關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》已經(jīng)2021年4月27日國務(wù)院第133次常務(wù)會議通過,并于昨日8月17公布,已于2021年9月1日起施行。
關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會運(yùn)行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重,也是可能遭到重點(diǎn)攻擊的目標(biāo)。習(xí)近平總書記“4.19”講話提出明確要求“我們必須深入研究,采取有效措施,切實(shí)做好國家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)?!薄蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》為網(wǎng)絡(luò)安全織密防護(hù)網(wǎng),為國家安全打造金鐘罩提供了強(qiáng)有力的行政法規(guī)。
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》是基于《中華人民共和國網(wǎng)絡(luò)安全法》,在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)領(lǐng)域的一個重要法規(guī)文件,是引領(lǐng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的重要遵循。
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡稱“關(guān)保條例”)共6章51條,分別為總則、關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定、運(yùn)營者責(zé)任義務(wù)、保障和促進(jìn)、法律責(zé)任、附則等6章組成。
今天我們一起回顧的是《網(wǎng)絡(luò)安全法》中的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)內(nèi)容:
第三十一條國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定。
國家鼓勵關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系。
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),以及與網(wǎng)絡(luò)安全等級保護(hù)制度的關(guān)系。
網(wǎng)絡(luò)安全法根據(jù)我國實(shí)踐需要,并借鑒一些國家的經(jīng)驗(yàn),對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度作了規(guī)定。根據(jù)本條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施是指那些一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露將對國家安全、國計民生、公共利益造成重大影響的重要網(wǎng)絡(luò)設(shè)施和系統(tǒng)。本條列舉了公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等7個領(lǐng)域,但不限于這些領(lǐng)域,其具體范圍將由國務(wù)院制定具體辦法予以確定。
隨著信息技術(shù)的廣泛應(yīng)用,能源、利、金融等國民經(jīng)濟(jì)重要行業(yè),供電、供水、教育、醫(yī)療衛(wèi)生等關(guān)系民生的公共服務(wù)領(lǐng)域,以及國家對經(jīng)濟(jì)社會事務(wù)的管理等,都高度依賴于網(wǎng)絡(luò)。這些行業(yè)和領(lǐng)域的重要網(wǎng)絡(luò)系統(tǒng)一旦喪失功能、通到破壞,將給國家安全、公共安全、民生福祉造成不可估量的危害。世界范圍內(nèi)針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊活動頻繁發(fā)生并造成嚴(yán)重破壞,如早期伊朗核設(shè)施遭受“震網(wǎng)”病毒攻擊被破壞、烏克蘭電網(wǎng)因受網(wǎng)絡(luò)攻擊致使境內(nèi)三分之一的地區(qū)持續(xù)斷電、美國域名解析服務(wù)器因網(wǎng)絡(luò)攻擊導(dǎo)致眾多網(wǎng)絡(luò)無法訪問等,今年比較突出的是美國油氣管道被攻擊,造成美國東海岸45%的油氣供應(yīng)中斷。
另外,國家鼓勵參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系,有利于參與者參考關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的相關(guān)要求加強(qiáng)自身網(wǎng)絡(luò)系統(tǒng)的安全保護(hù),并通過共享安全信息、交流保護(hù)經(jīng)驗(yàn)獲取最佳的保護(hù)方案,不斷完善和改進(jìn)網(wǎng)絡(luò)安全保護(hù)相關(guān)措施,提升其網(wǎng)絡(luò)安全保護(hù)水平。同時,通過自愿參與機(jī)制,可以使更多的網(wǎng)絡(luò)運(yùn)營者參與到網(wǎng)絡(luò)風(fēng)險應(yīng)對、處置的過程中,不斷擴(kuò)大網(wǎng)絡(luò)安全風(fēng)險的感知范圍,有利于提高網(wǎng)絡(luò)安全整體態(tài)勢的感知能力以及網(wǎng)絡(luò)安全事件處置的協(xié)同配合能力。
我國網(wǎng)絡(luò)安全保障和防護(hù)仍處于較低水平,不僅體現(xiàn)在硬件上,也體現(xiàn)在軟件上,更體現(xiàn)在安全意識和安全標(biāo)準(zhǔn)上;網(wǎng)絡(luò)屬非傳統(tǒng)領(lǐng)域,這方面的風(fēng)險與威脅更具有殺傷力和破壞性,必須引起我們高度重視;我國關(guān)鍵信息基礎(chǔ)設(shè)施防控還比較薄弱,各部門必須守土盡責(zé),密切配合,完善預(yù)案,積極應(yīng)對,切實(shí)強(qiáng)化國家關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù),確保整個網(wǎng)絡(luò)安全;堅(jiān)決改變只重技術(shù)不重安全的做法,加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系,實(shí)現(xiàn)全天候全方位感知和有效防護(hù)。
