2021年9月1日,《关键信息基础设施安全保护条例》与数据安全法同步施行,标志着我国关键信息基础设施保护进入了专门立法的新阶段。这份条例虽然篇幅不长,但分量极重,因为它直接关系到国家网络安全的核心防线。很多企业不清楚自己是不是关键信息基础设施运营者,也不清楚成为关键信息基础设施运营者后需要承担哪些特殊义务。这篇内容围绕条例的核心要点进行梳理,帮助企业判断自身定位并了解合规要求。
关键信息基础设施的定义覆盖了能源、交通、水利、金融、公共服务、电子政务、通信和信息服务等重要行业和领域。一旦这些基础设施遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。判断标准不只看企业性质,更要看其运营的信息系统在国民经济和社会生活中的重要程度。一个民营企业的信息系统如果属于国家关键信息基础设施的组成部分,同样会被认定为关键信息基础设施运营者。
条例明确了关键信息基础设施的认定机制。国家网信部门会同国务院电信主管部门、公安部门以及其他相关部门制定认定规则。行业主管部门负责本行业关键信息基础设施的具体认定工作。被认定为关键信息基础设施运营者的单位,会收到书面的认定结果通知。企业应当对本单位的信息系统进行全面梳理和风险自评估,初步判断是否有被认定的可能性。
关键信息基础设施运营者承担的安全保护义务比一般企业更加严格。条例要求运营者设立专门的安全管理机构和安全管理负责人,对负责人和关键岗位人员进行安全背景审查,定期对从业人员进行网络安全教育、技术培训和技能考核。运营者还需要将网络安全保护落实情况纳入年度报告,向行业主管部门和公安机关报告。
条例明确要求关键信息基础设施运营者优先采购安全可信的网络产品和服务。运营者在采购网络产品和服务时,应当按照国家有关规定与提供者签订安全保密协议,明确安全和保密义务与责任。如果采购的产品和服务可能影响国家安全的,应当依法通过国家安全审查。这对运营者的供应链安全管理提出了更高要求。
关键信息基础设施运营者必须建立网络安全检测评估制度。条例要求运营者自行或者委托网络安全服务机构每年至少进行一次网络安全检测和风险评估,对发现的问题及时整改。相比等保2.0对三级系统每年测评的要求,关键信息基础设施的检测评估频次和深度都要求更高。检测评估的范围不仅包括技术层面,还包括管理制度、人员安全、应急响应等方面。
条例规定了严格的事件报告制度。关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当在规定时间内向行业主管部门和公安机关报告。事件报告的内容包括事件类型、发生时间、影响范围、已采取的措施和处置进展等。运营者需要建立完善的网络安全事件应急预案,并定期组织应急演练,确保在事件发生时能够快速响应。
条例对关键信息基础设施运营者提出了数据本地化存储要求。运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,原则上应当在境内存储。确需向境外提供的,应当依法进行安全评估。这与数据安全法和个人信息保护法的跨境数据管理要求相互衔接,构成了一个更严格的合规体系。
违反条例的法律责任相当严厉。运营者不履行安全保护义务的,由行业主管部门责令改正,给予警告。拒不改正或者导致危害后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。如果使用了未经安全审查或安全审查未通过的网络产品和服务,较高可处采购金额十倍罚款。构成犯罪的,依法追究刑事责任。
对于可能被认定为关键信息基础设施运营者的企业,建议提前做好准备工作。第一,建立专门的信息安全管理部门或团队,明确安全管理负责人。第二,完成本单位的网络安全风险评估,识别需要重点保护的资产。第三,制定并演练网络安全事件应急预案。第四,建立网络产品和服务的供应链安全管理流程。第五,经常关注行业主管部门的认定工作进展。
常见问题
Q1:如何确定企业是否属于关键信息基础设施运营者? A:由行业主管部门依据国家制定的认定规则进行认定。企业可先查看所属行业是否有认定通知,或主动咨询主管部门。
Q2:关键信息基础设施和等保三级系统的区别是什么? A:等保三级是针对信息系统的保护等级,而关键信息基础设施是跨等保等级的专项保护制度,其保护要求高于等保三级,覆盖范围更广。
Q3:关键信息基础设施的安全检测可以自己做吗? A:运营者可以自行开展网络安全检测,但通常建议委托具有资质的第三方安全服务机构进行检测,以确保检测的独立性和专业性。
