绿盟

绿盟科技

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

筑牢国家安全屏障|《关键信息基础设施安全保护条例》浅析

2021-08-24

近日,国务院正式颁布《关键信息基础设施安全保护条例》(以下简称《条例》)。《条例》的颁布,不仅提升了我国关键信息基础设施安全保护依据的效力层级,更对一系列重要制度、机制加以完善和固化,必将推动开启我国关键信息基础设施安全保护的新格局。

一、总体特点概述:两个统筹

《条例》共六章51条,第一章总则(第一至七条)、第二章关键信息基础设施认定(第八至十一条)、第三章运营者责任义务(第十二至二十一条)、第四章保障和促进(第二十二至三十八条)、第五章法律责任(第三十九至四十九条)、第六章附则(第五十至五十一条)。除法律责任和附则外,《条例》重点通过前四个章节对关键信息基础设施保护攸关的管理体系、适用对象、主体责任和管理职责进行了规定。

整体来看,《条例》内容集中体现了“两个统筹”的特点。一是注重立法内容的统筹。与此前的征求意见版本相比,《条例》大幅减少了有关授权立制(规定、标准)的内容,对相关保护工作要求尽可能在条文中明确、不再过多以开放的方式留待未来制度或标准解决。从而能够大大减少因立制周期长带来的效率延误。二是注重权责划分的统筹。《条例》立足关键信息基础设施保护工作不同主体的核心职能优势,进一步明确了各主体担负的权责、明确了各主体间的工作协同机制。这无疑有利于减少因工作边界不清等带来的效率延误,也可充分调动各方面在保护工作中的主体意识和主动性。关键信息基础设施安全是网络安全的重要一环,《条例》通过“两个统筹”举措的提升,为我国关键信息基础设施的网络安全保护工作奠定良好的效率基础。

二、主要内容分析:四个基本问题

从内容来看,关键信息基础设施的范围界定、管理体系、检查检测机制和责任机制是《条例》所要重点明确的加强关键信息基础设施安全保护的四个基本问题。

(一)关键信息基础设施的范围界定

关键信息基础设施的范围如何界定,是开展保护要明确的首要和基础性问题,也是《网络安全法》颁布实施以来各界最为关切的问题之一。《条例》采用了“范围列举+授权认定”的方法,对关键信息基础设施的内涵和外延做出规定。

在范围列举方面。《条例》第二条将关键信息基础设施定位于“重要网络设施和信息系统”,并以列举方式明确了其行业属性和影响属性两大界定标准:一是“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等”8个重要行业和领域;二是“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”。

在授权认定方面。《条例》除了在总则第二条进行总体界定外,还以专章(第二章 关键信息基础设施认定)对授权认定做出了规定,这是在关键信息基础设施范围界定方面的一大创新。《条例》对授权认定主要明确了两个要点:一是认定主体,即“关键信息基础设施安全保护工作的部门”(以下称保护工作部门),主要包括了《条例》第二条所述8个重要行业和领域的主管或监管部门;二是认定依据,即“关键信息基础设施认定规则”,《条例》第九条还明确了制定“认定规则”时应依据的“重要程度”“危害程度”和“关联影响”三个主要考量因素。此外,《条例》还对关键信息基础设施的认定流程、报备主体、变更认定做出了规定。

(二)关键信息基础设施安全监管体系

《条例》在《网络安全法》所确定的管理框架内,对关键信息基础设施保护的管理体系进行了细化,进一步强化了保护工作的组织管理基础。《条例》对保护管理体系的规定,主要有以下三方面:

一是确立了管理分类模式。《条例》将管理部门分为三类,即:统筹协调部门(国家网信部门)、指导监督部门(国务院公安部门)、保护工作部门(重要行业和领域的主管、监管部门)。各类管理部门分工不同、又协同配合,共同构成我国关键信息基础设施保护的监管体系,缺一不可。

二是确立了管理分层模式。《条例》主要规定了属地、行业两种管理分层。从属地分层模式来看,《条例》第三条明确了“省级人民政府有关部门”是监管和保护工作在地方的实施主体,相比之前征求意见稿中的“县级以上”提升了层级,突出了关键信息基础设施保护实施的统筹性要求。从行业分层模式来看,《条例》第三十二条强调“优先保障能源、电信等关键信息基础设施安全运行”,并明确能源、电信行业“为其他行业和领域的关键信息基础设施安全运行提供重点保障”,可见行业属性的特点决定了该两类行业在关键信息基础设施保护中,应发挥更加基础的保障作用。