第三十二條按照國務(wù)院規(guī)定的職責(zé)分工,負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門分別編制并組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃,指導(dǎo)和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全保護(hù)工作。
本條規(guī)定了負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門組織開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、監(jiān)督和指導(dǎo)等工作。
本條同時規(guī)定了負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門的兩項(xiàng)主要職責(zé):一是負(fù)責(zé)編制并組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃;二是指導(dǎo)和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全保護(hù)工作。
第三十三條建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能,并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的功能性能要求和“三同步”要求。關(guān)鍵信息基礎(chǔ)設(shè)施承載重要產(chǎn)品和服務(wù)的供給,對國家安全、公共利益、國計民生有重大影響,法律對關(guān)鍵信息基礎(chǔ)設(shè)施及其業(yè)務(wù)的穩(wěn)定、持續(xù)運(yùn)行提出了更高要求。如銀行等金融交易需要全天候交易,支持這些交易的網(wǎng)絡(luò)系統(tǒng)也必須每天24小時不間斷運(yùn)行,一旦因系統(tǒng)處理能力不足或故障,造成服務(wù)中斷,將產(chǎn)生重大損失,甚至?xí)绊懡鹑谙到y(tǒng)穩(wěn)定。因此,在建設(shè)環(huán)節(jié)就應(yīng)當(dāng)確保關(guān)鍵信息基礎(chǔ)設(shè)施具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能。
關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)根據(jù)本行業(yè)、本系統(tǒng)相關(guān)業(yè)務(wù)運(yùn)行特點(diǎn)和發(fā)展趨勢,在建設(shè)階段對其信息系統(tǒng)應(yīng)達(dá)到的性能進(jìn)行充分研究論證,合理規(guī)劃設(shè)計系統(tǒng)架構(gòu),采用必要的設(shè)備和措施,確保關(guān)鍵信息基礎(chǔ)設(shè)施具有支持其業(yè)務(wù)持續(xù)、穩(wěn)定運(yùn)行的性能。
在關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)計、施工、投入使用階段做好網(wǎng)絡(luò)安全技術(shù)防護(hù),對于防范網(wǎng)絡(luò)安全風(fēng)險、減少網(wǎng)絡(luò)安全事件的發(fā)生具有重要意義。據(jù)此,本條要求保障關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全的技術(shù)措施,應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施的主體工程同步規(guī)劃、同步建設(shè)、同步使用,通常被稱為“三同時”制度。
關(guān)鍵信息基礎(chǔ)設(shè)施安全技術(shù)措施“三同時”應(yīng)當(dāng)達(dá)到以下要求:一是,建設(shè)項(xiàng)目的設(shè)計單位在編制項(xiàng)目設(shè)計文件時,應(yīng)當(dāng)按照規(guī)定編制安全技術(shù)措施的設(shè)計文件;二是,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在編制建設(shè)項(xiàng)目投資計劃時,應(yīng)當(dāng)將安全技術(shù)措施所需投資一并納人預(yù)算;三是,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)要求施工單位嚴(yán)格按照安全技術(shù)措施的設(shè)計要求施工;四是,在建設(shè)項(xiàng)目驗(yàn)收時,應(yīng)當(dāng)對安全技術(shù)措施進(jìn)行調(diào)試、檢測和驗(yàn)收;五是,安全技術(shù)措施應(yīng)當(dāng)與主體工程同時投入使用。
第三十四條除本法第二十一條的規(guī)定外,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù):
(一)設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人,并對該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查;
(二)定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核;
(三)對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份;
(四)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期進(jìn)行演練;
(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)落實(shí)的重點(diǎn)措施。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者除落實(shí)本法第二十一條規(guī)定的措施外,還要落實(shí)幾項(xiàng)重點(diǎn)措施。
關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者除履行本法第二十一條規(guī)定的安全保護(hù)義務(wù)外,還應(yīng)當(dāng)按照本條規(guī)定,采取相應(yīng)的措施,加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保護(hù)。
