近日,《关键信息基础设施安全保护条例》(以下简称《条例》)重磅发布,并将于2021年9月1日起正式施行。这是我国首部专门针对关键信息基础设施安全保护工作的行政法规,同时也是《中华人民共和国网络安全法》的重要配套法规。
《条例》明确了关键信息基础设施的认定规则及责任部门,作为高校的重要网络设施和信息系统——校园网络、教学平台、管理及服务系统和数据库等软件设施,或将被纳入教育系统关键信息基础设施认定范围,相关运营单位应履行好主体责任,坚持“谁运营、谁负责”原则,全面落实《条例》规定的五大责任义务。
一、关键信息基础设施运营者责任原则规定
《条例》在总则部分对运营者责任作了原则规定:第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
其中,“完整性、保密性和可用性”是信息资产最重要的三个属性,国际上称之为信息的CIA属性或者信息安全金三角,关键信息基础设施运营者要参照《中华人民共和国密码法》对“商用密码的强制使用要求”进行制度构建。
二、关键信息基础设施运营者五大责任
《条例》压实了关键信息基础设施保护的各方面责任,包括运营者的主体责任、保护部门的协调统筹监督管理责任、社会各方面的协同配合和监督责任。其中,运营者的主体责任是基础、是关键。主要包括以下五个方面:
主体责任一:建立健全网络安全保护制度和责任制,实行一把手负责制,保障人力、财力、物力的投入。
主体责任二:要设置专门的安全管理机构,参与网络安全和信息化的决策,履行《条例》规定的8项工作职责。
主体责任三:开展网络安全检测和风险评估,并及时整改。
主体责任四:建立并落实网络安全事件和网络安全威胁的报告制度。
主体责任五:要优先采购安全可信的网络产品和服务,按照规定申报网络安全审查。
《条例》中针对上述五大主体责任的具体规定如下:
《条例》对运营者责任义务的具体规定 | |
第十一条 | 关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。 |
第十二条 | 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。 |
第十三条 | 运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。 运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。 |
第十四条 | 运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。 |
第十五条 | 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责: 1. 建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划; 2. 组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估; 3. 按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件; 4. 认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议; 5. 组织网络安全教育、培训; 6. 履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度; 7. 对关键信息基础设施设计、建设、运行、维护等服务实施安全管理; 8. 按照规定报告网络安全事件和重要事项。 |
第十六条 | 运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。 |
第十七条 | 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。 |
第十八条 | 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。 发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。 |
第十九条 | 运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。 |
第二十条 | 运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。 |
第二十一条 | 运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。 |
第二十八条 | 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。 |
第三十一条 | 未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。 |
三、关键信息基础设施运营者法律责任
《条例》还明确了关键信息基础设施运营者的法律责任,具体规定如下:
《条例》对运营者法律责任的具体规定 | |
第三十九条 | 运营者有下列情形之一的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。 1. 在关键信息基础设施发生较大变化,可能影响其认定结果时未及时将相关情况报告保护工作部门的; 2. 安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的; 3. 未建立健全网络安全保护制度和责任制的; 4. 未设置专门安全管理机构的; 5. 未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的; 6. 开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的; 7. 专门安全管理机构未履行本条例第十五条规定的职责的; 8. 未对关键信息基础设施每年至少进行一次网络安全检测和风险评估,未对发现的安全问题及时整改,或者未按照保护工作部门要求报送情况的; 9. 采购网络产品和服务,未按照国家有关规定与网络产品和服务提供者签订安全保密协议的; 10. 发生合并、分立、解散等情况,未及时报告保护工作部门,或者未按照保护工作部门的要求对关键信息基础设施进行处置的。 |
第四十条 | 运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,未按照有关规定向保护工作部门、公安机关报告的,由保护工作部门、公安机关依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。 |
第四十一条 | 运营者采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查的,由国家网信部门等有关主管部门依据职责责令改正,处采购金额1倍以上10倍以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。 |
第四十二条 | 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的,由有关主管部门责令改正;拒不改正的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节严重的,依法追究相应法律责任。 |
声明:本文来自赛尔网络市场动态,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
