一图读懂《关键信息基础设施安全保护条例》,另附专家解读!

admin 2021年12月22日02:06:35评论333 views字数 4435阅读14分47秒阅读模式

一图读懂《关键信息基础设施安全保护条例》,另附专家解读!
撰稿 | 贾贾
编辑 | 小雪


李克强总理签署的《关键信息基础设施保护条例》将于2021年9月1日正式开始实施,其相对2017年的征求意见稿,有了较大的调整与变更。这些调整与变更和国家网络安全面临的疫情防控,中美脱钩百年未遇之大变局密切相关,也和目前世界网络信息安全领域面临巨大挑战,技术风险治理日益严峻密不可分。


梳理关键信息基础设施安全保障的背景,演进,征求意见稿和正式稿的变迁,对比美欧对关键信息基础设施保护的国家战略和立法措施,清晰辨识异同,追根寻源,寻找我国关键信息基础设施的重点难点,结合条文,确定相关产业的义务责任,明确组织模式,保障流程,落实措施,强化责任,合规路径,对企业促进业务发展至关重要。


安在特别编撰《关键信息基础设施安全保护条例》专题,以一图流的形式将条例拆解提炼出重点,以便诸位对条例有更深的认识。


一图读懂《关键信息基础设施安全保护条例》,另附专家解读!

一图读懂《关键信息基础设施安全保护条例》,另附专家解读!

一图读懂《关键信息基础设施安全保护条例》,另附专家解读!

一图读懂《关键信息基础设施安全保护条例》,另附专家解读!

一图读懂《关键信息基础设施安全保护条例》,另附专家解读!

一图读懂《关键信息基础设施安全保护条例》,另附专家解读!

一图读懂《关键信息基础设施安全保护条例》,另附专家解读!

一图读懂《关键信息基础设施安全保护条例》,另附专家解读!

一图读懂《关键信息基础设施安全保护条例》,另附专家解读!


此外,安在还特别邀请业界甲方代表、学界专家、法律界专家以及知名厂商对《关键信息基础设施安全保护条例》进行进一步解读。




刘志诚

乐信集团信息安全中心总监


■背景

关键基础设施的概念最早溯源应该起源于美国1998年63号总统令首先提出的基础设施保障的概念和要求,2002年美国制定了《关键基础设施信息法案》,欧盟在2004年《打击恐怖活动,加强关键基础设施保护的通讯》提出了关键基础设施定义后,先后颁布了计划,评估,保护三个指令。

美国2002年依据《国土安全法》确认了国土安全部与基础设施特定领域机构(SSA)作为关键设施保障协调机构。2014年依据第27号总统令,确认网络基础设施分析办公室(OCIA)落实具体要求。2016年41号总统令强调了网络应急响应计划与事件协调机制,《改善关键基础设施的网络安全行政令》明确了识别、保护、监测、响应、恢复的CIIP网络安全框架。

欧盟2005年依据《保护关键基础设施的欧洲计划(EPCIP)》设立了《设立关键基础设施预警信息网络委员会(CIWIN)》,并落实建立了关键基础设施预警信息网络(CIWIN)、早期预警机制和欧洲信息共享和预警系统(EISAS)。

从美国和欧盟的经验来看,在2002-2005年初步理清了相关概念,并在2005-2016年在组织架构,保障方法,执行标准,规范,建立相应机制方面,已经初步具备了关键基础设施的保障能力。中国在2017年6月1日开始实施的《网络安全法》在第三章第二节规定了关键信息基础设施安全保障的相关条款,2017年7月11日对《关键信息基础设施安全保护条例(征求意见稿)》发起征求意见。2021年7月30号发布国务院745号令予以公布。

国家战略重视,立法,组织,协调,技术体系的逐步完善,是否改变了网络安全形势严峻的局面,从美国的经验来看,道路依然漫长,今年以来,美国最大的天然气公司遭勒索软件攻击导致西部诸州停电,造成能源安全风险,美国第二大肉类加工企业,因勒索软件攻击,导致食品安全,结合前几年由于物联网设备被恶意软件控制导致DDOS大断网事件,无不显示出数字化时代万物互联带来便利性的同时,引入的安全风险。当然,美国作为潜在的网络战发起方对伊朗核设施,发电站发起的APT攻击,从另一个层面上来说,保护自己的关键基础设施,通过网络战攻击敌方的关键基础设施,是已经验证有效的战争形态。

