《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过,并于昨日8月17公布,已于2021年9月1日起施行。
关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。习近平总书记“4.19”讲话提出明确要求“我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。”《关键信息基础设施安全保护条例》为网络安全织密防护网,为国家安全打造金钟罩提供了强有力的行政法规。
《关键信息基础设施安全保护条例》是基于《中华人民共和国网络安全法》,在关键信息基础设施安全保护领域的一个重要法规文件,是引领关键信息基础设施安全保护的重要遵循。
第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
本条规定了关键信息基础设施保护,以及与网络安全等级保护制度的关系。
网络安全法根据我国实践需要,并借鉴一些国家的经验,对关键信息基础设施保护制度作了规定。根据本条规定,关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露将对国家安全、国计民生、公共利益造成重大影响的重要网络设施和系统。本条列举了公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等7个领域,但不限于这些领域,其具体范围将由国务院制定具体办法予以确定。
随着信息技术的广泛应用,能源、利、金融等国民经济重要行业,供电、供水、教育、医疗卫生等关系民生的公共服务领域,以及国家对经济社会事务的管理等,都高度依赖于网络。这些行业和领域的重要网络系统一旦丧失功能、通到破坏,将给国家安全、公共安全、民生福祉造成不可估量的危害。世界范围内针对关键信息基础设施的攻击活动频繁发生并造成严重破坏,如早期伊朗核设施遭受“震网”病毒攻击被破坏、乌克兰电网因受网络攻击致使境内三分之一的地区持续断电、美国域名解析服务器因网络攻击导致众多网络无法访问等,今年比较突出的是美国油气管道被攻击,造成美国东海岸45%的油气供应中断。
另外,国家鼓励参与关键信息基础设施保护体系,有利于参与者参考关键信息基础设施保护的相关要求加强自身网络系统的安全保护,并通过共享安全信息、交流保护经验获取最佳的保护方案,不断完善和改进网络安全保护相关措施,提升其网络安全保护水平。同时,通过自愿参与机制,可以使更多的网络运营者参与到网络风险应对、处置的过程中,不断扩大网络安全风险的感知范围,有利于提高网络安全整体态势的感知能力以及网络安全事件处置的协同配合能力。
我国网络安全保障和防护仍处于较低水平,不仅体现在硬件上,也体现在软件上,更体现在安全意识和安全标准上;网络属非传统领域,这方面的风险与威胁更具有杀伤力和破坏性,必须引起我们高度重视;我国关键信息基础设施防控还比较薄弱,各部门必须守土尽责,密切配合,完善预案,积极应对,切实强化国家关键信息基础设施防护,确保整个网络安全;坚决改变只重技术不重安全的做法,加快构建关键信息基础设施安全保障体系,实现全天候全方位感知和有效防护。
第三十二条按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。
本条规定了负责关键信息基础设施安全保护工作的部门组织开展关键信息基础设施安全保护、监督和指导等工作。
本条同时规定了负责关键信息基础设施安全保护工作的部门的两项主要职责:一是负责编制并组织实施本行业、本领域的关键信息基础设施安全规划;二是指导和监督关键信息基础设施运行安全保护工作。
第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
本条规定了关键信息基础设施的功能性能要求和“三同步”要求。关键信息基础设施承载重要产品和服务的供给,对国家安全、公共利益、国计民生有重大影响,法律对关键信息基础设施及其业务的稳定、持续运行提出了更高要求。如银行等金融交易需要全天候交易,支持这些交易的网络系统也必须每天24小时不间断运行,一旦因系统处理能力不足或故障,造成服务中断,将产生重大损失,甚至会影响金融系统稳定。因此,在建设环节就应当确保关键信息基础设施具有支持业务稳定、持续运行的性能。