一是應(yīng)當(dāng)完善網(wǎng)絡(luò)安全管理體系,設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人。安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人主要負(fù)責(zé)組織制定本單位網(wǎng)絡(luò)安全保護(hù)方案和管理制度,對安全管理工作進(jìn)行協(xié)調(diào)、指導(dǎo)和監(jiān)督,以加強(qiáng)對關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)工作的領(lǐng)導(dǎo)和統(tǒng)一管理,確保各項(xiàng)安全措施的落實(shí)。同時,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)對安全管理負(fù)責(zé)人和具有較高權(quán)限、能夠接觸到敏感信息的關(guān)鍵崗位的人員進(jìn)行安全背景審查,以確定其從事網(wǎng)絡(luò)安全管理和關(guān)鍵崗位業(yè)務(wù)的可靠性。
二是應(yīng)當(dāng)采取多種方式,定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核,提高從業(yè)人員的網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)安全技術(shù)技能。
三是應(yīng)當(dāng)對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份,以保證關(guān)鍵信息基礎(chǔ)設(shè)施因網(wǎng)絡(luò)攻擊、自然災(zāi)害、故障等原因業(yè)務(wù)受到影響或者停止運(yùn)行時,確保備份系統(tǒng)能夠替代主系統(tǒng)運(yùn)行,保證其業(yè)務(wù)正常進(jìn)行,數(shù)據(jù)不會丟失。
四是制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期進(jìn)行演練,以提高應(yīng)急工作人員的能力,檢驗(yàn)應(yīng)急預(yù)案的有效性。
此外,本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在網(wǎng)絡(luò)安全保護(hù)方面的主要義務(wù),關(guān)鍵信息基礎(chǔ)設(shè)脆的運(yùn)營者還應(yīng)當(dāng)履行其他相關(guān)法律、行政法規(guī)規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)。
第三十五條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。
本條規(guī)定了非常態(tài)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國家安全審查機(jī)制。
為了防止關(guān)鍵信息基礎(chǔ)設(shè)施因使用的產(chǎn)品和服務(wù)存在安全缺陷或其他隱患而受到攻擊、破壞,或者其存儲、處理的數(shù)據(jù)資源被竊取、泄露從而危害國家安全,網(wǎng)絡(luò)安全法依據(jù)世界貿(mào)易組織國家安全例外原則,對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的國家安全審查作了規(guī)定,這也是落實(shí)2015年全國人大常委會通過的國家安全法確立的國家安全審查制度的規(guī)定。這一制度不同于本法第二十三條規(guī)定的網(wǎng)絡(luò)關(guān)鍵設(shè)備和安全專用產(chǎn)品的安全認(rèn)證和安全檢測,本條規(guī)定的國家安全審査只在可能影響國家安全的特殊情形下才啟動,在對產(chǎn)品和服務(wù)的安全性進(jìn)行審查的同時,還需要對影響國家安全的其他因素進(jìn)行審查。國家網(wǎng)信部門應(yīng)當(dāng)根據(jù)本條規(guī)定,會同國務(wù)院有關(guān)部門制定具體審查辦法,明確審查的條件、機(jī)制、程序等規(guī)則。
第三十六條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議,明確安全和保密義務(wù)與責(zé)任。
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、服務(wù)商在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時的安全責(zé)任和義務(wù),防范外包服務(wù)安全,關(guān)注供應(yīng)鏈安全。
建設(shè)、維護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施,必然要向供應(yīng)商采購相關(guān)產(chǎn)品和服務(wù),產(chǎn)品和服務(wù)的供應(yīng)鏈風(fēng)險是關(guān)鍵信息基礎(chǔ)設(shè)施面臨的主要安全風(fēng)險之一。本條在實(shí)踐做法的基礎(chǔ)上,要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時,應(yīng)當(dāng)按照有關(guān)規(guī)定與提供者簽訂安全保密協(xié)議,明確安全和保密義務(wù)與責(zé)任。一是,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)加強(qiáng)資質(zhì)資信審查,慎重選擇網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)商;二是,應(yīng)當(dāng)按照規(guī)定與供應(yīng)商簽訂保密協(xié)議,明確供應(yīng)商的安全義務(wù)、保密義務(wù)及不履行義務(wù)應(yīng)承擔(dān)的責(zé)任;三是,應(yīng)當(dāng)監(jiān)督供應(yīng)商進(jìn)行設(shè)備安裝、測試、檢測、維修、安全維護(hù)等各方面的活動,留存操作記錄,保證供應(yīng)商按照協(xié)議的規(guī)定履行安全和保密義務(wù)。
第三十七條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。
本條規(guī)定了對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的數(shù)據(jù)留存和提供的要求。
隨著經(jīng)濟(jì)社會生活的日漸數(shù)字化,社會公共服務(wù)以及國家對經(jīng)濟(jì)社會事務(wù)的管理等都高度依賴關(guān)鍵信息基礎(chǔ)設(shè)施,這也使關(guān)鍵信息基礎(chǔ)設(shè)施匯集了大量的個人信息和涉及國家安全、經(jīng)濟(jì)安全的重要數(shù)據(jù)。這些重要數(shù)據(jù)如果轉(zhuǎn)移至境外,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者對其控制力必將減弱,其安全風(fēng)險將增加;同時我國境內(nèi)的個人要維護(hù)其個人信息權(quán)利,有關(guān)機(jī)關(guān)依法行使職權(quán)需要查閱、調(diào)取、處置這些數(shù)據(jù)必將增加難度。
