保障关键信息基础设施安全

您的位置：法律快车 > 法律知识 > 消费者权益保护法 > 通信快递 > 保障关键信息基础设施安全

保障关键信息基础设施安全

法律快车官方整理更新时间： 2020-07-20 19:55:06 人浏览

导读：

网络安全法草案引入关键信息基础设施的概念，并对关键信息基础设施保护制定了一整套制度体系。关键信息基础设施范围涵盖了国家安全、经济安全和保障民生等领域。以下就由法律快车小编为您一一介绍。7月6...

　　网络安全法草案引入“关键信息基础设施”的概念，并对关键信息基础设施保护制定了一整套制度体系。关键信息基础设施范围涵盖了国家安全、经济安全和保障民生等领域。以下就由法律快车小编为您一一介绍。

　　7月6日，中国人大网公布了网络安全法草案全文，这部备受瞩目的法案终于和公众见面了。草案引入“关键信息基础设施”的概念，并对关键信息基础设施保护制定了一整套制度体系；还将监测预警和应急处置作为维护网络安全的重要内容专章进行了规定等。

　　保障关键信息基础设施安全，在公布的《网络安全法》（草案）中占据了相当的篇幅。草案的第三章第二节专门用于规范关键信息基础设施的安全。此次列入关键信息基础设施范围的，涵盖了涉及国家安全、经济安全和保障民生等领域，具体范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等。保障关键信息基础设施的安全，从全球各国的实践来看，是国家网络安全战略中最为重要和主要的内容，这与人们日常生活对网络关键基础设施的强烈依赖密不可分。有效的识别和分析威胁的来源，并采取相应的安全保障措施，是问题的关键。《网络安全法》（草案）对网络产品和服务提供者的安全义务有了明确的规定（草案第十八条），将现行的安全认证和安全检测制度上升成为了法律（草案第十九条），强化了安全审查制度（第三十条），明确等级保护制度在保障国家网络安全中所处的地位（第十七条）。这些措施，从已经有的实践来看，一定程度上可以满足保障国家网络安全的需求，应对由非国家行为体，从国内外可能实施的网络攻击所带来的威胁；但就中长期前景来看，中国面临的战略任务是如何在持续开放互联的全球网络空间内，有效预防来自强势行为体，包括占据优势能力地位的国家行为体，对中国关键信息基础设施构成的威胁挑战；基于条线分工形成的多点静态网络安全保障体系，很难有效胜任应对这种真正的国家级的安全威胁，这也是后续修订相关法律，完善战略，构建新的实践操作程序时，必须认真思考的问题。

　　关键信息基础设施保护工作进入正轨

　　关键信息基础设施保护（CIIP）是各国的通行举措。虽然关键基础设施保护（CIP）涉及物理设施安全，与前者不完全一致，但两者在多数情况下已可以混用。CIIP/CIP一直是各国网络安全战略的重点，有的国家甚至以CIIP/CIP战略代指国家网络安全战略。我们国家在2003年时已经要求“重点保障基础信息网络和重要信息系统安全”，并且在实践中明确了基础信息网络是广电网、电信网、互联网，重要信息系统是银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统，即俗称的“2+8”，相关保护工作也常抓不懈。但整体而言，我们与国外差距很大，已是国家安全的软肋，草案为此设立了“关键信息基础设施的运行安全”一节。

　　一是扩展了保护范围。纵观世界各国，凡是已经开展了网络安全建设的国家，其关键基础设施的范围几乎都远超过我们，例如美国有17类，而我们则有很多重要系统尚未纳入保护视野。草案首次明确了关键信息基础设施范围，包括基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统。最后一类系统中很多由私企运营，运营者可能对其列为国家关键信息基础设施不适应，但当网络服务商的用户达到一定规模时，其安全已经不再是企业自身问题，而成为一个公共问题、社会问题甚至国家安全问题，理应承担更多责任。一些国外机构可能会拿这个做文章，但事实上美国的关键基础设施有87%受私营企业控制。

　　二是明确了保护要求。等级保护是1994年《计算机信息系统安全保护条例》提出的制度，其对全国各类信息系统提出了分五个等级的通用安全要求。恰恰因为通用，这个要求只能是基线（即基本要求），其有必要但并不足够，特别是不足以反映应用模式日趋复杂的异构系统的动态防护需求。此外，保护关键信息基础设施涉及很多工作，不仅仅是提出系统自身的保护要求、加强系统安全建设那么简单，还包括一系列的管理工作和公共平台建设，不能由一项制度取代其他制度，理应对此建立专门制度。草案提出，关键信息基础设施安全保护办法由国务院制定。对于某些重点要求，如网络安全审查、风险评估等，草案则在具体条款中进行了明确。

　　三是划定了保护责任。草案规定了关键信息基础设施运营者的安全保护义务，解决了其保护责任模糊不明的问题。他们有必要从国家安全角度承担防护责任，但这个责任毕竟是有界限的。大家希望知道做到什么程度就无责了，也关心自身的权利如何保障。对很多重点行业的信息技术或网络安全部门来说，这不仅仅是免责的需要，也是推动工作的需要，因为这些内设机构如果没有强制性依据，很难得到业务部门的配合。此外，以前我国重点行业的网络安全监管责任也很不明确。似乎谁都可以进入机房检查，但谁都不用负责，重点行业往往无所适从、疲于应付。为此，草案明确了行业主管部门的监督指导职责，这是一个重要进步。考虑到关键信息基础设施保护的确涉及多个部门，草案授权国家网信部门统筹协调有关部门，建立协作机制。特别是在网络安全检查工作中，要杜绝某个部门前脚走，另一部门后脚来的现象。

　　相关规定

　　《中华人民共和国网络安全法（草案）》

　　第三章　网络运行安全

　　第二节　关键信息基础设施的运行安全

　　第二十五条　国家对提供公共通信、广播电视传输等服务的基础信息网络，能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统，军事网络，设区的市级以上国家机关等政务网络，用户数量众多的网络服务提供者所有或者管理的网络和系统（以下称关键信息基础设施），实行重点保护。关键信息基础设施安全保护办法由国务院制定。

　　第二十六条　国务院通信、广播电视、能源、交通、水利、金融等行业的主管部门和国务院其他有关部门（以下称负责关键信息基础设施安全保护工作的部门）按照国务院规定的职责，分别负责指导和监督关键信息基础设施运行安全保护工作。

　　第二十七条　建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

　　第二十八条　除本法第十七条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

　　（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

　　（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

　　（三）对重要系统和数据库进行容灾备份；

　　（四）制定网络安全事件应急预案，并定期组织演练；

　　（五）法律、行政法规规定的其他义务。

　　第二十九条　关键信息基础设施的运营者采购网络产品和服务，应当与提供者签订安全保密协议，明确安全和保密义务与责任。

　　第三十条　关键信息基础设施的运营者采购网络产品或者服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的安全审查。具体办法由国务院规定。

　　第三十一条　关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据；因业务需要，确需在境外存储或者向境外的组织或者个人提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。法律、行政法规另有规定的从其规定。

　　第三十二条　关键信息基础设施的运营者应当自行或者委托专业机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并对检测评估情况及采取的改进措施提出网络安全报告，报送相关负责关键信息基础设施安全保护工作的部门。