在《中华人民共和国网络安全法》(以下简称《网络安全法》)第三章第二节“关键信息基础设施的运行安全”(第三十一至三十九条)的对关键信息基础设施安全保护的基本要求、部门分工以及主体责任等问题作了基本法层面的总体制度安排,并规定关键信息基础设施的具体范围和安全保护办法应由国务院制定。正是以保障关键信息基础设施安全及维护网络安全为规范依据,2021年4月27日国务院第133次常务会议通过,2021年7月30日公布《关键信息基础设施安全保护条例》(以下简称《条例》),共六章五十一条,自2021年9月1日起施行。开启了关键信息基础设施安全保护立法进程的新篇章。
关键信息基础设施的界定及其覆盖领域
条例在第二条详细阐明了关键信息基础设施的范围,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。条例第二章(第八至十一条)提出关键信息基础设施认定工作流程,包括认定规则制定、组织认定、重新认定三部分。
一、保护工作部门应结合本行业、本领域实际,制定关键信息基础设施认定规则并报国务院公安部门备案。
二、保护工作部门根据认定规则负责组织认定本行业、本领域关键信息基础设施,及时将认定结果通知运营者并通报国务院公安部门。
三、关键信息基础设施发生较大变化影响认定结果的,保护工作部门应进行重新认定,将结果通知运营者,并通报国务院公安部门。
其中,重新认定工作由运营者根据变化情况提出报告启动,保护工作部门自收到报告3个月内完成重新认定工作。
条例确定了包括国家网信部门、国务院公安部门、国务院电信主管部门和其他有关部门、保护工作部门、运营者、专门安全管理机构和网络安全服务机构在内的关键信息基础设施安全保护职责,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。
国家网信部门
负责统筹协调关键信息基础设施安全保护工作。
国务院公安部门
负责指导监督关键信息基础设施安全保护工作。
国务院电信主管部门及其他有关部门
依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
省级人民政府有关部门
依据各自职责对关键信息基础设施实施安全保护和监督管理。
任何个人和组织
不得实施非法侵入、干扰、破坏关键信息基础设施的活动;
不得危害关键信息基础设施安全。
运营者职责
依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
表彰
对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。
一是明确了保障和促进措施,加强重点防保。网络安全法强化了网络运行安全,重点保护关键信息基础设施。在此基础上,条例明确,重点行业和领域重要网络设施、信息系统属于关键信息基础设施,国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治违法犯罪活动。采取安全保护措施确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。保护工作应当坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。
二是明确行业安全保护规划,各行业、领域重点参与。在安全保护工作中,国家网信部门和国务院电信主管部门、公安部门等应当根据保护工作部门的需要,及时提供技术支持和协助。保护工作部门应当制定本行业、本领域关键信息基础设施安全规划,制定行业安全保护规划、建立信息共享机制、建立健全监测预警制度、明确网络安全事件应急处置要求、组织安全检查检测、提供技术支持和协助等作了规定。
三是明确法律责任。条例对关键信息基础设施运营者未履行安全保护主体责任、有关主管部门以及工作人员未能依法依规履行职责等情况,明确了处罚、处分、追究刑事责任等处理措施。对实施非法侵入、干扰、破坏关键信息基础设施,危害其安全活动的组织和个人,依法予以处罚。
作者:高级测评师牛建红