《2021年《关键信息基础设施安全保护条例》学习解读》由会员分享,可在线阅读,更多相关《2021年《关键信息基础设施安全保护条例》学习解读(64页珍藏版)》请在金锄头文库上搜索。
1、2021年关键信息基础设施安全保护条例学习解读,2021年8月17日,国务院公布了备受瞩目的关键信息基础设施安全保护条例(以下简称条例),其颁布实施既是落实网络安全法要求、构建国家关键信息基础设施安全保护体系的顶层设计和重要举措,更是保障国家安全、社会稳定和经济发展的现实需要。,目录,目录,制定背景与出台历程,(一)形势严峻 网络空间作为继“陆海空天”之后的第五大战略空间,已经成为了全球博弈的新战场。近年来,全球范围内针对关键信息基础设施的网络攻击破坏、窃密等日趋加剧,涉及众多行业领域,其影响范围之广,程度之深,令人震惊。,1.国际方面。针对关键信息基础设施的攻击:一是导致关键服务运行中断。2
2、015年12月,乌克兰配电公司约60座变电站遭到网络攻击,其首都基辅和乌克兰西部的140万名居民遭遇数小时停电。,二是造成通信基础设施瘫痪。2016年10月,美国域名服务器管理机构Dyn遭到Mirai病毒攻击,众多网站无法访问,美国大半个互联网瘫痪。三是引发大规模信息泄露。2021年5月,美国最大成品油运输管道运营商Colonial Pipeline公司工控系统遭勒索病毒攻击导致停机,造成近100GB数据窃取及成品油运输管道运营中断。,2.国内方面。我国关键信息基础设施安全保护面临的风险和挑战主要为四个方面:一是高等级网络攻击威胁。随着网络战略威慑日益升级,各国均加强网军建设,高等级攻击入侵控
3、制、窃密,对关键信息基础设施安全构成严重威胁。,二是大型黑客组织威胁。部分黑客组织频繁持续对我国关键信息基础设施网络、重要系统等进行攻击,直接威胁我国关键信息基础设施安全。,三是新技术新应用双刃剑效应。随着5G移动通信及云计算、大数据、AI等技术在各行业的广泛应用,关系国计民生的关键信息基础设施更易成为网络攻击的高价值目标。四是供应链安全挑战。随着网络产品集成度的不断提升和供应链全球化大分工的不断加深,关键信息基础设施的供应链安全风险面临着严峻的挑战。,(二)制度共识 为应对关键信息基础设施面临的安全威胁,各国在网络安全战略制定和立法方面,毫无例外将关键信息基础设施作为重点,给予了高度的政治关
4、注和政策支持。,1.美国。推动建立兼具防御和威慑能力的安全保护体系,以期在网络空间博弈中保持优势。自1998年颁布克林顿政府对关键基础设施保护的政策以来,至今先后发布“美国国家网络安全综合纲领”和“爱因斯坦计划”等多个大规模网络安全倡议和项目,以及关键基础设施信息保护法、增强关键信息基础设施网络安全框架(CSF)等20余项关键信息基础设施的保护政策。,2.欧盟。推行基于风险管理策略的安全治理,由传统“威胁、预警、响应”向消减脆弱性为主的理念转变。2004至2006年,欧盟启动“欧盟关键基础设施保护规划”,审议通过欧洲关键基础设施保护计划绿皮书;2011至2017年间陆续出台网络与信息安全指令关
5、键信息基础设施领域的物联网安全基线指南等多项政策,推动成员国间的安全战略协作和信息共享。,3.俄罗斯。强调关键信息基础保护的全面性和持续性,明确了等级划分和重要参数指标,建立分级安全监督流程和严格的法律制约体系。2017年颁布了联邦关键信息基础设施安全法,明确了俄罗斯联邦关键信息基础设施的保护范围、原则、机构、客体分级、安全评估及监管等要求;2018年进一步决议通过关于确认俄罗斯联邦关键信息基础设施客体等级划分的规定以及俄罗斯联邦关键信息基础设施客体重要性标准参数列表。,总体来看,关键信息基础设施安全保护能力的提升不仅要依靠资金投入、技术提升等,更离不开政府的高度重视和政策支持,通过对法律法规
6、等制度体系的健全完善来牵引整体保护能力的不断提升,已成为国际社会普遍共识。,(三)出台历程 2016年我国网络安全法正式通过,关键信息基础设施安全保护制度被首次提出,第三章中专门设置“关键信息基础设施的运行安全”专节,以共计9条(第31-39条)的篇幅对于关键信息基础设施安全保护的基本要求、分工以及主体责任等问题作出法律层面的总体安排。,2017年国家互联网信息办公室发布关键信息基础设施安全保护条例(征求意见稿),面向全社会公开征求意见,共计八章55条,明确了关键信息基础设施安全保护总则、支持与保障、关键信息基础设施范围、运营者安全保护、产品和服务安全、监测预警、应急处置和检测评估、法律责任等
