分享WP资源
是件美好的事情

《网络安全法》系列解读(三)—— 关键信息基础设施

腾讯云限时秒杀活动

在2017年6月1日开始施行的《中户人民共和国网络安全法》(下称“《网络安全法》”)中规定了“关键信息基础设施(CII)”提供者的相关义务和规则,对其在网络运营者的义务基础上,增加了特殊的责任。总的来看,《网络安全法》多为原则性的规定,缺乏具体细化的措施。

随后,国家互联网信息办公室于2017年7月12日发布了《关键信息基础设施安全保护条例(征求意见稿)》(下称“《安全保护条例》”),该条例属于《网络安全法》的重要配套规定和下位法,对于关键信息基础设施有比较具体细化的规定。

另外,在2016年6月中央网信办网络安全协调局制定的《国家网络安全检查操作指南》(下称“《操作指南》”)中也有关于关键信息基础设施的细则规定。下面,本文将结合《网络安全法》、《安全保护条例》和《操作指南》三份规范性文件对“关键信息基础设施(CII)”这一主题进行解读。

一、关键信息基础设施的定义及范围

对于何为关键信息基础设施,《网络安全法》、《安全保护条例》以及《操作指南》中都是采用了“特定行业范围+严重危害后果”的方式来进行定义,因此在定义的同时,也会明确涉及一些特定的行业。

《网络安全法》《安全保护条例》《操作指南》公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域;

(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;

(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;

(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;

(四)广播电台、电视台、通讯社等新闻单位;面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统;

包括网站类,如党政机关网站、企事业单位网站、新闻网站;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的。一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。

从上表可以看出,《网络安全法》所直接提及的行业范围相对较少,而在《安全保护条例》和《操作指南》中则更为丰富具体,其中有同时都明确提及的,也有仅单独提及的。我们认为,凡是在任何一份规范性文件中有所提及且一旦发生网安事件可能造成严重后果的都应属于CII的范畴,企业可以根据上表的内容初步评估所属的网络系统是否属于CII。

二、关键信息基础设施的识别规则

虽然对于CII有了初步的定义,但是该如何具体的识别CII仍然需要进一步细化的规则进行指引。因此,《安全保护条例》第19条为下一步细则规范的出台进行了授权并做出了一些原则性的规定。

具体来说,《安全保护条例》第19条第1款明确了“国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南”,同时第2款和第3款规定“国家行业主管或监管部门按照关键信息基础设施识别指南,组织识别本行业、本领域的关键信息基础设施,并按程序报送识别结果。

关键信息基础设施识别认定过程中,应当充分发挥有关专家作用,提高关键信息基础设施识别认定的准确性、合理性和科学性”。在后续的“关键信息基础设施识别指南”尚未出台的情况下,《操作指南》中的确定的CII确定规则在目前就成为最有参考价值的一项标准。

《操作指南》中提出了CII确定的三步法,即一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。

《操作指南》中对三步法的操作又有具体的指引:

◆ 对于确定关键业务,《操作指南》明确了需结合本地区、本部门、本行业的实际来梳理关键业务,并做了示例。以“电信与互联网”为例,关键业务就应包括域名解析服务、数据中心\云服务、语音\数据\互联网基础网络及枢纽等业务。

◆ 对于确定支撑关键业务的信息系统或工业控制系统,则应当根据关键业务,逐一梳理出支撑关键业务运行或关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。比如火电企业的发电机组控制系统、管理信息系统。

对于认定关键基础设施的量化标准,《操作指南》则列举了网站类、平台类和生产业务类三种具体情况的相应量化标准。比如对于平台类,规定注册用户超过1000万、活跃用户超过100万或者日交易额超过1000万的,就可认定为CII;对于生产业务类,规模超过1500个标准机架的数据中心、地市级以上政府面向公众服务的业务系统,也都可认定为CII。

三、关键信息基础设施运营者的安全保护义务及法律责任

《网络安全法》中对关键信息基础设施作出特别的规定,对于企业而言,最为重要的就是要了解关键信息基础设施运营者(CIIO)的安全保护义务。

在本系列解读的第一篇《网络安全法下的企业责任》中,我们已经梳理了《网络安全法》中CIIO的安全保护义务。而《安全保护条例》中则对CIIO做出了更加全面、细致的安全保护义务要求,我们将具体的安全保护义务和相应的法律责任梳理如下:

