安全資訊

《關(guān)鍵信息基礎設施安全保護條例》已經(jīng)2021年4月27日國務(wù)院第133次常務(wù)會(huì )議通過(guò)，并于昨日8月17公布，已于2021年9月1日起施行。

關(guān)鍵信息基礎設施是經(jīng)濟社會(huì )運行的神經(jīng)中樞，是網(wǎng)絡(luò )安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標。習近平總書(shū)記“4.19”講話(huà)提出明確要求“我們必須深入研究，采取有效措施，切實(shí)做好國家關(guān)鍵信息基礎設施安全防護?！薄蛾P(guān)鍵信息基礎設施安全保護條例》為網(wǎng)絡(luò )安全織密防護網(wǎng)，為國家安全打造金鐘罩提供了強有力的行政法規。



《關(guān)鍵信息基礎設施安全保護條例》是基于《中華人民共和國網(wǎng)絡(luò )安全法》，在關(guān)鍵信息基礎設施安全保護領(lǐng)域的一個(gè)重要法規文件，是引領(lǐng)關(guān)鍵信息基礎設施安全保護的重要遵循。

《關(guān)鍵信息基礎設施安全保護條例》（以下簡(jiǎn)稱(chēng)“關(guān)保條例”）共6章51條，分別為總則、關(guān)鍵信息基礎設施認定、運營(yíng)者責任義務(wù)、保障和促進(jìn)、法律責任、附則等6章組成。
今天我們一起回顧的是《網(wǎng)絡(luò )安全法》中的關(guān)鍵信息基礎設施安全保護內容：

第三十一條國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：野踩?、國計民生、公共利益的關(guān)鍵信息基礎設施，在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護。關(guān)鍵信息基礎設施的具體范圍和安全保護辦法由國務(wù)院制定。

國家鼓勵關(guān)鍵信息基礎設施以外的網(wǎng)絡(luò )運營(yíng)者自愿參與關(guān)鍵信息基礎設施保護體系。

本條規定了關(guān)鍵信息基礎設施保護，以及與網(wǎng)絡(luò )安全等級保護制度的關(guān)系。

網(wǎng)絡(luò )安全法根據我國實(shí)踐需要，并借鑒一些國家的經(jīng)驗，對關(guān)鍵信息基礎設施保護制度作了規定。根據本條規定，關(guān)鍵信息基礎設施是指那些一旦遭到破壞、喪失功能或者數據泄露將對國家安全、國計民生、公共利益造成重大影響的重要網(wǎng)絡(luò )設施和系統。本條列舉了公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等7個(gè)領(lǐng)域，但不限于這些領(lǐng)域，其具體范圍將由國務(wù)院制定具體辦法予以確定。

隨著(zhù)信息技術(shù)的廣泛應用，能源、利、金融等國民經(jīng)濟重要行業(yè)，供電、供水、教育、醫療衛生等關(guān)系民生的公共服務(wù)領(lǐng)域，以及國家對經(jīng)濟社會(huì )事務(wù)的管理等，都高度依賴(lài)于網(wǎng)絡(luò )。這些行業(yè)和領(lǐng)域的重要網(wǎng)絡(luò )系統一旦喪失功能、通到破壞，將給國家安全、公共安全、民生福祉造成不可估量的危害。世界范圍內針對關(guān)鍵信息基礎設施的攻擊活動(dòng)頻繁發(fā)生并造成嚴重破壞，如早期伊朗核設施遭受“震網(wǎng)”病毒攻擊被破壞、烏克蘭電網(wǎng)因受網(wǎng)絡(luò )攻擊致使境內三分之一的地區持續斷電、美國域名解析服務(wù)器因網(wǎng)絡(luò )攻擊導致眾多網(wǎng)絡(luò )無(wú)法訪(fǎng)問(wèn)等，今年比較突出的是美國油氣管道被攻擊，造成美國東海岸45%的油氣供應中斷。

另外，國家鼓勵參與關(guān)鍵信息基礎設施保護體系，有利于參與者參考關(guān)鍵信息基礎設施保護的相關(guān)要求加強自身網(wǎng)絡(luò )系統的安全保護，并通過(guò)共享安全信息、交流保護經(jīng)驗獲取最佳的保護方案，不斷完善和改進(jìn)網(wǎng)絡(luò )安全保護相關(guān)措施，提升其網(wǎng)絡(luò )安全保護水平。同時(shí)，通過(guò)自愿參與機制，可以使更多的網(wǎng)絡(luò )運營(yíng)者參與到網(wǎng)絡(luò )風(fēng)險應對、處置的過(guò)程中，不斷擴大網(wǎng)絡(luò )安全風(fēng)險的感知范圍，有利于提高網(wǎng)絡(luò )安全整體態(tài)勢的感知能力以及網(wǎng)絡(luò )安全事件處置的協(xié)同配合能力。

