《網(wǎng)絡(luò)安全法》解讀之關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全

　　本文是對(duì)《網(wǎng)絡(luò)安全法》內(nèi)容中關(guān)鍵信息基礎(chǔ)設(shè)施內(nèi)容的一些解讀。

　　01

　　第三十一條國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。

　　國(guó)家鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營(yíng)者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系。

　　本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，以及與網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的關(guān)系。關(guān)系國(guó)家重大利益、人民群眾生命財(cái)產(chǎn)安全和社會(huì)生產(chǎn)生活秩序，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)和數(shù)據(jù)資源等，屬于關(guān)鍵信息基礎(chǔ)設(shè)施。

　　02

　　第三十二條按照國(guó)務(wù)院規(guī)定的職責(zé)分工，負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門分別編制并組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃，指導(dǎo)和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全保護(hù)工作。

　　本條規(guī)定了負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門組織開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、監(jiān)督和指導(dǎo)等工作。

　　一是行業(yè)主管部門要組織制定并實(shí)施本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃，監(jiān)督、指導(dǎo)本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，落實(shí)主管責(zé)任。

　　二是國(guó)家網(wǎng)信、公安、保密、密碼、安全等部門，按照法律賦予的職責(zé)，根據(jù)任務(wù)分工，分別組織制定并實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)規(guī)劃，統(tǒng)籌協(xié)調(diào)，監(jiān)督檢查指導(dǎo)行業(yè)主管部門、網(wǎng)絡(luò)運(yùn)營(yíng)者落實(shí)安全規(guī)劃，開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)各項(xiàng)工作，落實(shí)責(zé)任制，加強(qiáng)考核和督辦。

　　03

　　第三十三條建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。

　　本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的功能性能要求和“三同步”要求。重要行業(yè)部門建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施時(shí)，著重考慮兩個(gè)要素：一個(gè)是功能、性能要求；另一個(gè)是安全要求。建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施投資較大，在規(guī)劃設(shè)計(jì)階段，要充分論證，以滿足業(yè)務(wù)需求，保證業(yè)務(wù)的連續(xù)性和穩(wěn)定性。

　　為了保證該項(xiàng)規(guī)定的落實(shí)，業(yè)務(wù)部門和信息化部門在制定網(wǎng)絡(luò)、系統(tǒng)建設(shè)方案時(shí)，一定要確定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)等級(jí)，根據(jù)其安全等級(jí)，按照國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)同步制定安全建設(shè)方案，聘請(qǐng)專家進(jìn)行評(píng)審，方案通過(guò)后方可進(jìn)行建設(shè)、運(yùn)行。關(guān)鍵信息基礎(chǔ)設(shè)施在上線之前，還要進(jìn)行源代碼檢測(cè)、等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估，確保網(wǎng)絡(luò)系統(tǒng)運(yùn)行安全和數(shù)據(jù)、信息安全。

　　04

　　第三十四條除本法第二十一條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)：

　　(一)設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查；

　　(二)定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；

　　(三)對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份；

　　(四)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練；

　　(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。

　　本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)落實(shí)的重點(diǎn)措施。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者除落實(shí)本法第二十一條規(guī)定的措施外，還要落實(shí)幾項(xiàng)重點(diǎn)措施。

　　一是建立完善領(lǐng)導(dǎo)體系，成立專門的網(wǎng)絡(luò)安全管理機(jī)構(gòu)，明確專門負(fù)責(zé)網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)，確保政令暢通。

　　二是對(duì)負(fù)責(zé)人、管理員、運(yùn)維人員等關(guān)鍵崗位人員進(jìn)行背景審查，確保關(guān)鍵崗位、部門的人員可靠。

　　三是建設(shè)或利用合作單位培訓(xùn)、訓(xùn)練環(huán)境，采取網(wǎng)上網(wǎng)下等多種形式，對(duì)關(guān)鍵崗位人員、從業(yè)人員進(jìn)行意識(shí)教育、網(wǎng)絡(luò)安全技術(shù)培訓(xùn)及攻防對(duì)抗演練，提高網(wǎng)絡(luò)安全業(yè)務(wù)能力和實(shí)戰(zhàn)能力。

　　四是對(duì)有關(guān)崗位人員進(jìn)行分級(jí)分類管理，分類考核，將考核成績(jī)納入年終考評(píng)。

　　五是對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份，包括同城、異地方式及冷備、熱備方式，保證系統(tǒng)運(yùn)行安全、數(shù)據(jù)和信息安全。

　　六是制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，備建隊(duì)伍、裝備，建立與有關(guān)部門、企業(yè)的配合機(jī)制，并定期進(jìn)行演練，以檢驗(yàn)預(yù)案的有效性和針對(duì)性。

　　七是落實(shí)《國(guó)家安全法》《反恐怖主義法》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等法律、行政法規(guī)規(guī)定的其他義務(wù)。

　　05

　　第三十五條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查。

　　本條規(guī)定了國(guó)家安全審查機(jī)制是非常態(tài)化的，只有在可能影響國(guó)家安全的特殊情況下才能啟動(dòng)，不是對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)開(kāi)展的常態(tài)的網(wǎng)絡(luò)安全認(rèn)證和檢測(cè)。

　　06

　　第三十六條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任。

　　本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、服務(wù)商在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)的安全責(zé)任和義務(wù)，防范外包服務(wù)安全，關(guān)注供應(yīng)鏈安全。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)：

　　一要采購(gòu)符合國(guó)家有關(guān)規(guī)定的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，慎重選擇提供者；

　　二要與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議，明確其安全保密責(zé)任和義務(wù)；

　　三要采取有效措施，監(jiān)督網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者落實(shí)安全保密責(zé)任和義務(wù)。

　　07

　　第三十七條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

　　本條規(guī)定了對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的數(shù)據(jù)留存和提供的要求。在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)進(jìn)行安全評(píng)估。個(gè)人信息出境，應(yīng)向個(gè)人信息主體說(shuō)明數(shù)據(jù)出境的目的、范圍、內(nèi)容、接收方及接收方所在的國(guó)家或地區(qū)，并經(jīng)其同意。行業(yè)主管部門負(fù)責(zé)本行業(yè)數(shù)據(jù)出境安全評(píng)估工作，定期組織開(kāi)展本行業(yè)數(shù)據(jù)出境安全檢查。

　　08

　　第三十八條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估，并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。

　　本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者開(kāi)展安全檢測(cè)評(píng)估的規(guī)定。安全檢測(cè)評(píng)估活動(dòng)主要包括等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試等第三方檢測(cè)機(jī)構(gòu)的技術(shù)服務(wù)活動(dòng)。

　　09

　　第三十九條國(guó)家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取下列措施：

　　(一)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)進(jìn)行抽查檢測(cè)，提出改進(jìn)措施，必要時(shí)可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估；

　　(二)定期組織關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練，提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力；

　　(三)促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享；

　　(四)對(duì)網(wǎng)絡(luò)安全事件的應(yīng)急處置與網(wǎng)絡(luò)功能的恢復(fù)等，提供技術(shù)支持和協(xié)助。

　　本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)采取的措施。國(guó)家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門積極支持，網(wǎng)絡(luò)安全職能部門、行業(yè)主管部門、信息安全企業(yè)等充分發(fā)揮作用，形成合力，支持關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取安全監(jiān)測(cè)、通報(bào)預(yù)警、態(tài)勢(shì)感知、風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練、信息共享、應(yīng)急處置等措施，建立關(guān)鍵信息基礎(chǔ)設(shè)施綜合防御體系，提高綜合防御能力。