7、重点内容。,2019至2021年,关键信息基础设施安全保护条例连续三年纳入国家立法计划,历经多年反复锤炼,终于2021年8月17日正式发布,并于2021年9月1日起施行。条例共六章51条,对关键信息基础设施保护系列制度要素作了具体规定,涵盖总则、关键信息基础设施认定、运营者责任义务、保障和促进、法律责任等诸多方面。,关键信息基础设施的认定,条例以列举的方式规定了公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等八个重要行业和领域的,网络设施、信息系统是关键信息基础设施。,该条例还以兜底的方式规定,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公
8、共利益的重要网络设施、信息系统,都有可能被认定为关键信息基础设施。,归纳条例及网络安全法等有关关键信息基础设施的规定,关键信息基础设施具有如下特征:1.为国家、社会的正常运转提供必需的产品和服务;2.是社会分工体系中的关键节点, 遭受破坏的后果具有连锁性;3.包含高价值设施, 被攻击的后果直接且重大;4.施存储或传输的信息数据大量集中或极其敏感;5.可能具备象征意义, 被攻击和破坏可影响社会稳定。,国家网络安全检查操作指南还为识别与认定关键信息基础设施规定了可供参考的量化标准。以网站类和平台类关键信息基础设施为例,若关键信息基础设施候选清单中的候选设施达到以下标准,可以认定为关键信息基础设施:
9、,网站类1.县级(含)以上党政机关网站。2.重点新闻网站。3.日均访问量超过100万人次的网站。4.一旦发生网络安全事故, 可能造成以下影响之一的:,a)影响超过100万人工作、生活; b)影响单个地市级行政区30%以上人口的工作、生活; c)造成超过100万人个人信息泄露; d)造成大量机构、企业敏感信息泄露; e)造成大量地理、人口、资源等国家基础数据泄露; f)严重损害政府形象、社会秩序, 或危害国家安全。,平台类1.注册用户数超过1000万, 或活跃用户(每日至少登录一次)数超过100万。2.日均成交订单额或交易额超过1000万元。3.一旦发生网络安全事故, 可能造成以下影响之一的:,
10、a)造成1000万元以上的直接经济损失; b)直接影响超过1000万人工作、生活; c)造成超过100万个人信息泄露; d)造成大量机构、企业敏感信息泄露; e)造成大量地理、人口、资源等国家基础数据泄露; f)严重损害社会和经济秩序, 或危害国家安全。,生产业务类1.地市级以上政府机关面向公众服务的业务系统, 或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统。2.规模超过1500个标准机架的数据中心。3.一旦发生安全事故, 可能造成以下影响之一的:,a)影响单个地市级行政区30%以上人口的工作、生活; b)影响10万人用水、用电、用气、用油、取暖或交通出行等; c)导致
11、5人以上死亡或50人以上重伤; d)直接造成5000万元以上经济损失;,e)造成超过100万个人信息泄露; f)造成大量机构、企业敏感信息泄露; g)造成大量地理、人口、资源等国家基础数据泄露; h)严重损害社会和经济秩序, 或危害国家安全。,例如,平台类信息系统,注册用户数超过1000万, 或活跃用户(每日至少登录一次)数超过100万。日均成交订单额或交易额超过1000万元。一旦发生网络安全事故造成超过100万个人信息泄露; 或是造成大量机构、企业敏感信息泄露; 等量化条件,在移动互联网业务中,业务体量的门槛是比较低,很对平台类信息系统,均可被认定为关键信息基础设施。,关键信息基础设施运营者