我國網(wǎng)絡(luò )安全保障和防護仍處于較低水平，不僅體現在硬件上，也體現在軟件上，更體現在安全意識和安全標準上；網(wǎng)絡(luò )屬非傳統領(lǐng)域，這方面的風(fēng)險與威脅更具有殺傷力和破壞性，必須引起我們高度重視；我國關(guān)鍵信息基礎設施防控還比較薄弱，各部門(mén)必須守土盡責，密切配合，完善預案，積極應對，切實(shí)強化國家關(guān)鍵信息基礎設施防護，確保整個(gè)網(wǎng)絡(luò )安全；堅決改變只重技術(shù)不重安全的做法，加快構建關(guān)鍵信息基礎設施安全保障體系，實(shí)現全天候全方位感知和有效防護。

第三十二條按照國務(wù)院規定的職責分工，負責關(guān)鍵信息基礎設施安全保護工作的部門(mén)分別編制并組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎設施安全規劃，指導和監督關(guān)鍵信息基礎設施運行安全保護工作。

本條規定了負責關(guān)鍵信息基礎設施安全保護工作的部門(mén)組織開(kāi)展關(guān)鍵信息基礎設施安全保護、監督和指導等工作。

本條同時(shí)規定了負責關(guān)鍵信息基礎設施安全保護工作的部門(mén)的兩項主要職責：一是負責編制并組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎設施安全規劃；二是指導和監督關(guān)鍵信息基礎設施運行安全保護工作。

第三十三條建設關(guān)鍵信息基礎設施應當確保其具有支持業(yè)務(wù)穩定、持續運行的性能，并保證安全技術(shù)措施同步規劃、同步建設、同步使用。

本條規定了關(guān)鍵信息基礎設施的功能性能要求和“三同步”要求。關(guān)鍵信息基礎設施承載重要產(chǎn)品和服務(wù)的供給，對國家安全、公共利益、國計民生有重大影響，法律對關(guān)鍵信息基礎設施及其業(yè)務(wù)的穩定、持續運行提出了更高要求。如銀行等金融交易需要全天候交易，支持這些交易的網(wǎng)絡(luò )系統也必須每天24小時(shí)不間斷運行，一旦因系統處理能力不足或故障，造成服務(wù)中斷，將產(chǎn)生重大損失，甚至會(huì )影響金融系統穩定。因此，在建設環(huán)節就應當確保關(guān)鍵信息基礎設施具有支持業(yè)務(wù)穩定、持續運行的性能。

關(guān)鍵信息基礎設施的運營(yíng)者應當根據本行業(yè)、本系統相關(guān)業(yè)務(wù)運行特點(diǎn)和發(fā)展趨勢，在建設階段對其信息系統應達到的性能進(jìn)行充分研究論證，合理規劃設計系統架構，采用必要的設備和措施，確保關(guān)鍵信息基礎設施具有支持其業(yè)務(wù)持續、穩定運行的性能。

在關(guān)鍵信息基礎設施設計、施工、投入使用階段做好網(wǎng)絡(luò )安全技術(shù)防護，對于防范網(wǎng)絡(luò )安全風(fēng)險、減少網(wǎng)絡(luò )安全事件的發(fā)生具有重要意義。據此，本條要求保障關(guān)鍵信息基礎設施運行安全的技術(shù)措施，應當與關(guān)鍵信息基礎設施的主體工程同步規劃、同步建設、同步使用，通常被稱(chēng)為“三同時(shí)”制度。

關(guān)鍵信息基礎設施安全技術(shù)措施“三同時(shí)”應當達到以下要求：一是，建設項目的設計單位在編制項目設計文件時(shí)，應當按照規定編制安全技術(shù)措施的設計文件；二是，關(guān)鍵信息基礎設施的運營(yíng)者在編制建設項目投資計劃時(shí)，應當將安全技術(shù)措施所需投資一并納人預算；三是，關(guān)鍵信息基礎設施的運營(yíng)者應當要求施工單位嚴格按照安全技術(shù)措施的設計要求施工；四是，在建設項目驗收時(shí)，應當對安全技術(shù)措施進(jìn)行調試、檢測和驗收；五是，安全技術(shù)措施應當與主體工程同時(shí)投入使用。

