新闻动态

News information

六方云带来不一样的《关基保护条例》解读丨第三篇

<<返回

2021年08月24日 08:19

背景:

2021年7月30日,国务院总理李克强签署第745号国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。旨在通过配套立法进一步推进关键信息基础设施安全保护各项工作的落实,切实保障我国关键信息基础设施安全,维护网络安全。


在本文中,六方云基于《条例》第三章运营者责任义务展开,从建立健全关键信息基础设施网络安全保护制度和责任制;制定网络安全应急预案;开展网络安全监测、检测和风险评估工作;采取安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用等多个方面,对运营者应当承担的责任与义务进行全面阐释与梳理,进一步加深运营者对关基安全保护的认知与重视。


运营者责任义务

第十二条:安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。


解读:在关键信息基础设施新建或改建、扩建时,要充分考虑网络安全因素,并在关键信息基础设施运行生命周期的每个阶段明确责任部门和安全职责,在全过程中采取安全措施,强化网络安全工作前移。在《网络安全法》、《安全生产法》等法律均对三同步进行了相关的规定。企业在具体落实三同步原则时,可以从以下方面进行理解:


同步规划:在业务规划设计阶段同步纳入安全需求,引入安全措施,从安全总体规划、安全防护策略、安全管理制度、安全管理机关和人员等方面整体考虑,落实主管责任和主体责任,将关键信息基础设施安全保护工作纳入考核评价体系。


同步建设:在项目建设阶段,通过采购符合国家规定的网络安全产品和服务,通过合同条款落实供应商的责任,保证相关的安全技术措施严格落实,在项目上线时,安全措施的验收和工程验收同步进行,确保只有符合安全要求的系统才能上线。


同步使用:在网络设施或信息系统投入使用后,日常运营维护中,应当采取安全防护措施,对安全威胁和隐患及时进行通报预警和应急处置等措施,保证关键信息基础设施安全稳定运行。



第十三条:运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。


解读:关键信息基础设施保护的责任主体是关基运营者,并由运营者的主要负责人负总责。运营者需要建立网络安全管理制度和保障制度,落实网络安全责任和监督问责机制,并加强机构、编制、人员、经费、装备、工程等资源保障,支撑关键信息基础设施安全保护工作。



第十四条:运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。

解读:关键信息基础设施的运营者需要成立指导和管理网络安全工作的委员会或领导小组,并由组织主要负责人担任其领导职务,这里提到“专门的”网络安全管理机构,而非兼职或临时的。同时,对于承担安全管理机构的负责人和关键岗位的人员要进行安全背景和安全技能审查,符合要求的人员方能上岗。常见的关键岗位主要是与关键业务系统直接相关的系统管理、网络管理、安全管理等岗位。



第十五条:专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;
(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
(五)组织网络安全教育、培训;
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
(八)按照规定报告网络安全事件和重要事项。

解读:本条明确了负责指导和管理关键信息基础设施网络安全工作的专门机构的职责。关键信息基础设施安全保护计划和具体的保护保障工作,均需要关基运营者自行拟定或开展。根据本条例第五章,关基运营者未将上述职责落实到位的,均会承担相应的法律责任或罚款。


1、网络安全保护计划的拟定上,需要在前期完成关键业务链的全面风险评估后,结合风险评估报告,明确关键信息基础设施安全保护工作的目标、安全策略、组织架构、管理制度、技术措施等内容。要制定相关的安全策略如安全互联策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、自动化机制策略、供应链安全管理策略、安全运维策略等,同时要结合安全策略,细化落实到具体的安全制度上,如风险管理制度、网络安全考核及监督问责制度、网络安全教育培训制度、人员管理制度、业务连续性管理及容灾备份制度、三同步制度、供应链安全管理制度等。


2、在满足合规性要求的基础上,要通过建立关键信息基础设施安全检测评估制度、常态化监测预警、快速响应机制等建设和推动组织的安全防护能力。


3、关基运营者需要制定网络安全事件应急预案,需要根据2017年6月中央网信办印发的《国家网络安全事件应急预案》规定,从组织机构与职责、应急措施(监测与预警、应急处置、调查与评估、预防)、保障措施三个方面制定,同时要每年至少组织1次本单位的应急演练。


4、本条例第七条指出,国家对于关键信息基础设施安全保护工作中取得显著成绩或者突出贡献的单位和个人给予表彰,本条规定了关键信息基础设施运营者组织内部也需要建立“奖惩”机制和考核机制,与国家要求充分呼应。


5、运营者需要建立网络安全培训制度,定期开展基于岗位的网络安全教育培训和技能考核,并且适当规定关键信息基础设施从业人员和网络安全关键岗位从业人员的年度培训时长,从网络安全相关制度和规定、网络安全保护技术和安全意识等方面进行培训。


6、运营者需要建立数据安全管理责任和评价考核机制,制定数据安全保护计划和基于数据分类分级的数据安全保护策略。在2021年9月1日即将施行的《中华人民共和国数据安全法》对关键信息基础设施运营者的数据保护也同样进行了规定,即“第三十一条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”。



第十六条:运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。

解读:专门的安全管理机构中的关键岗位如系统管理、网络管理、安全管理等,均需要专人负责,并配备2人以上共同管理,且该机构的主要人员需要参与本组织的关键信息基础设施相关信息化决策者中。



第十七条:运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。

解读:关基运营者每年必须要自行或者委托网络安全服务机构(专门的关保服务机构)开展至少1次的网络安全检查和风险评估,且需要将风险评估结果上报各自的主管部门和监管部门(保护工作部门),因此将风险评估服务作为关基运营者强制的要求。



第十八条:关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。
发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。

解读:关键信息基础设施是国家的神经中枢,需要关键信息基础设施运营者、公安机关、各行业和领域的保护工作部门建立事件处置、预警和通报机制,及时接收、处置来自国家、行业和地方网络安全预警通报信息,按规定向行业主管部门、备案公安机关报送网络安全预警信息和网络安全事件。



第十九条:运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。

解读:为确保关键信息基础设施供应链安全,国家出台了多个政策。首先,四部门发布了《网络关键设备和网络安全专用产品目录(第一批)》规定了防火墙、IPS、IDS等都属于网络安全专用产品目录;其次,2020年6月1日正式实施的《网络安全审查办法》进行了相应的规定;再次,强制性国标GB40050-2021《网络关键设备安全通用要求》于今年8月1日正式实施。


因此,关键信息基础设施要优先采购安全可信的网络产品和服务,运营者采购网络产品和服务,需要预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室按照《网络安全审查办法》的相关规定进行审查。这里提到的网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。



第二十条:运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。
 
解读:运营者在采购网络产品和服务时,需要明确提供者的安全责任和义务,要求提供者作出必要安全承诺,并签订安全保密协议,明确供应商的安全职责、保密内容、奖惩机制和有效期等。



第二十一条:运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。

解读:关键信息基础设施的认定工作均需要各行业和领域的保护工作部门制定认定规则和组织具体的认定工作,因此,当运营者在关键信息基础设施发生改建、扩建、所有人变更等重大变化会影响认定结果的,均需要报告给各自的保护工作部门组织重新识别认定工作。



想要深入了解的关基客户,请致电400-6060-270 进行沟通。