為了保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施存儲的個人信息和重要數(shù)據(jù)的安全,本條要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者將在我國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)在我國境內(nèi)存儲。同時,本條考慮了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者跨境業(yè)務(wù)的需要和網(wǎng)絡(luò)服務(wù)的特點(diǎn),規(guī)定因業(yè)務(wù)需要經(jīng)過安全評估可以向境外這些數(shù)據(jù),此項(xiàng)評估是為了監(jiān)督并保證對這些數(shù)據(jù)的保護(hù)符合我國的安全要求和標(biāo)準(zhǔn)。本條還考慮到某些國際執(zhí)法合作等需要,明確法律、行政法規(guī)可以作出特別的規(guī)定。根據(jù)本條規(guī)定,國家網(wǎng)信部門應(yīng)當(dāng)會同國務(wù)院有關(guān)部門制定關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)對外提供的安全評估辦法,以實(shí)施這一制度。
第三十八條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估,并將檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者開展安全檢測評估的規(guī)定。安全檢測評估活動主要包括等級測評、風(fēng)險評估、滲透測試等第三方檢測機(jī)構(gòu)的技術(shù)服務(wù)活動。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者開展檢測評估,分為兩種方式。一種方式是自行檢測評估,利用自己的技術(shù)力量開展,屬于自評估性質(zhì);另一種方式是委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開展評估,是按照國家有關(guān)要求實(shí)施。對于后一種方式,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者要按照國家網(wǎng)絡(luò)安全等級保護(hù)制度要求,聘請符合有關(guān)要求的第三方測評機(jī)構(gòu),對第三級以上網(wǎng)絡(luò)系統(tǒng),每年應(yīng)開展一次等級測評、風(fēng)險評估工作。這兩種方式不能混淆,不能相互替代,都要開展。
2014年8月1日,浙江溫州有線數(shù)字電視網(wǎng)被黑客攻擊,影響50萬用戶、30萬臺機(jī)頂盒,電視屏幕上出現(xiàn)大量違法信息和圖片,造成了嚴(yán)重的政治影響。案發(fā)原因是有線數(shù)字電視網(wǎng)與互聯(lián)網(wǎng)非法連接,說明網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)安全管理不規(guī)范,既缺乏監(jiān)測手段,也沒有及時開展安全檢測并及時發(fā)現(xiàn)非法外聯(lián)。
第三十九條國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門對關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取下列措施:
(一)對關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險進(jìn)行抽查檢測,提出改進(jìn)措施,必要時可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對網(wǎng)絡(luò)存在的安全風(fēng)險進(jìn)行檢測評估;
(二)定期組織關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練,提高應(yīng)對網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力;
(三)促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享;
(四)對網(wǎng)絡(luò)安全事件的應(yīng)急處置與網(wǎng)絡(luò)功能的恢復(fù)等,提供技術(shù)支持和協(xié)助。
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)采取的措施。關(guān)鍵信息基礎(chǔ)設(shè)施涉及的范圍較廣,面臨的安全風(fēng)險和威脅來自多個方面,有必要在關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和有關(guān)主管部門承擔(dān)安全保護(hù)工作的基礎(chǔ)上,建立統(tǒng)籌協(xié)作機(jī)制,發(fā)揮各方作用,共同應(yīng)對這些風(fēng)險和威脅。統(tǒng)籌協(xié)作是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度的核心。
國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門積極支持,網(wǎng)絡(luò)安全職能部門、行業(yè)主管部門、信息安全企業(yè)等充分發(fā)揮作用,形成合力,支持關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者對關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取安全監(jiān)測、通報預(yù)警、態(tài)勢感知、風(fēng)險評估、應(yīng)急演練、信息共享、應(yīng)急處置等措施,建立關(guān)鍵信息基礎(chǔ)設(shè)施綜合防御體系,提高綜合防御能力。
在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定。在此我們應(yīng)該明確一點(diǎn),即使你的系統(tǒng)安全水平高過等級保護(hù)對應(yīng)等級,也就是即使你加強(qiáng)了防護(hù),等級保護(hù)工作還是要做的,因?yàn)殛P(guān)鍵基礎(chǔ)設(shè)施的保護(hù)是在等級保護(hù)的基礎(chǔ)上進(jìn)行的,滿足等級保護(hù)是基本安全要求也是前提,特殊的地方需要安全加固,增強(qiáng)保護(hù)也是理所當(dāng)然的。在滿足前提的條件下,只能高于等級保護(hù)的要求,不能低于等級保護(hù)的要求的。