三是明确了重点管理内容。在确立监管分级分类模式的基础上,《条例》对主要部门的管理内容也做了相应规定。如:国家网信部门统筹协调相关部门建立网络安全信息共享机制、及网络安全检查检测等;国务院公安部门负责开展关键信息基础设施认定相关备案、打击相关违法犯罪活动等;各保护部门负责制定本行业、本领域关键信息基础设施安全规划等。通过对重点管理内容的明确,有助于增进关键信息基础设施运营单位、以及相关产学研用等社会各界对关键信息基础设施保护工作的知悉度,推动形成共识与合力,保障保护工作的推进实施。

(三)关键信息基础设施安全检查检测机制

在明确监管和运行要求的同时,《条例》注重对相关要求落地实施情况的监督手段建设,设置了专门的检查检测机制。

《条例》规定的关键信息基础设施安全检查检测机制由三部分构成。一是运营检测。该类检测的执行主体是关键信息基础设施运营者,具体开展形式可以自行开展也可以委托网络安全服务机构开展。运营检测应定期开展“每年至少进行一次网络安全检测和风险评估”,并需要按要求将检测结果报保护工作部门。二是保护部门检查检测。该类检查检测由保护工作部门组织开展,目的是通过检查检测对运营者予以指导监督,及时整改安全隐患、完善安全措施。三是监督检查检测。该类检查检测由国家网信部门统筹协调,国务院公安部门、保护工作部门开展,通过检查提出改进措施意见。

这三类检测检查工作由不同主体负责,分别立足于运营、保护、监督的不同要求,共同构建起对关键信息基础设施安全合规的监测防线。尤其值得一提的是,《条例》明确规定了监督检查工作的统筹机制,这不仅有利于提升检查工作效率,更在切实减轻监管对象合规负担方面迈出了坚实的一步。

(四)关键信息基础设施安全责任机制

《条例》对关键信息基础设施安全保护重要环节提出了合规要求,并规定了相应的法律责任,以法律威慑手段强化对各项保护职责的落实保障。《条例》对于责任机制的规定主要有三个要点。

一是突出主体责任。《条例》首先对“主体责任”做出界定,即第四条明确的“强化和落实关键信息基础设施运营者主体责任”,这充分反映了运营者在整个保护工作中,因其肩负重要职责而具有的不可替代作用。根据《条例》第三章“运营者责任义务”,我们可以将运营者肩负的重要职责归纳为:建设管理、安全审查、事件报告、检查配合等4类13项。对于这些职责和义务,《条例》在第五章“法律责任”中,也做出了逐条对应的责任规定。

二是健全责任范围。《条例》在强化主体责任(运营责任)的基础上,还明确了监管责任、保护责任,使责任机制覆盖了保护工作的全部主体和全部主要职责。对于监管部门的监督管理行为、保护部门的保护指导行为,以及其他个人或组织实施的恶意破坏行为等,都明确规定了相应的法律责任,从而形成对关键信息基础设施保护工作的全方位责任保障。

三是明确责任方式。《条例》规定的责任方式,涵盖了行政责任、民事责任和刑事责任三大类别。其中,对于大部分运营者责任适用行政责任的追究方式,包括责令改正、警告和罚款等;对于监管人员的违法行为,主要适用行政或刑事责任;对于从事破坏行为的其他个人,除了适用相应的拘留、罚款等行政责任外,还对该人员的网络安全从业资格做出限制,与《条例》规定的相关岗位人员背景调查相衔接。

三、展望

《条例》的颁布实施,无疑是我国关键信息基础设施安全保护工作的一个重要里程碑。而《条例》自身内容的完善也将是一个循序渐进的过程。例如,省级相关部门在具体实施工作中与行业保护工作部门如何衔接?关键信息基础设施的日常检测与其系统上线前测试如何衔接?监督检查和保护检查检测工作的频次、实施流程如何规范?等等。这些问题,都既需要保护工作实践的验证推进,也需要相关制度规范的延续拓展。

“雄关漫道真如铁,而今迈步从头越”。《条例》已经开启了我国关键信息基础设施安全保护工作的新阶段序章,如何开创和巩固关键信息基础设施安全保护工作的新格局,更呼唤主管部门、行业企业和社会各界的同心戮力。

<<上一篇

2021年CCF-绿盟科技“鲲鹏”科研基金项目征集延期公告

>>下一篇

绿盟科技积分排名第一|2021年广东省网络攻防演习快报

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入绿盟科技,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
绿盟科技社区
绿盟科技社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS 绿盟科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号