中国虽然在立法,组织,协调,实施方面起步较晚,但在美欧经验的基础上,针对美欧走过的弯路,遇到的问题,奋起直追,弯道超车也是可以预期的目标。


■概念

网络安全法》对关键信息基础设施的定义是公共通信和信息服务,能源,交通,水利,金融,公共服务,电子政务行业和领域内因功能丧失的破坏和数据泄漏对国家安全,国际民生,公共利益造成重大影响的称之为关键信息基础设施。相对于条例征求意见稿,条例引用《网络安全法》定义的基础上增加了国防科技工业等重要行业和领域,对信息基础设施细分为网络设施和信息系统。

《网络安全法》第三十二条,以职责分工授权给国务院各部门编制,组织,本行业本领域的保障规划,指导监督安全保护工作,条例第三条规定了国家网信办统筹协调,公安部门负责指导监督,国务院各部门负责分管领域落实,相对于《网络安全法》,条例明确了统筹规划,总领全局的指导监督角色,避免落实过程的规则不统一,自行其是,结合公安部等级保护检查执行的职责,实现网络安全工作的统一,避免多头管理的混乱局面。

相对于征求意见稿,条例第五条相对于征求意见稿的分而治之强调国家对信息基础设施安全保障工作的统筹,协调,领导作用,进一步强调工作的整体性和提升到国家战略高度。


■挑战

从美欧到中国的信息关键基础设施保障的立法,实施,执行来看,建立完善的立法机制,明确涉及到的范围,运营者在组织架构,保障计划,保障措施落地执行,自查自纠,威胁事件报告,检查者或执法者对运营者的认定规则和认定程序,指导,检查,对威胁态势信息的共享,安全事件的响应,技术协助和支持上都有重要的细节需要进一步落实。

中国通过《网络安全法》和《关键信息基础设施保护条例》明确了网信办统筹协调,公安部统一协调支持,各行业主管和监管部门负责的机制,明确了运营者,主管或监管部门的职责分工,义务责任,给出了管理规则,依据和处罚办法。主管或监管部门制定认定规则,完成本行业的关键信息基础设施运营者的认定,并将规则和认定结果向公安部备案,运营者做好组织机构的设计以及安全负责人的任命与审查,关注关键信息基础设施建设过程中的安全保障措施,尤其要明确使用产品与服务安全审查的符合性,明确数据的境内存储和跨境的风险防护,做好风险评估,检测和安全措施的落实工作,明确应急响应规划与制度,做好应急演练,遇到重大威胁和安全事件及时上报,及时响应个主管部门的安全检查,落实关键信息基础设施保障义务。主管部门,公安部分别建立本行业,全国的威胁态势感知,风险评估,安全检查,应急响应,情报共享的能力和机制,支持和协助运营者完成安全保障,定期组织演练,检查,落实相关措施。国家在政策上会给予能力建设的全面支持。

从规划,制度,流程,责任,分工上已经完成了框架的构建,具体的落地需要主管部门的认定规则落实,主管部门和公安部以及运营者的相关能力建设,落地效果仍有待于进一步观察,但我们离这一步确实越来越近了。



张永宏

副教授 四川华新现代学院信息工程学院计算机网络专业负责人


今年来国内和国际出现的重大信息安全事故以及国内企业的赴美上市对数据安全再次敲响了警钟,国家从今年开始到现在密集出台的有关网络安全、信息安全、数据安全的法律法规从侧面凸显了问题的紧迫性和严重性。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。保障关键信息基础设施安全,对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。《关键信息基础设施保护条例》(下简称条例)定位非常关键,是官方正式作出的定位标准。

《条例》是对《中华人民共和国网络两安全法》2017年出台执行的一个切实保障与衔接,相对更加细致化。以问题为导向,责任要压实,法律法规要做好衔接。这是《条例》发布的三个思路。《条例》从我国国情出发,借鉴国外通行做法,明确了关键信息基础设施的定义和认定程序,同时也明确了保护工作部门对本行业、本领域关键信息基础设施的安全保护责任。