關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會運(yùn)行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重,也是可能遭到重點(diǎn)攻擊的目標(biāo)。習(xí)近平總書記“4.19”講話提出明確要求“我們必須深入研究,采取有效措施,切實(shí)做好國家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)?!薄蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》為網(wǎng)絡(luò)安全織密防護(hù)網(wǎng),為國家安全打造金鐘罩提供了強(qiáng)有力的行政法規(guī)。
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》是基于《中華人民共和國網(wǎng)絡(luò)安全法》,在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)領(lǐng)域的一個重要法規(guī)文件,是引領(lǐng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的重要遵循。
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡稱“關(guān)保條例”)共6章51條,分別為總則、關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定、運(yùn)營者責(zé)任義務(wù)、保障和促進(jìn)、法律責(zé)任、附則等6章組成。
今天我們一起回顧的是《網(wǎng)絡(luò)安全法》中的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)內(nèi)容:
第三十一條國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定。
國家鼓勵關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系。
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),以及與網(wǎng)絡(luò)安全等級保護(hù)制度的關(guān)系。
網(wǎng)絡(luò)安全法根據(jù)我國實(shí)踐需要,并借鑒一些國家的經(jīng)驗(yàn),對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度作了規(guī)定。根據(jù)本條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施是指那些一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露將對國家安全、國計民生、公共利益造成重大影響的重要網(wǎng)絡(luò)設(shè)施和系統(tǒng)。本條列舉了公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等7個領(lǐng)域,但不限于這些領(lǐng)域,其具體范圍將由國務(wù)院制定具體辦法予以確定。
隨著信息技術(shù)的廣泛應(yīng)用,能源、利、金融等國民經(jīng)濟(jì)重要行業(yè),供電、供水、教育、醫(yī)療衛(wèi)生等關(guān)系民生的公共服務(wù)領(lǐng)域,以及國家對經(jīng)濟(jì)社會事務(wù)的管理等,都高度依賴于網(wǎng)絡(luò)。這些行業(yè)和領(lǐng)域的重要網(wǎng)絡(luò)系統(tǒng)一旦喪失功能、通到破壞,將給國家安全、公共安全、民生福祉造成不可估量的危害。世界范圍內(nèi)針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊活動頻繁發(fā)生并造成嚴(yán)重破壞,如早期伊朗核設(shè)施遭受“震網(wǎng)”病毒攻擊被破壞、烏克蘭電網(wǎng)因受網(wǎng)絡(luò)攻擊致使境內(nèi)三分之一的地區(qū)持續(xù)斷電、美國域名解析服務(wù)器因網(wǎng)絡(luò)攻擊導(dǎo)致眾多網(wǎng)絡(luò)無法訪問等,今年比較突出的是美國油氣管道被攻擊,造成美國東海岸45%的油氣供應(yīng)中斷。
另外,國家鼓勵參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系,有利于參與者參考關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的相關(guān)要求加強(qiáng)自身網(wǎng)絡(luò)系統(tǒng)的安全保護(hù),并通過共享安全信息、交流保護(hù)經(jīng)驗(yàn)獲取最佳的保護(hù)方案,不斷完善和改進(jìn)網(wǎng)絡(luò)安全保護(hù)相關(guān)措施,提升其網(wǎng)絡(luò)安全保護(hù)水平。同時,通過自愿參與機(jī)制,可以使更多的網(wǎng)絡(luò)運(yùn)營者參與到網(wǎng)絡(luò)風(fēng)險應(yīng)對、處置的過程中,不斷擴(kuò)大網(wǎng)絡(luò)安全風(fēng)險的感知范圍,有利于提高網(wǎng)絡(luò)安全整體態(tài)勢的感知能力以及網(wǎng)絡(luò)安全事件處置的協(xié)同配合能力。
我國網(wǎng)絡(luò)安全保障和防護(hù)仍處于較低水平,不僅體現(xiàn)在硬件上,也體現(xiàn)在軟件上,更體現(xiàn)在安全意識和安全標(biāo)準(zhǔn)上;網(wǎng)絡(luò)屬非傳統(tǒng)領(lǐng)域,這方面的風(fēng)險與威脅更具有殺傷力和破壞性,必須引起我們高度重視;我國關(guān)鍵信息基礎(chǔ)設(shè)施防控還比較薄弱,各部門必須守土盡責(zé),密切配合,完善預(yù)案,積極應(yīng)對,切實(shí)強(qiáng)化國家關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù),確保整個網(wǎng)絡(luò)安全;堅(jiān)決改變只重技術(shù)不重安全的做法,加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系,實(shí)現(xiàn)全天候全方位感知和有效防護(hù)。
第三十二條按照國務(wù)院規(guī)定的職責(zé)分工,負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門分別編制并組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃,指導(dǎo)和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全保護(hù)工作。