第三十四條除本法第二十一條的規定外，關(guān)鍵信息基礎設施的運營(yíng)者還應當履行下列安全保護義務(wù)：

（一）設置專(zhuān)門(mén)安全管理機構和安全管理負責人，并對該負責人和關(guān)鍵崗位的人員進(jìn)行安全背景審查；

（二）定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò )安全教育、技術(shù)培訓和技能考核；

（三）對重要系統和數據庫進(jìn)行容災備份；

（四）制定網(wǎng)絡(luò )安全事件應急預案，并定期進(jìn)行演練；

（五）法律、行政法規規定的其他義務(wù)。

本條規定了關(guān)鍵信息基礎設施運營(yíng)者應落實(shí)的重點(diǎn)措施。關(guān)鍵信息基礎設施運營(yíng)者除落實(shí)本法第二十一條規定的措施外，還要落實(shí)幾項重點(diǎn)措施。

關(guān)鍵信息基礎設施的運營(yíng)者除履行本法第二十一條規定的安全保護義務(wù)外，還應當按照本條規定，采取相應的措施，加強關(guān)鍵信息基礎設施的網(wǎng)絡(luò )安全保護。

一是應當完善網(wǎng)絡(luò )安全管理體系，設置專(zhuān)門(mén)安全管理機構和安全管理負責人。安全管理機構和安全管理負責人主要負責組織制定本單位網(wǎng)絡(luò )安全保護方案和管理制度，對安全管理工作進(jìn)行協(xié)調、指導和監督，以加強對關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全保護工作的領(lǐng)導和統一管理，確保各項安全措施的落實(shí)。同時(shí)，關(guān)鍵信息基礎設施的運營(yíng)者還應當對安全管理負責人和具有較高權限、能夠接觸到敏感信息的關(guān)鍵崗位的人員進(jìn)行安全背景審查，以確定其從事網(wǎng)絡(luò )安全管理和關(guān)鍵崗位業(yè)務(wù)的可靠性。

二是應當采取多種方式，定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò )安全教育、技術(shù)培訓和技能考核，提高從業(yè)人員的網(wǎng)絡(luò )安全意識和網(wǎng)絡(luò )安全技術(shù)技能。

三是應當對重要系統和數據庫進(jìn)行容災備份，以保證關(guān)鍵信息基礎設施因網(wǎng)絡(luò )攻擊、自然災害、故障等原因業(yè)務(wù)受到影響或者停止運行時(shí)，確保備份系統能夠替代主系統運行，保證其業(yè)務(wù)正常進(jìn)行，數據不會(huì )丟失。

四是制定網(wǎng)絡(luò )安全事件應急預案，并定期進(jìn)行演練，以提高應急工作人員的能力，檢驗應急預案的有效性。

此外，本條規定了關(guān)鍵信息基礎設施運營(yíng)者在網(wǎng)絡(luò )安全保護方面的主要義務(wù)，關(guān)鍵信息基礎設脆的運營(yíng)者還應當履行其他相關(guān)法律、行政法規規定的網(wǎng)絡(luò )安全保護義務(wù)。

第三十五條關(guān)鍵信息基礎設施的運營(yíng)者采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)，可能影響國家安全的，應當通過(guò)國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)組織的國家安全審查。

本條規定了非常態(tài)的網(wǎng)絡(luò )產(chǎn)品和服務(wù)的國家安全審查機制。

為了防止關(guān)鍵信息基礎設施因使用的產(chǎn)品和服務(wù)存在安全缺陷或其他隱患而受到攻擊、破壞，或者其存儲、處理的數據資源被竊取、泄露從而危害國家安全，網(wǎng)絡(luò )安全法依據世界貿易組織國家安全例外原則，對關(guān)鍵信息基礎設施運營(yíng)者采購網(wǎng)絡(luò )產(chǎn)品或者服務(wù)的國家安全審查作了規定，這也是落實(shí)2015年全國人大常委會(huì )通過(guò)的國家安全法確立的國家安全審查制度的規定。這一制度不同于本法第二十三條規定的網(wǎng)絡(luò )關(guān)鍵設備和安全專(zhuān)用產(chǎn)品的安全認證和安全檢測，本條規定的國家安全審査只在可能影響國家安全的特殊情形下才啟動(dòng)，在對產(chǎn)品和服務(wù)的安全性進(jìn)行審查的同時(shí)，還需要對影響國家安全的其他因素進(jìn)行審查。國家網(wǎng)信部門(mén)應當根據本條規定，會(huì )同國務(wù)院有關(guān)部門(mén)制定具體審查辦法，明確審查的條件、機制、程序等規則。