关键信息基础设施的运营者应当根据本行业、本系统相关业务运行特点和发展趋势,在建设阶段对其信息系统应达到的性能进行充分研究论证,合理规划设计系统架构,采用必要的设备和措施,确保关键信息基础设施具有支持其业务持续、稳定运行的性能。
在关键信息基础设施设计、施工、投入使用阶段做好网络安全技术防护,对于防范网络安全风险、减少网络安全事件的发生具有重要意义。据此,本条要求保障关键信息基础设施运行安全的技术措施,应当与关键信息基础设施的主体工程同步规划、同步建设、同步使用,通常被称为“三同时”制度。
关键信息基础设施安全技术措施“三同时”应当达到以下要求:一是,建设项目的设计单位在编制项目设计文件时,应当按照规定编制安全技术措施的设计文件;二是,关键信息基础设施的运营者在编制建设项目投资计划时,应当将安全技术措施所需投资一并纳人预算;三是,关键信息基础设施的运营者应当要求施工单位严格按照安全技术措施的设计要求施工;四是,在建设项目验收时,应当对安全技术措施进行调试、检测和验收;五是,安全技术措施应当与主体工程同时投入使用。
第三十四条除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
本条规定了关键信息基础设施运营者应落实的重点措施。关键信息基础设施运营者除落实本法第二十一条规定的措施外,还要落实几项重点措施。
关键信息基础设施的运营者除履行本法第二十一条规定的安全保护义务外,还应当按照本条规定,采取相应的措施,加强关键信息基础设施的网络安全保护。
一是应当完善网络安全管理体系,设置专门安全管理机构和安全管理负责人。安全管理机构和安全管理负责人主要负责组织制定本单位网络安全保护方案和管理制度,对安全管理工作进行协调、指导和监督,以加强对关键信息基础设施网络安全保护工作的领导和统一管理,确保各项安全措施的落实。同时,关键信息基础设施的运营者还应当对安全管理负责人和具有较高权限、能够接触到敏感信息的关键岗位的人员进行安全背景审查,以确定其从事网络安全管理和关键岗位业务的可靠性。
二是应当采取多种方式,定期对从业人员进行网络安全教育、技术培训和技能考核,提高从业人员的网络安全意识和网络安全技术技能。
三是应当对重要系统和数据库进行容灾备份,以保证关键信息基础设施因网络攻击、自然灾害、故障等原因业务受到影响或者停止运行时,确保备份系统能够替代主系统运行,保证其业务正常进行,数据不会丢失。
四是制定网络安全事件应急预案,并定期进行演练,以提高应急工作人员的能力,检验应急预案的有效性。
此外,本条规定了关键信息基础设施运营者在网络安全保护方面的主要义务,关键信息基础设脆的运营者还应当履行其他相关法律、行政法规规定的网络安全保护义务。
第三十五条关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
本条规定了非常态的网络产品和服务的国家安全审查机制。
为了防止关键信息基础设施因使用的产品和服务存在安全缺陷或其他隐患而受到攻击、破坏,或者其存储、处理的数据资源被窃取、泄露从而危害国家安全,网络安全法依据世界贸易组织国家安全例外原则,对关键信息基础设施运营者采购网络产品或者服务的国家安全审查作了规定,这也是落实2015年全国人大常委会通过的国家安全法确立的国家安全审查制度的规定。这一制度不同于本法第二十三条规定的网络关键设备和安全专用产品的安全认证和安全检测,本条规定的国家安全审査只在可能影响国家安全的特殊情形下才启动,在对产品和服务的安全性进行审查的同时,还需要对影响国家安全的其他因素进行审查。国家网信部门应当根据本条规定,会同国务院有关部门制定具体审查办法,明确审查的条件、机制、程序等规则。
第三十六条关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
本条规定了关键信息基础设施运营者、服务商在采购网络产品和服务时的安全责任和义务,防范外包服务安全,关注供应链安全。