本條規(guī)定了負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門組織開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、監(jiān)督和指導(dǎo)等工作。
本條同時規(guī)定了負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門的兩項(xiàng)主要職責(zé):一是負(fù)責(zé)編制并組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃;二是指導(dǎo)和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全保護(hù)工作。
第三十三條建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能,并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的功能性能要求和“三同步”要求。關(guān)鍵信息基礎(chǔ)設(shè)施承載重要產(chǎn)品和服務(wù)的供給,對國家安全、公共利益、國計民生有重大影響,法律對關(guān)鍵信息基礎(chǔ)設(shè)施及其業(yè)務(wù)的穩(wěn)定、持續(xù)運(yùn)行提出了更高要求。如銀行等金融交易需要全天候交易,支持這些交易的網(wǎng)絡(luò)系統(tǒng)也必須每天24小時不間斷運(yùn)行,一旦因系統(tǒng)處理能力不足或故障,造成服務(wù)中斷,將產(chǎn)生重大損失,甚至?xí)绊懡鹑谙到y(tǒng)穩(wěn)定。因此,在建設(shè)環(huán)節(jié)就應(yīng)當(dāng)確保關(guān)鍵信息基礎(chǔ)設(shè)施具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能。
關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)根據(jù)本行業(yè)、本系統(tǒng)相關(guān)業(yè)務(wù)運(yùn)行特點(diǎn)和發(fā)展趨勢,在建設(shè)階段對其信息系統(tǒng)應(yīng)達(dá)到的性能進(jìn)行充分研究論證,合理規(guī)劃設(shè)計系統(tǒng)架構(gòu),采用必要的設(shè)備和措施,確保關(guān)鍵信息基礎(chǔ)設(shè)施具有支持其業(yè)務(wù)持續(xù)、穩(wěn)定運(yùn)行的性能。
在關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)計、施工、投入使用階段做好網(wǎng)絡(luò)安全技術(shù)防護(hù),對于防范網(wǎng)絡(luò)安全風(fēng)險、減少網(wǎng)絡(luò)安全事件的發(fā)生具有重要意義。據(jù)此,本條要求保障關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全的技術(shù)措施,應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施的主體工程同步規(guī)劃、同步建設(shè)、同步使用,通常被稱為“三同時”制度。
關(guān)鍵信息基礎(chǔ)設(shè)施安全技術(shù)措施“三同時”應(yīng)當(dāng)達(dá)到以下要求:一是,建設(shè)項(xiàng)目的設(shè)計單位在編制項(xiàng)目設(shè)計文件時,應(yīng)當(dāng)按照規(guī)定編制安全技術(shù)措施的設(shè)計文件;二是,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在編制建設(shè)項(xiàng)目投資計劃時,應(yīng)當(dāng)將安全技術(shù)措施所需投資一并納人預(yù)算;三是,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)要求施工單位嚴(yán)格按照安全技術(shù)措施的設(shè)計要求施工;四是,在建設(shè)項(xiàng)目驗(yàn)收時,應(yīng)當(dāng)對安全技術(shù)措施進(jìn)行調(diào)試、檢測和驗(yàn)收;五是,安全技術(shù)措施應(yīng)當(dāng)與主體工程同時投入使用。
第三十四條除本法第二十一條的規(guī)定外,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù):
(一)設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人,并對該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查;
(二)定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核;
(三)對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份;
(四)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期進(jìn)行演練;
(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)落實(shí)的重點(diǎn)措施。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者除落實(shí)本法第二十一條規(guī)定的措施外,還要落實(shí)幾項(xiàng)重點(diǎn)措施。
關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者除履行本法第二十一條規(guī)定的安全保護(hù)義務(wù)外,還應(yīng)當(dāng)按照本條規(guī)定,采取相應(yīng)的措施,加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保護(hù)。