第三十六條關(guān)鍵信息基礎設施的運營(yíng)者采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)，應當按照規定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責任。

本條規定了關(guān)鍵信息基礎設施運營(yíng)者、服務(wù)商在采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)時(shí)的安全責任和義務(wù)，防范外包服務(wù)安全，關(guān)注供應鏈安全。

建設、維護關(guān)鍵信息基礎設施，必然要向供應商采購相關(guān)產(chǎn)品和服務(wù)，產(chǎn)品和服務(wù)的供應鏈風(fēng)險是關(guān)鍵信息基礎設施面臨的主要安全風(fēng)險之一。本條在實(shí)踐做法的基礎上，要求關(guān)鍵信息基礎設施的運營(yíng)者采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)時(shí)，應當按照有關(guān)規定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責任。一是，關(guān)鍵信息基礎設施的運營(yíng)者應當加強資質(zhì)資信審查，慎重選擇網(wǎng)絡(luò )產(chǎn)品和服務(wù)的供應商；二是，應當按照規定與供應商簽訂保密協(xié)議，明確供應商的安全義務(wù)、保密義務(wù)及不履行義務(wù)應承擔的責任；三是，應當監督供應商進(jìn)行設備安裝、測試、檢測、維修、安全維護等各方面的活動(dòng)，留存操作記錄，保證供應商按照協(xié)議的規定履行安全和保密義務(wù)。

第三十七條關(guān)鍵信息基礎設施的運營(yíng)者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數據應當在境內存儲。因業(yè)務(wù)需要，確需向境外提供的，應當按照國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評估；法律、行政法規另有規定的，依照其規定。

本條規定了對關(guān)鍵信息基礎設施運營(yíng)者的數據留存和提供的要求。

隨著(zhù)經(jīng)濟社會(huì )生活的日漸數字化，社會(huì )公共服務(wù)以及國家對經(jīng)濟社會(huì )事務(wù)的管理等都高度依賴(lài)關(guān)鍵信息基礎設施，這也使關(guān)鍵信息基礎設施匯集了大量的個(gè)人信息和涉及國家安全、經(jīng)濟安全的重要數據。這些重要數據如果轉移至境外，關(guān)鍵信息基礎設施的運營(yíng)者對其控制力必將減弱，其安全風(fēng)險將增加；同時(shí)我國境內的個(gè)人要維護其個(gè)人信息權利，有關(guān)機關(guān)依法行使職權需要查閱、調取、處置這些數據必將增加難度。

為了保護關(guān)鍵信息基礎設施存儲的個(gè)人信息和重要數據的安全，本條要求關(guān)鍵信息基礎設施的運營(yíng)者將在我國境內運營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數據在我國境內存儲。同時(shí)，本條考慮了關(guān)鍵信息基礎設施運營(yíng)者跨境業(yè)務(wù)的需要和網(wǎng)絡(luò )服務(wù)的特點(diǎn)，規定因業(yè)務(wù)需要經(jīng)過(guò)安全評估可以向境外這些數據，此項評估是為了監督并保證對這些數據的保護符合我國的安全要求和標準。本條還考慮到某些國際執法合作等需要，明確法律、行政法規可以作出特別的規定。根據本條規定，國家網(wǎng)信部門(mén)應當會(huì )同國務(wù)院有關(guān)部門(mén)制定關(guān)鍵信息基礎設施數據對外提供的安全評估辦法，以實(shí)施這一制度。

第三十八條關(guān)鍵信息基礎設施的運營(yíng)者應當自行或者委托網(wǎng)絡(luò )安全服務(wù)機構對其網(wǎng)絡(luò )的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估，并將檢測評估情況和改進(jìn)措施報送相關(guān)負責關(guān)鍵信息基礎設施安全保護工作的部門(mén)。

