安全法》作为关键信息基础设施安全保护的上位法,为关键信息基础设施保护工作提供了指导性文件,同时《条例》也是《网络安全审查办法》的重要依据。
二、《条例》涉及的范围
《条例》正式发布稿在《网络安全法》的基础上,进一步明确“国防科技工业”也属于关键信息基础设施的行业和领域。其对象是一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
解读
在国与国之间的网络攻防对抗中,关键信息基础设施将是首当其冲的对象,在认定其范围时,采取业务视角识别可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统是关键。
三、关键信息基础设施保护工作的职能分工
《条例》中明确规定,国家网信部门作为统筹协调方、公安部门作为指导监管方,而电信主管部门则要履行保护和监督管理的工作,省级人民政府的有关部门要依据各自的职责,负责安全保护和监督管理。
根据《网络安全法》确立的框架下,进一步压实各方责任,坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。
解读
从正式发布的《条例》可以看出,网信部门更多的是统筹协调和管理职责,公安部门在关键信息基础设施的安全保护方面承担了相对其他主管部门更多的责任。《条例》中重点对关键信息基础设施运营者的责任义务进行了规定,明确了各类不同角色之间的关系,为不同角色在关键信息基础设施保护工作所处的位置和工作内容指明了方向。
四、《条例》的主要内容
《条例》共分为六章五十一条,对关键信息基础设施安全保护作出了一系列具体规定,包括总则(第一条-第七条)、关键信息基础设施认定(第八条-第十一条)、运营者责任义务(第十二条-第二十一条)、保障和促进(第二十二条-第三十八条)、法律责任(第三十九条-第四十九条)、附则(第五十条-第五十一条),为关键信息基础设施安全保护工作的具体落实指明了方向。
解读
相对于征求意见稿,正式发布稿用专门章节明确关键信息基础设施的认定,说明了认定工作的绝对重要性。
五、关键信息基础设施保护合规遵循的要求
《条例》正式发布明确了关键信息基础设施运营者应关注的内容:
首先,《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律。在实行网络安全相关工作范畴内此法都将是基础依据。而制定《条例》的依据也是《网络安全法》。由于关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,在《网络安全法》中提出在网络安全等级保护制度的基础上对关键信息基础设施实行重点保护。
其次,在《条例》的第六章附则中,明确说明关键信息基础设施中的密码使用和管理,应满足相关法律、行政法规,因此,在涉及密码使用时应满足《中华人民共和国密码法》相关要求。
第三,《中华人民共和国数据安全法》作为《网络安全法》的配套法律,关键信息基础设施保护中应关注重要数据以及个人信息等。
第四,关键信息基础设施在国家网络空间安全中具有重要战略地位,为确保关键信息基础设施供应链安全,关键信息基础设施运营者应遵循《网络安全审查办法》要求,选择满足其防护要求的产品及服务。
一些特殊情况,如存储、处理涉及国家秘密信息的关键信息基础设施保护还应当遵守相关的保密要求;重要行业的关键信息基础设施应满足行业内的相关行政法规的要求。
解读
由上可知,认定为关键信息基础设施的网络或信息系统是安全保护的重点,将面临更加严格的监管和合规约束。
六、关键信息基础设施认定规则和备案机制
《条例》中明确关键信息基础设施的范围,其首要环节是认定。保护工作部门需要确定认定规则,并依据认定规则开展认定工作。
第一,关键信息基础设施认定的责任部门为关键信息基础设施安全保护工作的部门,在《条例》的第二章第八条中定义,重要行业和领域的主管部门、监督管理部门为保护工作部门。也就是说关键信息基础设施认定主要由保护工作部门进行。
第二,对保护工作部门的具体职责进行说明,要求保护工作部门制定本行业、本领域的关键信息基础设施认定规则,依据认定规则进行关键信息基础设施识别认定,并将认定结果通知运营者和报国务院公安部门备案。并明确制定认定规则可考虑系统对于行业的重要程度、系统破坏带来的危害、最后就是系统对其他行业和领域的影响。
第三,明确认定结果是需要进行长期维护的,当关键信息基础设施发生较大变化时,运营者要主动上报变化情况,保护工作部门则应自收到报告起3个月内完成重新认定,并更新在国务院公安部门的备案情况。
解读
保护工作部门是开展关键信息基础设施认定的责任部门,运营者需要根据认定的结果开展保护工作,对于关键信息基础设施发生变化的情况,需要及时上报保护工作部门,否则将受到相应的处罚。
七、关键信息基础设施保护奖励和惩罚机制
第五章为《条例》的执行提供了责任保障。依照《网络安全法》有关规定,延续“谁主管、谁负责”的工作原则进行落实执行,在系统生命周期各阶段明确责任部门及安全职责。
法律责任部分细化了安全保护全过程中各个环节的职责和违反相应《条例》的具体处罚措施。对关键信息基础设施相关人员(运营者、主管人员、监管部门、保护部门、服务机构、个人)可能触发的违法违规行为进行了具体说明,并对相应的行为给出了具体的处罚措施(罚款、追究法律责任、拘留、治安管理处罚、刑事处罚)。
7.1 对运营者、主管责任人的相关责任约束
在安全事故发生前,运营者应当对关键信息基础设施的安全保护措施提前进行规划建设,包括每年至少一次检查、重大变化及时报告、采购安全产品或服务应进行安全审查以及配合管理部门的安全检查等,拒不改正或导致安全后果的将处罚金甚至追究法律责任。
对于安全事故发生后,运营者未报告相关部门的,也会处以相应的罚金。
7.2 对个人的相关责任约束
个人或组织实施非法侵入、干扰、破坏关键信息基础设施,危害其安全活动的,根据其造成的危害情节,依照《网络安全法》,没收违法所得,处15日以下拘留,并处相应的罚金。
对受到治安管理处罚的人员,5年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
7.3 对监管、保护、服务等工作人员的相关责任约束
网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行相关职责或者玩忽职守、滥用职权、徇私舞弊的、亦或者在检查过程中收取费用或变相收取费用的、以及泄露、出售、非法向他人提供相关工作信息的、或者发生重大责任事故的,会对相关监管、保护、服务人员给予处分,严重者会追究法律责任。
解读
《条例》通过大量章节内容阐述了不同角色在违反《条例》规定的情况下所面临的处罚措施,为《条例》的落地执行奠定了坚实的基础。
八、《条例》对网络安全行业的影响
《条例》的正式发布引发了网络安全行业的强烈关注,《条例》提出关键信息基础设施安全保护的具体要求,规定了对于关键信息基础设施安全保护的适用范围、工作原则以及对运营者的处罚原则,明确了各部门对于关键信息基础设施安全保护的责任和义务,以及保障和促进措施,确定了关键信息基础设施的定义和认定流程等内容。为关键信息基础设施安全保护工作提供有力法治保障,使得关键信息基础设施安全保护工作的开展变得有章可循、有据可依,《条例》将是关键信息基础设施安全保护工作开展最为重要的指导文件之一。
解读
《条例》中明确多项责任义务和工作要求,并且对于关键信息基础设施运营者起到强制性要求。因此该《条例》的正式发布,将大力推动我国关键信息基础设施安全保护工作的开展,从监管侧和执行侧为关键信息基础设施安全保护工作的具体落实指明了方向,网络安全行业也将迎来新的一波安全建设热潮,关键信息基础设施进入强监管时代。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。