序号核心内容具体安全保护义务法律责任1新建、停运CII需报告【20条】新建、停运关键信息基础设施,或关键信息基础设施发生重大变化的,应当及时将相关情况报告国家行业主管或监管部门。【45条】责令改正,给予警告;拒不改正或者导致危害后果的,处10万元以上100万元以下罚款,直接负责人员处1万元以上10万元以下罚款。2确保CII稳定持续运行【21条】建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。3制定安全管理制度和规程【23条1款】制定内部安全管理制度和操作规程,严格身份认证和权限管理;4防范病毒和攻击【23条2款】采取技术措施,防范计算机病毒和网络攻击、侵入;5留存网络日志不少于6个月【23条3款】采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月;6数据分类、备份、加密【23条4款】采取数据分类、重要数据备份和加密认证等措施。7设立专门机构和专人【24条1款】设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;8数据容灾备份【24条3款】对重要系统和数据库进行容灾备份;9应急预案演练【24条4款】制定网络安全事件应急预案并定期进行演练。10关键人员持证上岗【26条】运营者网络安全关键岗位专业技术人员实行执证上岗制度。11从业人员每年1天以上的培训,关键人员每年3天以上的培训【27条】运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于1个工作日,关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。12建立安全检测评估制度【28条1款】运营者应当建立健全关键信息基础设施安全检测评估制度;【45条】责令改正,给予警告;拒不改正或者导致危害后果的,处10万元以上100万元以下罚款,直接负责人员处1万元以上10万元以下罚款。13CII每年不少于1次检测评估【28条2款】运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行一次检测评估。14限制数据跨境转移【29条】运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照个人信息和重要数据出境安全评估办法进行评估;法律、行政法规另有规定的,依照其规定。【46条】责令改正,给予警告,没收违法所得,处5万元以上50万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。15产品服务采购需符合国家标准【30条】运营者采购、使用的网络关键设备、网络安全专用产品,应当符合法律、行政法规的规定和相关国家标准的强制性要求。【45条】责令改正,给予警告;拒不改正或者导致危害后果的,处10万元以上100万元以下罚款,直接负责人员处1万元以上10万元以下罚款。16采购安全审查和签订安全保密协议【31条】运营者采购网络产品和服务,可能影响国家安全的,应当通过网络安全审查,并与提供者签订安全保密协议。【47条】责令停止使用,处采购金额1倍以上10倍以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。17外包产品上线前应安全检测【32条】运营者应当对外包开发的系统、软件,接受捐赠的网络产品,在其上线应用前进行安全检测。【45条】责令改正,给予警告;拒不改正或者导致危害后果的,处10万元以上100万元以下罚款,直接负责人员处1万元以上10万元以下罚款。18风险处置和报告【33条】运营者发现使用的网络产品、服务存在安全缺陷、漏洞等风险的,应当及时采取措施消除风险隐患,涉及重大风险的应当按规定向有关部门报告。19境内维护【34条】关键信息基础设施的运行维护应当在境内实施。因业务需要,确需进行境外远程维护的,应事先报国家行业主管部门。

综上,本文结合《网络安全法》、《操作指南》以及还在征求意见中的《安全保护条例》,从CII的定义及范围、CII的识别规则和CIIO的安全保护义务及法律责任三个主要角度对关键信息基础设施这一主题进行了解读,鉴于后续正式出台的《安全保护条例》可能会有一定的变化,并且可能还会有进一步的细则出台,因此,我们还会对这一问题进行持续跟踪研究。我们认为,企业尤其是可能被判定为属于CIIO的主体,及早按照《安全保护条例》征求意见稿、《操作指南》对自身进行网络安全合规检查和完善相应制度是很有必要的。

 收藏 (0) 打赏

您可以选择一种方式赞助本站

支付宝扫一扫赞助

微信钱包扫描赞助

未经允许不得转载:莲花不妖 » 《网络安全法》系列解读(三)—— 关键信息基础设施
分享到: 生成海报

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录