本條規定了關(guān)鍵信息基礎設施運營(yíng)者開(kāi)展安全檢測評估的規定。安全檢測評估活動(dòng)主要包括等級測評、風(fēng)險評估、滲透測試等第三方檢測機構的技術(shù)服務(wù)活動(dòng)。關(guān)鍵信息基礎設施運營(yíng)者開(kāi)展檢測評估，分為兩種方式。一種方式是自行檢測評估，利用自己的技術(shù)力量開(kāi)展，屬于自評估性質(zhì)；另一種方式是委托網(wǎng)絡(luò )安全服務(wù)機構開(kāi)展評估，是按照國家有關(guān)要求實(shí)施。對于后一種方式，關(guān)鍵信息基礎設施運營(yíng)者要按照國家網(wǎng)絡(luò )安全等級保護制度要求，聘請符合有關(guān)要求的第三方測評機構，對第三級以上網(wǎng)絡(luò )系統，每年應開(kāi)展一次等級測評、風(fēng)險評估工作。這兩種方式不能混淆，不能相互替代，都要開(kāi)展。

2014年8月1日，浙江溫州有線(xiàn)數字電視網(wǎng)被黑客攻擊，影響50萬(wàn)用戶(hù)、30萬(wàn)臺機頂盒，電視屏幕上出現大量違法信息和圖片，造成了嚴重的政治影響。案發(fā)原因是有線(xiàn)數字電視網(wǎng)與互聯(lián)網(wǎng)非法連接，說(shuō)明網(wǎng)絡(luò )運營(yíng)者網(wǎng)絡(luò )安全管理不規范，既缺乏監測手段，也沒(méi)有及時(shí)開(kāi)展安全檢測并及時(shí)發(fā)現非法外聯(lián)。


第三十九條國家網(wǎng)信部門(mén)應當統籌協(xié)調有關(guān)部門(mén)對關(guān)鍵信息基礎設施的安全保護采取下列措施：

（一）對關(guān)鍵信息基礎設施的安全風(fēng)險進(jìn)行抽查檢測，提出改進(jìn)措施，必要時(shí)可以委托網(wǎng)絡(luò )安全服務(wù)機構對網(wǎng)絡(luò )存在的安全風(fēng)險進(jìn)行檢測評估；

（二）定期組織關(guān)鍵信息基礎設施的運營(yíng)者進(jìn)行網(wǎng)絡(luò )安全應急演練，提高應對網(wǎng)絡(luò )安全事件的水平和協(xié)同配合能力；

（三）促進(jìn)有關(guān)部門(mén)、關(guān)鍵信息基礎設施的運營(yíng)者以及有關(guān)研究機構、網(wǎng)絡(luò )安全服務(wù)機構等之間的網(wǎng)絡(luò )安全信息共享；

（四）對網(wǎng)絡(luò )安全事件的應急處置與網(wǎng)絡(luò )功能的恢復等，提供技術(shù)支持和協(xié)助。

本條規定了關(guān)鍵信息基礎設施保護中應當統籌協(xié)調采取的措施。關(guān)鍵信息基礎設施涉及的范圍較廣，面臨的安全風(fēng)險和威脅來(lái)自多個(gè)方面，有必要在關(guān)鍵信息基礎設施運營(yíng)者和有關(guān)主管部門(mén)承擔安全保護工作的基礎上，建立統籌協(xié)作機制，發(fā)揮各方作用，共同應對這些風(fēng)險和威脅。統籌協(xié)作是關(guān)鍵信息基礎設施保護制度的核心。

國家網(wǎng)信部門(mén)應當統籌協(xié)調有關(guān)部門(mén)積極支持，網(wǎng)絡(luò )安全職能部門(mén)、行業(yè)主管部門(mén)、信息安全企業(yè)等充分發(fā)揮作用，形成合力，支持關(guān)鍵信息基礎設施運營(yíng)者對關(guān)鍵信息基礎設施的安全保護采取安全監測、通報預警、態(tài)勢感知、風(fēng)險評估、應急演練、信息共享、應急處置等措施，建立關(guān)鍵信息基礎設施綜合防御體系，提高綜合防御能力。

在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護。關(guān)鍵信息基礎設施的具體范圍和安全保護辦法由國務(wù)院制定。在此我們應該明確一點(diǎn)，即使你的系統安全水平高過(guò)等級保護對應等級，也就是即使你加強了防護，等級保護工作還是要做的，因為關(guān)鍵基礎設施的保護是在等級保護的基礎上進(jìn)行的，滿(mǎn)足等級保護是基本安全要求也是前提，特殊的地方需要安全加固，增強保護也是理所當然的。在滿(mǎn)足前提的條件下，只能高于等級保護的要求，不能低于等級保護的要求的。