本期关键词：

关键信息基础设施

网络安全法

《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过，并于昨日8月17公布，已于2021年9月1日起施行。

第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

本条规定了关键信息基础设施保护，以及与网络安全等级保护制度的关系。

网络安全法根据我国实践需要，并借鉴一些国家的经验，对关键信息基础设施保护制度作了规定。根据本条规定，关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露将对国家安全、国计民生、公共利益造成重大影响的重要网络设施和系统。本条列举了公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等7个领域，但不限于这些领域，其具体范围将由国务院制定具体办法予以确定。

随着信息技术的广泛应用，能源、利、金融等国民经济重要行业，供电、供水、教育、医疗卫生等关系民生的公共服务领域，以及国家对经济社会事务的管理等，都高度依赖于网络。这些行业和领域的重要网络系统一旦丧失功能、通到破坏，将给国家安全、公共安全、民生福祉造成不可估量的危害。世界范围内针对关键信息基础设施的攻击活动频繁发生并造成严重破坏，如早期伊朗核设施遭受“震网”病毒攻击被破坏、乌克兰电网因受网络攻击致使境内三分之一的地区持续断电、美国域名解析服务器因网络攻击导致众多网络无法访问等，今年比较突出的是美国油气管道被攻击，造成美国东海岸45%的油气供应中断。

另外，国家鼓励参与关键信息基础设施保护体系，有利于参与者参考关键信息基础设施保护的相关要求加强自身网络系统的安全保护，并通过共享安全信息、交流保护经验获取最佳的保护方案，不断完善和改进网络安全保护相关措施，提升其网络安全保护水平。同时，通过自愿参与机制，可以使更多的网络运营者参与到网络风险应对、处置的过程中，不断扩大网络安全风险的感知范围，有利于提高网络安全整体态势的感知能力以及网络安全事件处置的协同配合能力。

我国网络安全保障和防护仍处于较低水平，不仅体现在硬件上，也体现在软件上，更体现在安全意识和安全标准上；网络属非传统领域，这方面的风险与威胁更具有杀伤力和破坏性，必须引起我们高度重视；我国关键信息基础设施防控还比较薄弱，各部门必须守土尽责，密切配合，完善预案，积极应对，切实强化国家关键信息基础设施防护，确保整个网络安全；坚决改变只重技术不重安全的做法，加快构建关键信息基础设施安全保障体系，实现全天候全方位感知和有效防护。

摄像：何威风，2017年网络安全法启动仪式

第三十二条按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。

本条规定了负责关键信息基础设施安全保护工作的部门组织开展关键信息基础设施安全保护、监督和指导等工作。

本条同时规定了负责关键信息基础设施安全保护工作的部门的两项主要职责：一是负责编制并组织实施本行业、本领域的关键信息基础设施安全规划；二是指导和监督关键信息基础设施运行安全保护工作。

摄像：何威风，2017年网络安全法启动仪式

第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

本条规定了关键信息基础设施的功能性能要求和“三同步”要求。关键信息基础设施承载重要产品和服务的供给，对国家安全、公共利益、国计民生有重大影响，法律对关键信息基础设施及其业务的稳定、持续运行提出了更高要求。如银行等金融交易需要全天候交易，支持这些交易的网络系统也必须每天24小时不间断运行，一旦因系统处理能力不足或故障，造成服务中断，将产生重大损失，甚至会影响金融系统稳定。因此，在建设环节就应当确保关键信息基础设施具有支持业务稳定、持续运行的性能。

关键信息基础设施的运营者应当根据本行业、本系统相关业务运行特点和发展趋势，在建设阶段对其信息系统应达到的性能进行充分研究论证，合理规划设计系统架构，采用必要的设备和措施，确保关键信息基础设施具有支持其业务持续、稳定运行的性能。

在关键信息基础设施设计、施工、投入使用阶段做好网络安全技术防护，对于防范网络安全风险、减少网络安全事件的发生具有重要意义。据此，本条要求保障关键信息基础设施运行安全的技术措施，应当与关键信息基础设施的主体工程同步规划、同步建设、同步使用，通常被称为“三同时”制度。

关键信息基础设施安全技术措施“三同时”应当达到以下要求：一是，建设项目的设计单位在编制项目设计文件时，应当按照规定编制安全技术措施的设计文件；二是，关键信息基础设施的运营者在编制建设项目投资计划时，应当将安全技术措施所需投资一并纳人预算；三是，关键信息基础设施的运营者应当要求施工单位严格按照安全技术措施的设计要求施工；四是，在建设项目验收时，应当对安全技术措施进行调试、检测和验收；五是，安全技术措施应当与主体工程同时投入使用。