既有对前段时间滴滴APP案件的处理示范,又有对数据安全与个人信息保护做出明确的界定和保护措施。至此基本完成了从C端到S端以及中间通信网络连接部分的法律法规衔接,保障了两端与中间的全链安全。做到有法可依、有法必依、执法必严、违法必究。



娄鹤

北京德和衡上海律师事务所高级联席合伙人


从政府监管看,关基的保护工作部门分为两部分,一个是监管部门,即公安部门;另一个是电信部门和所在行业的主管部门。


从关基的认定流程也值得关注,从制定认定规则(报公安部备案)、组织设施的认定、通知结果并报备公安部,如有重大变化的需要重新认定。其中的一大特点是,分行业、分领域的特点开展认定,另一方面,对运营者而言,是否属于关基不需要再揣测了,将由保护部门所发的通知结果而决定。


对于组织内部而言,条例明确了 主要负责人的总体责任,还要求对安全管理机构的负责人、关键岗位人员进行安全背景调查。


鉴于条例明确了关基的一些强制性义务,我们认为,网络安全检测和评估机构、(安全可信)网络产品和服务供应商(如:获得国密加持的安全厂商)等,都将在新一轮的合规及设备升级换代中,享受到政策的红利。


条例出台后,关基将面临更为严格的安全合规压力,定期检查及专项检查会成为一种常态,公安、国安、保密、电信、密码管理机构的联合执法,将极大考验关基的合规能力和基础。



360

国内知名安全厂商


作为现代社会的神经中枢,关键信息基础设施支撑着国家经济运行的关键业务,并承担社会服务的重要功能,是关系国家安全、国计民生和公共利益的战略资源。随着新技术新应用的发展,网络攻击的手段和方式不断翻新,关键信息基础设施面临严峻的网络安全挑战。制定和颁布《关键信息基础设施安全保护条例》(以下简称《条例》),回应了国家网络安全的重大关切,是提高我国网络安全防御水平的重要举措,是建设网络强国的战略部署。



《条例》五大亮点


作为关键信息基础设施安全保护的专项行政法规,《条例》的颁布为关键信息基础设施安全保护提供了可操作的解决方案和精细的工作指导。对照《网络安全法》对关键信息基础设施运行安全的已有规定,《条例》有五大亮点值得关注。

第一,明确关键信息基础设施认定。

第二,明确网络安全保护责任制。

第三,明确常态化网络安全检测。

第四,强调专业性支撑和保障。

第五,全方位地压实责任。



有效衔接并补充相关法律法规


从2016年11月国家正式颁布《网络安全法》,国家就着手制定网络安全基本法的配套措施。以《网络安全法》为法律基础,《条例》对其中的“关键信息基础设施的运行安全”部分进行了落实、细化和完善。同时,这份规定与近期国家颁布的相关法律法规呈现出有效衔接、相互补充的关系,体现了国家顶层设计的通盘考虑。



《条例》助网络安全产业发展


首先,《条例》重视发挥网络安全服务机构在关键信息基础设施安全保护中的能力和作用。其次,《条例》的颁布有利于我国网络安全产业的自主创新。第三,《条例》的颁布为我国网络安全产业发展提供了新的动力。


对国家而言,关键信息基础设施保护是国家网络安全的重大关切。对重要行业而言,关键信息基础设施的安全防护是企业生产经营的底线和红线。通过《条例》可以看到,政策制定的初衷是希望通过政策法规的及时卡位、规范、公正和透明,在顶层设计上给信息化发展提供可操作的安全指南,在安全的前提下促进经济高质量发展。因此,无论是立足国家安全,还是着眼经济发展,我国网络安全产业都处于前所未有的战略机遇期,网络安全企业要抓住千载难逢的机遇,乘势而上,为建设网络强国做出应有的贡献。



本文始发于微信公众号(安在):一图读懂《关键信息基础设施安全保护条例》,另附专家解读!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月22日02:06:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一图读懂《关键信息基础设施安全保护条例》,另附专家解读!https://cn-sec.com/archives/465227.html

发表评论

匿名网友 填写信息