一是應(yīng)當(dāng)完善網(wǎng)絡(luò)安全管理體系,設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人。安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人主要負(fù)責(zé)組織制定本單位網(wǎng)絡(luò)安全保護(hù)方案和管理制度,對安全管理工作進(jìn)行協(xié)調(diào)、指導(dǎo)和監(jiān)督,以加強(qiáng)對關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)工作的領(lǐng)導(dǎo)和統(tǒng)一管理,確保各項(xiàng)安全措施的落實(shí)。同時,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)對安全管理負(fù)責(zé)人和具有較高權(quán)限、能夠接觸到敏感信息的關(guān)鍵崗位的人員進(jìn)行安全背景審查,以確定其從事網(wǎng)絡(luò)安全管理和關(guān)鍵崗位業(yè)務(wù)的可靠性。
二是應(yīng)當(dāng)采取多種方式,定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核,提高從業(yè)人員的網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)安全技術(shù)技能。
三是應(yīng)當(dāng)對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份,以保證關(guān)鍵信息基礎(chǔ)設(shè)施因網(wǎng)絡(luò)攻擊、自然災(zāi)害、故障等原因業(yè)務(wù)受到影響或者停止運(yùn)行時,確保備份系統(tǒng)能夠替代主系統(tǒng)運(yùn)行,保證其業(yè)務(wù)正常進(jìn)行,數(shù)據(jù)不會丟失。
四是制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期進(jìn)行演練,以提高應(yīng)急工作人員的能力,檢驗(yàn)應(yīng)急預(yù)案的有效性。
此外,本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在網(wǎng)絡(luò)安全保護(hù)方面的主要義務(wù),關(guān)鍵信息基礎(chǔ)設(shè)脆的運(yùn)營者還應(yīng)當(dāng)履行其他相關(guān)法律、行政法規(guī)規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)。
第三十五條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。
本條規(guī)定了非常態(tài)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國家安全審查機(jī)制。
為了防止關(guān)鍵信息基礎(chǔ)設(shè)施因使用的產(chǎn)品和服務(wù)存在安全缺陷或其他隱患而受到攻擊、破壞,或者其存儲、處理的數(shù)據(jù)資源被竊取、泄露從而危害國家安全,網(wǎng)絡(luò)安全法依據(jù)世界貿(mào)易組織國家安全例外原則,對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的國家安全審查作了規(guī)定,這也是落實(shí)2015年全國人大常委會通過的國家安全法確立的國家安全審查制度的規(guī)定。這一制度不同于本法第二十三條規(guī)定的網(wǎng)絡(luò)關(guān)鍵設(shè)備和安全專用產(chǎn)品的安全認(rèn)證和安全檢測,本條規(guī)定的國家安全審査只在可能影響國家安全的特殊情形下才啟動,在對產(chǎn)品和服務(wù)的安全性進(jìn)行審查的同時,還需要對影響國家安全的其他因素進(jìn)行審查。國家網(wǎng)信部門應(yīng)當(dāng)根據(jù)本條規(guī)定,會同國務(wù)院有關(guān)部門制定具體審查辦法,明確審查的條件、機(jī)制、程序等規(guī)則。
第三十六條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議,明確安全和保密義務(wù)與責(zé)任。
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、服務(wù)商在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時的安全責(zé)任和義務(wù),防范外包服務(wù)安全,關(guān)注供應(yīng)鏈安全。
建設(shè)、維護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施,必然要向供應(yīng)商采購相關(guān)產(chǎn)品和服務(wù),產(chǎn)品和服務(wù)的供應(yīng)鏈風(fēng)險是關(guān)鍵信息基礎(chǔ)設(shè)施面臨的主要安全風(fēng)險之一。本條在實(shí)踐做法的基礎(chǔ)上,要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時,應(yīng)當(dāng)按照有關(guān)規(guī)定與提供者簽訂安全保密協(xié)議,明確安全和保密義務(wù)與責(zé)任。一是,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)加強(qiáng)資質(zhì)資信審查,慎重選擇網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)商;二是,應(yīng)當(dāng)按照規(guī)定與供應(yīng)商簽訂保密協(xié)議,明確供應(yīng)商的安全義務(wù)、保密義務(wù)及不履行義務(wù)應(yīng)承擔(dān)的責(zé)任;三是,應(yīng)當(dāng)監(jiān)督供應(yīng)商進(jìn)行設(shè)備安裝、測試、檢測、維修、安全維護(hù)等各方面的活動,留存操作記錄,保證供應(yīng)商按照協(xié)議的規(guī)定履行安全和保密義務(wù)。
第三十七條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。
本條規(guī)定了對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的數(shù)據(jù)留存和提供的要求。
隨著經(jīng)濟(jì)社會生活的日漸數(shù)字化,社會公共服務(wù)以及國家對經(jīng)濟(jì)社會事務(wù)的管理等都高度依賴關(guān)鍵信息基礎(chǔ)設(shè)施,這也使關(guān)鍵信息基礎(chǔ)設(shè)施匯集了大量的個人信息和涉及國家安全、經(jīng)濟(jì)安全的重要數(shù)據(jù)。這些重要數(shù)據(jù)如果轉(zhuǎn)移至境外,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者對其控制力必將減弱,其安全風(fēng)險將增加;同時我國境內(nèi)的個人要維護(hù)其個人信息權(quán)利,有關(guān)機(jī)關(guān)依法行使職權(quán)需要查閱、調(diào)取、處置這些數(shù)據(jù)必將增加難度。
