关键信息基础设施安全保护条例——关基企业的保密合规
关键信息基础设施是经济社会运行的神经中枢,其安全稳定直接关系到国家安全、国计民生和公共利益。关键信息基础设施安全保护条例的正式实施,为关基设施的安全保护构建了专门的法律制度框架。对于被认定为关键信息基础设施运营者的企业而言,这意味着除了履行网络安全法和数据安全法规定的一般义务外,还需要承担更为严格和专门的安全保护责任。与此同时,关基企业的保密合规要求也达到了新的高度。
关键信息基础设施的认定范围覆盖了多个重点行业和领域。条例规定,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益的,应当被认定为关键信息基础设施。这意味着大型互联网平台企业、电信运营商、电力公司、交通运输企业、银行和保险公司、医疗信息系统运营者以及电子政务平台运营者等,都有可能被认定为关基运营者。认定的过程由行业主管部门或者监管部门按照认定规则开展,认定结果会书面通知运营者。被认定为关基运营者的企业,应当切实履行法律规定的安全保护义务。
关基运营者的安全保护义务比一般网络运营者更为严格和全面。条例要求关基运营者落实网络安全保护制度和责任制,设置专门的安全管理机构和安全管理负责人,对安全管理负责人和关键岗位的人员进行安全背景审查。定期对从业人员进行网络安全教育培训和技能考核,确保员工具备必要的安全意识和操作技能。关基运营者应当对重要系统和数据库进行容灾备份,制定网络安全事件应急预案并定期组织演练,确保在突发事件发生时能够及时有效地启动应急响应。每年至少进行一次网络安全检测和风险评估,及时发现并修复安全漏洞。检测和评估可以由企业自行组织,也可以委托具备相应资质的第三方机构进行。检测和评估的结果应当形成正式报告,报送行业主管部门。关基运营者在采购网络产品和服务时,可能影响国家安全的,应当依法通过国家安全审查。对于安全审查不合格的产品和服务,不得采购和使用。关基运营者应当优先采购安全可信的网络产品和服务,与供应商签订安全保密协议,明确双方的安全保护责任。在供应链安全管理方面,关基运营者应当建立供应商安全评估机制,对供应商的安全保护能力进行审查和持续监督。
保密合规是关基企业安全保护工作中不可忽视的重要内容。关基设施在处理和存储大量国家安全数据和重要行业数据的过程中,保密工作的标准和要求自然高于一般企业。关基企业的保密合规要点包括涉密数据的识别与保护、涉密岗位人员的保密管理、对外合作中的保密要求以及安全事件的保密处置等几个方面。涉密数据的识别与保护是保密合规的基础。关基运营者应当对处理和存储的数据进行全面盘点,识别出哪些数据属于国家秘密、工作秘密和商业秘密,对识别出的涉密数据实施分级保护。涉密数据的存储和传输应当使用经国家密码管理部门认可的密码技术和加密产品。涉密数据的访问实行最小权限原则,建立严格的访问控制机制和操作审计机制。涉密岗位人员的保密管理要求比普通涉密人员更高。关基运营者的安全管理和关键岗位人员应当接受安全背景审查,审查内容包括个人的政治背景、犯罪记录、信用记录和境外关系等。在岗期间,涉密人员应当签署保密承诺书,接受定期的保密培训和行为监督。离岗离职时落实脱密期管理,确保涉密人员离职后仍然遵守保密义务。对外合作中的保密要求同样需要严格把控。关基运营者在与供应商、服务商和合作伙伴开展业务合作时,应当签订保密协议,明确双方的保密义务和违约责任。合作过程中共享的涉密信息应当有清晰的传递记录和交接凭证。合作结束后,合作方应当返还或销毁所有涉密资料。
等级保护制度在关基设施安全保护中发挥着基础性作用。关基运营者应当在网络安全等级保护制度的基础上落实安全保护措施,按照三级或以上标准开展安全建设。等级保护的定级、备案、建设整改和测评流程与一般网络运营者相同,但关基设施的测评标准更加严格,测评频率更高,整改要求更加刚性。等级保护测评结果应当作为关基设施安全状况的重要评价依据,测评发现的问题应当限期整改,整改完成情况要接受行业主管部门的监督检查。安全检测和风险评估也是关基运营者需要重点关注的工作。关基运营者每年至少进行一次全面的安全检测和风险评估,检测范围应当覆盖网络基础设施、应用系统、数据平台、终端设备、网络连接和第三方服务等所有环节。检测内容包括漏洞扫描、渗透测试、安全配置检查和制度执行情况核查等。风险评估应当从资产价值、威胁可能性、脆弱性程度和防护有效性四个维度展开,评估结果形成风险评估报告和整改建议。
安全事件应急处置能力是考核关基运营者安全保护水平的重要指标。关基运营者应当建立健全安全事件应急预案体系,包括总体预案和专项预案。总体预案明确应急响应的组织指挥体系、应急响应的分级标准、应急响应的总体流程和应急资源保障等原则性内容。专项预案针对不同类型的网络安全事件制定具体的应急处置方案,包括网络攻击事件专项预案、数据泄露事件专项预案、系统故障事件专项预案和恶意代码事件专项预案等。应急处置队伍应当配备足够的人力和技术资源,具备快速定位问题、有效控制事态和及时恢复系统的能力。应急演练是检验预案有效性的重要手段,关基运营者应当每年至少组织一次全面应急演练,演练内容包括应急响应启动、事件分析研判、事态控制、证据固定、系统恢复和事后总结等全流程。演练结论应当形成演练评估报告,针对演练中发现的问题对预案进行修订和完善。
常见问题解答。问:企业如何知道自己是否被认定为关键信息基础设施运营者?答:行业主管部门会按照认定规则进行评估,对符合条件的企业书面通知认定结果,企业也可以主动向主管部门咨询或申请认定。问:关基运营者的安全投入是否有明确的预算要求?答:条例没有明确规定具体的投入金额或比例,但要求安全保护投入应当与设施的重要程度和安全风险相适应,建议企业根据风险评估结果合理确定安全预算。问:关基设施的数据是否可以存储在云平台上?答:可以,但应当选择通过安全审查的云服务商,并确保云平台的安全保护能力不低于本地部署的标准。问:关基运营者在灾备建设方面有什么具体要求?答:关基运营者应当对重要系统和数据库进行异地容灾备份,确保在发生重大灾难时能够在规定时间内恢复系统的正常运行。
北京企密安信息安全技术有限公司 010-63711822 / jess@baomiwang.com