12、义务,条例作为规制关键信息基础设施安全的专门法规,明确指出了关键信息基础设施运营者的十多项,属于单位维度的法定义务。同时,也对运营者主要负责人,专门安全管理机构负责人和关键岗位人员、直接负责的主管人员、其他直接责任人员等,指出了个人维度的责任,对违法行为严重者,设立了职业禁入,甚至职业禁止制度。,(一)关键信息基础设施运营者十项法定义务1、落实安全保护措施,安全保护措施与关键信息基础设施同步规划、同步建设、同步使用。2、健全网络安全保护制度和责任制。3、设置专门安全管理机构,对专门安全管理机构负责人和关键岗位人员进行安全背景审查。,4、对关键信息基础设施每年至少进行一次网络安全检测和风险评估,
13、对发现的安全问题及时整改,按照要求报送情况。5、发生重大网络安全事件或者发现重大网络安全威胁时,按照规定向主管部门、公安机关报告。6、采购网络产品和服务可能影响国家安全的,按照国家网络安全规定通过安全审查。,7、采购网络产品和服务,与提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,对义务与责任履行情况进行监督。8、发生合并、分立、解散等情况,及时报告主管部门,按照要求对关键信息基础设施进行处置,确保安全。9、配合主管部门开展关键信息基础设施网络安全检查检测工作。10、对基础电信网络实施漏洞探测、渗透性测试等活动,事先向国务院电信主管部门报告。,(二)关键信息基础设施运营者安全
14、管理机构法定合规义务1、建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;2、组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;3、按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;,4、认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;5、组织网络安全教育、培训;6、履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;7、对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;8、按照规定报告网络安全事件和重要事项。,(三)网络安全服务机构及其工作人员的信息保密义务 网络安全服务
15、机构,在关键信息基础设施安全保护工作中,提供技术或信息服务,对获知的信息负有保密责任。将在关键信息基础设施安全保护工作中获取的信息用于其他用途,或者泄露、出售、非法向他人提供的,依法对直接负责的主管人员和其他直接责任人员给予处分。,关键信息基础设施安全监管体系,条例在网络安全法所确定的管理框架内,对关键信息基础设施保护的管理体系进行了细化,进一步强化了保护工作的组织管理基础。条例对保护管理体系的规定,主要有以下三方面:,一是确立了管理分类模式。条例将管理部门分为三类,即:统筹协调部门(国家网信部门)、指导监督部门(国务院公安部门)、保护工作部门(重要行业和领域的主管、监管部门)。各类管理部门分
16、工不同、又协同配合,共同构成我国关键信息基础设施保护的监管体系,缺一不可。,二是确立了管理分层模式。条例主要规定了属地、行业两种管理分层。从属地分层模式来看,条例第三条明确了“省级人民政府有关部门”是监管和保护工作在地方的实施主体,相比之前征求意见稿中的“县级以上”提升了层级,突出了关键信息基础设施保护实施的统筹性要求。,从行业分层模式来看,条例第三十二条强调“优先保障能源、电信等关键信息基础设施安全运行”,并明确能源、电信行业“为其他行业和领域的关键信息基础设施安全运行提供重点保障”,可见行业属性的特点决定了该两类行业在关键信息基础设施保护中,应发挥更加基础的保障作用。,三是明确了重点管理内容。在确立监管分级分类模式的基础上,条例对主要部门的管理内容也做了相应规定。如:国家网信部门统筹协调相关部门建立网络安全信息共享机制、及网络安全检查检测等;国务院公安部门负责开展关键信息基础设施认定相关备案、打击相关违法犯罪活动等;各保护部门负责制定本行业、本领域关键信息基础设施安全规划等。,通过对重点管理内容的明确,有助于增进关键信息基础设施运营单位、以及相关产学研用等社会各界对关键信息基础设施