為了保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施存儲的個人信息和重要數(shù)據(jù)的安全,本條要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者將在我國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)在我國境內(nèi)存儲。同時,本條考慮了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者跨境業(yè)務(wù)的需要和網(wǎng)絡(luò)服務(wù)的特點(diǎn),規(guī)定因業(yè)務(wù)需要經(jīng)過安全評估可以向境外這些數(shù)據(jù),此項(xiàng)評估是為了監(jiān)督并保證對這些數(shù)據(jù)的保護(hù)符合我國的安全要求和標(biāo)準(zhǔn)。本條還考慮到某些國際執(zhí)法合作等需要,明確法律、行政法規(guī)可以作出特別的規(guī)定。根據(jù)本條規(guī)定,國家網(wǎng)信部門應(yīng)當(dāng)會同國務(wù)院有關(guān)部門制定關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)對外提供的安全評估辦法,以實(shí)施這一制度。
第三十八條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估,并將檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者開展安全檢測評估的規(guī)定。安全檢測評估活動主要包括等級測評、風(fēng)險評估、滲透測試等第三方檢測機(jī)構(gòu)的技術(shù)服務(wù)活動。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者開展檢測評估,分為兩種方式。一種方式是自行檢測評估,利用自己的技術(shù)力量開展,屬于自評估性質(zhì);另一種方式是委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開展評估,是按照國家有關(guān)要求實(shí)施。對于后一種方式,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者要按照國家網(wǎng)絡(luò)安全等級保護(hù)制度要求,聘請符合有關(guān)要求的第三方測評機(jī)構(gòu),對第三級以上網(wǎng)絡(luò)系統(tǒng),每年應(yīng)開展一次等級測評、風(fēng)險評估工作。這兩種方式不能混淆,不能相互替代,都要開展。
2014年8月1日,浙江溫州有線數(shù)字電視網(wǎng)被黑客攻擊,影響50萬用戶、30萬臺機(jī)頂盒,電視屏幕上出現(xiàn)大量違法信息和圖片,造成了嚴(yán)重的政治影響。案發(fā)原因是有線數(shù)字電視網(wǎng)與互聯(lián)網(wǎng)非法連接,說明網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)安全管理不規(guī)范,既缺乏監(jiān)測手段,也沒有及時開展安全檢測并及時發(fā)現(xiàn)非法外聯(lián)。
第三十九條國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門對關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取下列措施:
(一)對關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險進(jìn)行抽查檢測,提出改進(jìn)措施,必要時可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對網(wǎng)絡(luò)存在的安全風(fēng)險進(jìn)行檢測評估;
(二)定期組織關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練,提高應(yīng)對網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力;
(三)促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享;
(四)對網(wǎng)絡(luò)安全事件的應(yīng)急處置與網(wǎng)絡(luò)功能的恢復(fù)等,提供技術(shù)支持和協(xié)助。
本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)采取的措施。關(guān)鍵信息基礎(chǔ)設(shè)施涉及的范圍較廣,面臨的安全風(fēng)險和威脅來自多個方面,有必要在關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和有關(guān)主管部門承擔(dān)安全保護(hù)工作的基礎(chǔ)上,建立統(tǒng)籌協(xié)作機(jī)制,發(fā)揮各方作用,共同應(yīng)對這些風(fēng)險和威脅。統(tǒng)籌協(xié)作是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度的核心。
國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門積極支持,網(wǎng)絡(luò)安全職能部門、行業(yè)主管部門、信息安全企業(yè)等充分發(fā)揮作用,形成合力,支持關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者對關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取安全監(jiān)測、通報預(yù)警、態(tài)勢感知、風(fēng)險評估、應(yīng)急演練、信息共享、應(yīng)急處置等措施,建立關(guān)鍵信息基礎(chǔ)設(shè)施綜合防御體系,提高綜合防御能力。
在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定。在此我們應(yīng)該明確一點(diǎn),即使你的系統(tǒng)安全水平高過等級保護(hù)對應(yīng)等級,也就是即使你加強(qiáng)了防護(hù),等級保護(hù)工作還是要做的,因?yàn)殛P(guān)鍵基礎(chǔ)設(shè)施的保護(hù)是在等級保護(hù)的基礎(chǔ)上進(jìn)行的,滿足等級保護(hù)是基本安全要求也是前提,特殊的地方需要安全加固,增強(qiáng)保護(hù)也是理所當(dāng)然的。在滿足前提的條件下,只能高于等級保護(hù)的要求,不能低于等級保護(hù)的要求的。