建设、维护关键信息基础设施,必然要向供应商采购相关产品和服务,产品和服务的供应链风险是关键信息基础设施面临的主要安全风险之一。本条在实践做法的基础上,要求关键信息基础设施的运营者采购网络产品和服务时,应当按照有关规定与提供者签订安全保密协议,明确安全和保密义务与责任。一是,关键信息基础设施的运营者应当加强资质资信审查,慎重选择网络产品和服务的供应商;二是,应当按照规定与供应商签订保密协议,明确供应商的安全义务、保密义务及不履行义务应承担的责任;三是,应当监督供应商进行设备安装、测试、检测、维修、安全维护等各方面的活动,留存操作记录,保证供应商按照协议的规定履行安全和保密义务。
第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
本条规定了对关键信息基础设施运营者的数据留存和提供的要求。
随着经济社会生活的日渐数字化,社会公共服务以及国家对经济社会事务的管理等都高度依赖关键信息基础设施,这也使关键信息基础设施汇集了大量的个人信息和涉及国家安全、经济安全的重要数据。这些重要数据如果转移至境外,关键信息基础设施的运营者对其控制力必将减弱,其安全风险将增加;同时我国境内的个人要维护其个人信息权利,有关机关依法行使职权需要查阅、调取、处置这些数据必将增加难度。
为了保护关键信息基础设施存储的个人信息和重要数据的安全,本条要求关键信息基础设施的运营者将在我国境内运营中收集和产生的个人信息和重要数据在我国境内存储。同时,本条考虑了关键信息基础设施运营者跨境业务的需要和网络服务的特点,规定因业务需要经过安全评估可以向境外这些数据,此项评估是为了监督并保证对这些数据的保护符合我国的安全要求和标准。本条还考虑到某些国际执法合作等需要,明确法律、行政法规可以作出特别的规定。根据本条规定,国家网信部门应当会同国务院有关部门制定关键信息基础设施数据对外提供的安全评估办法,以实施这一制度。
第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
本条规定了关键信息基础设施运营者开展安全检测评估的规定。安全检测评估活动主要包括等级测评、风险评估、渗透测试等第三方检测机构的技术服务活动。关键信息基础设施运营者开展检测评估,分为两种方式。一种方式是自行检测评估,利用自己的技术力量开展,属于自评估性质;另一种方式是委托网络安全服务机构开展评估,是按照国家有关要求实施。对于后一种方式,关键信息基础设施运营者要按照国家网络安全等级保护制度要求,聘请符合有关要求的第三方测评机构,对第三级以上网络系统,每年应开展一次等级测评、风险评估工作。这两种方式不能混淆,不能相互替代,都要开展。
2014年8月1日,浙江温州有线数字电视网被黑客攻击,影响50万用户、30万台机顶盒,电视屏幕上出现大量违法信息和图片,造成了严重的政治影响。案发原因是有线数字电视网与互联网非法连接,说明网络运营者网络安全管理不规范,既缺乏监测手段,也没有及时开展安全检测并及时发现非法外联。
第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
本条规定了关键信息基础设施保护中应当统筹协调采取的措施。关键信息基础设施涉及的范围较广,面临的安全风险和威胁来自多个方面,有必要在关键信息基础设施运营者和有关主管部门承担安全保护工作的基础上,建立统筹协作机制,发挥各方作用,共同应对这些风险和威胁。统筹协作是关键信息基础设施保护制度的核心。
国家网信部门应当统筹协调有关部门积极支持,网络安全职能部门、行业主管部门、信息安全企业等充分发挥作用,形成合力,支持关键信息基础设施运营者对关键信息基础设施的安全保护采取安全监测、通报预警、态势感知、风险评估、应急演练、信息共享、应急处置等措施,建立关键信息基础设施综合防御体系,提高综合防御能力。
在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。在此我们应该明确一点,即使你的系统安全水平高过等级保护对应等级,也就是即使你加强了防护,等级保护工作还是要做的,因为关键基础设施的保护是在等级保护的基础上进行的,满足等级保护是基本安全要求也是前提,特殊的地方需要安全加固,增强保护也是理所当然的。在满足前提的条件下,只能高于等级保护的要求,不能低于等级保护的要求的。