摄像：何威风，2017年网络安全法启动仪式

第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

（三）对重要系统和数据库进行容灾备份；

（四）制定网络安全事件应急预案，并定期进行演练；

（五）法律、行政法规规定的其他义务。

本条规定了关键信息基础设施运营者应落实的重点措施。关键信息基础设施运营者除落实本法第二十一条规定的措施外，还要落实几项重点措施。

关键信息基础设施的运营者除履行本法第二十一条规定的安全保护义务外，还应当按照本条规定，采取相应的措施，加强关键信息基础设施的网络安全保护。

此外，本条规定了关键信息基础设施运营者在网络安全保护方面的主要义务，关键信息基础设脆的运营者还应当履行其他相关法律、行政法规规定的网络安全保护义务。

摄像：何威风，2017年网络安全法启动仪式

第三十五条关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

摄像：何威风，2017年网络安全法启动仪式

第三十六条关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。

摄像：何威风，2017年网络安全法启动仪式

第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

摄像：何威风，2017年网络安全法启动仪式

第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：

（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；

（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；

（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；

（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。

摄像：何威风，2017年网络安全法启动仪式

在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。在此我们应该明确一点，即使你的系统安全水平高过等级保护对应等级，也就是即使你加强了防护，等级保护工作还是要做的，因为关键基础设施的保护是在等级保护的基础上进行的，满足等级保护是基本安全要求也是前提，特殊的地方需要安全加固，增强保护也是理所当然的。在满足前提的条件下，只能高于等级保护的要求，不能低于等级保护的要求的。

国家关键信息基础设施的保护，离不开等级保护的这个基本国策的支撑。如何把国家关键信息基础设施的信息系统的网络安全等级保护做好，是摆在我们测评机构与国家关键信息基础设施运营者面前的一个挑战，我们将以我们在等级保护方面的专业知识，服务于广大的客户，做好基础安全防护。进而在等级保护工作的基础上服务国家关键信息基础设施运营者，让我们携手未来，共同构建我国网络安全的伟大蓝图，你我都是国家网络安全前进的一份子。

网络安全为人民，网络安全靠人民！有你、有我、有他，有大家。

做对用户有真实价值的网络安全服务

1. 
   

2. >>>等级保护<<<
3. 开启等级保护之路：GB 17859网络安全等级保护上位标准
4. 网络安全等级保护：等级保护测评过程及各方责任
5. 网络安全等级保护：政务计算机终端核心配置规范思维导图
6. 网络安全等级保护：什么是等级保护？
   
7. 网络安全等级保护：信息技术服务过程一般要求
8. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
9. 闲话等级保护：什么是网络安全等级保护工作的内涵？
10. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
11. 闲话等级保护：测评师能力要求思维导图
    
12. 闲话等级保护：应急响应计划规范思维导图
    
13. 闲话等级保护：浅谈应急响应与保障
    
14. 闲话等级保护：如何做好网络总体安全规划
    
15. 闲话等级保护：如何做好网络安全设计与实施
    
16. 闲话等级保护：要做好网络安全运行与维护
    
17. 闲话等级保护：人员离岗管理的参考实践
18. 信息安全服务与信息系统生命周期的对应关系
19. >>>工控安全<<<
20. 工业控制系统安全：信息安全防护指南
21. 工业控制系统安全：工控系统信息安全分级规范思维导图
22. 工业控制系统安全：DCS防护要求思维导图
23. 工业控制系统安全：DCS管理要求思维导图
24. 工业控制系统安全：DCS评估指南思维导图
25. 工业控制安全：工业控制系统风险评估实施指南思维导图
26. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
27. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
28. >>>数据安全<<<

29. 数据安全风险评估清单

30. 成功执行数据安全风险评估的3个步骤

31. 美国关键信息基础设施数据泄露的成本

32. VMware 发布9.8分高危漏洞补丁

33. 备份：网络和数据安全的最后一道防线

34. 数据安全：数据安全能力成熟度模型

35. 数据安全知识：什么是数据保护以及数据保护为何重要？

36. 信息安全技术：健康医疗数据安全指南思维导图

37. >>>供应链安全<<<

38. 美国政府为客户发布软件供应链安全指南
    

39. OpenSSF 采用微软内置的供应链安全框架
    

40. 供应链安全指南：了解组织为何应关注供应链网络安全
    

41. 供应链安全指南：确定组织中的关键参与者和评估风险
    

42. 供应链安全指南：了解关心的内容并确定其优先级

43. 供应链安全指南：为方法创建关键组件

44. 供应链安全指南：将方法整合到现有供应商合同中

45. 供应链安全指南：将方法应用于新的供应商关系

46. 供应链安全指南：建立基础，持续改进。
47. 思维导图：ICT供应链安全风险管理指南思维导图
    

48. 英国的供应链网络安全评估

49. >>>其他<<<
50. 美国网络安全框架：CSF五个功能
51. 一起看看英国NCSC漏洞指南
52. 网络安全知识：什么是社会工程学
53. 缓解内部威胁：了解并保护关键资产
54. 缓解内部威胁：制定正式的内部风险管理计划
55. 缓解内部威胁：明确记录并持续执行控制措施
56. 缓解内部威胁：预测和管理负面因素工作环境中的问题

原文始发于微信公众号（祺印说信安）：《网络安全法》里的关键信息基础设施的运行安全