在信息化的浪潮中,关键信息基础设施也成为黑客攻击与勒索的主要目标,众多国家都曾为此承受过重大经济损失。关键信息基础设施安全保护形势日趋严峻。关键信息基础设施保护已成为网络安全建设的重中之重。
2021年9月1日,《关键信息基础设施安全保护条例》(以下简称《条例》)正式施行。
什么是关键信息基础设施?《条例》第二条内容,定义如下:
关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
《条例》的出台,为关键信息基础设施保护提供了法治保障,同时,也为关键信息基础设施安全保护提供了可操作的解决方案和精细的工作指导。
值得关注的是,《条例》重点强调了关键信息基础设施运营者的主体责任,对关键信息基础设施运营者提出了一系列安全要求,属于法定义务。主要包括:
明确运营者主要负责人负总责,保障人财物投入,杜绝“重业务,轻安全”的现象和“重建设,轻运维”的弊端。
专门机构设置说明安全管理要有一定的独立性和专业性,要组织网络安全教育、培训,定期开展安全演练,处置网络安全事件等。
对机构负责人、关键岗位人员须进行安全背景审查,公安机关、国家安全机关可给予协助。
运营者需要保障安全管理机构运行经费并配备相应的人员,本单位与网络安全和信息化有关的决策需要安全管理机构参与。
每年至少一次网络安全检测和风险评估,可自行或者委托进行,需要及时关注保护工作部门要求报送的时间和内容
关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,按规定向保护工作部门、公安机关报告。
运营者与网络产品、服务的提供者签订安全保密协议,明确保密义务和责任并持续监督;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定进行安全审查。
建立健全关键信息基础设施网络安全监测预警制度,准确把握关键信息基础设施运行状况,促进网络安全信息共享。
运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。
关键信息基础设施是国家重要的战略资源,关系国家安全、国计民生和公共利益,国家对关键信息基础设施保护高度重视。
《条例》明晰了关键信息基础设施安全保护的监管体制和工作机制,提出了关键信息基础设施认定的基本规则,强化了关键信息基础设施运营者的主体责任义务,构建了关键信息基础设施安全的保障、促进机制和制度。
作为关键信息基础设施的运营者,将不再是无依无靠的个体星球,依托国家数字信息化大环境的迭代升级,将成为越来越重要的支撑主体与协作角色,共同为国家数据安全建设输出一份力量。
