《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)已于近日印發(fā),并將于9月1日起正式施行。
國務院新聞辦公室8月24日舉行國務院政策例行吹風會,國家互聯(lián)網信息辦公室副主任盛榮華指出,關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重。出臺《條例》,回應了社會各界對加強關鍵信息基礎設施安全保護的關注和呼吁,將為我國深入開展關鍵信息基礎設施安全保護工作提供有力法治保障。
公安部網絡安全保衛(wèi)局局長王瑛瑋透露,公安部門將加強關鍵信息基礎設施安全事件的調查處置和案件偵辦,嚴厲打擊危害關鍵信息基礎設施安全的違法犯罪活動。
企業(yè)所有制形式不作為認定依據
當前,關鍵信息基礎設施面臨的網絡安全形勢非常嚴峻復雜,網絡攻擊威懾上升,特別是新冠肺炎疫情發(fā)生以來,高級持續(xù)性威脅、網絡勒索、數(shù)據竊取等事件頻發(fā),危害經濟社會穩(wěn)定運行。
與此同時,現(xiàn)有網絡安全保護工作還存在一些短板問題,比如工作基礎不夠扎實,有一些薄弱環(huán)節(jié),資源力量分散,技術產業(yè)支撐不夠。這些短板問題的存在,亟需建立專門制度,進一步明確各方責任,加快提升關鍵信息基礎設施安全保護的能力。盛榮華說,為此,《條例》在細化《中華人民共和國網絡安全法》有關規(guī)定的基礎上,將實踐證明比較成熟的一些做法上升為法規(guī)制度。
盛榮華說,《條例》第2條明確了關鍵信息基礎設施的定義和行業(yè)領域的范圍,相關單位的網絡設施、信息系統(tǒng)如果符合《條例》第2條規(guī)定的關鍵信息基礎設施的范圍,保護工作部門應當依據本行業(yè)本領域認定規(guī)則,組織認定是不是關鍵信息基礎設施行業(yè)或者是范圍。
“企業(yè)所有制的形式不作為關鍵信息基礎設施認定的依據或條件?!笔s華特別強調,《條例》并不是針對外貿以及企業(yè)境外上市而出臺的,而是圍繞保障關鍵信息基礎設施安全、維護網絡安全。長期以來,我國積極支持網信企業(yè)依法依規(guī)融資發(fā)展。無論是哪種類型企業(yè),無論在哪里上市,都必須符合以下兩條:一是必須符合國家的法律法規(guī)。二是必須確保國家網絡安全、關鍵信息基礎設施安全、個人信息保護安全等。
完善電信行業(yè)安全監(jiān)督管理機制
基礎電信網絡、重要互聯(lián)網基礎設施等電信行業(yè)網絡設施,本身既是關鍵信息基礎設施,同時又為其他行業(yè)的關鍵信息基礎設施提供網絡通信和信息服務,一旦遭到網絡攻擊和破壞,將會帶來嚴重影響。為此,《條例》第3條、31條、32條規(guī)定,都對保障能源、電信等關鍵信息基礎設施安全運行作出規(guī)定。
“作為電信行業(yè)主管部門,在合力推進關鍵信息基礎設施安全保護工作中,工信部將依法依規(guī)監(jiān)督管理電信行業(yè)關鍵信息基礎設施安全保護工作。”工業(yè)和信息化部網絡安全管理局局長隋靜介紹說,對于基礎電信網絡、重要互聯(lián)網基礎設施的安全保護和監(jiān)督管理工作,工業(yè)和信息化部將切實履行保護工作部門職責,壓實電信行業(yè)關鍵信息基礎設施運營者的主體責任。
同時,強化相關監(jiān)督管理工作,持續(xù)完善電信行業(yè)安全監(jiān)督管理機制,健全行業(yè)網絡安全標準體系。隋靜說,考慮到基礎電信網絡在國家經濟社會活動中的極端重要性,以及公共通信和信息服務極高穩(wěn)定性的要求,工信部將加強監(jiān)督管理,嚴格規(guī)范對基礎電信網絡的漏洞探測、滲透性測試活動。
此外,做好優(yōu)先保障和重點保障。隋靜透露,工信部將聯(lián)合有關部門加大資金投入、技術創(chuàng)新、人才培育,優(yōu)先保障電信行業(yè)關鍵信息基礎設施安全運行。同時,將積極采取措施,為其他行業(yè)和領域的關鍵信息基礎設施安全運行提供重點保障,根據保護工作部門的需要,及時提供技術支持和協(xié)助。
建立健全網絡安全信息共享機制
近年來,國家網信部門會同工業(yè)和信息化部、公安部等部門全面推進國家網絡安全保障體系和能力建設,開展了一系列扎實有效的工作,為開展關鍵信息基礎設施的安全保護工作奠定了堅實基礎。
國家互聯(lián)網信息辦公室網絡安全協(xié)調局局長孫蔚敏指出,《條例》9月1日實施以后,必須重點抓好以下幾方面的工作:一是運營者要全面落實安全保護的主體責任,建立健全網絡安全保護制度和責任制,實行一把手負責制,保障人力、財力、物力的投入。設置專門的安全管理機構參與網絡安全和信息化的決策,履行《條例》規(guī)定的8項工作職責。開展網絡安全檢測和風險評估,并及時整改。建立并落實網絡安全事件和網絡安全威脅的報告制度。優(yōu)先采購安全可信的網絡產品和服務,按照規(guī)定申報網絡安全審查。
二是保護工作部門要切實做好安全保護和監(jiān)督管理工作。孫蔚敏說,制定認定規(guī)則并組織認定。制定安全規(guī)劃,明確保護目標、基本要求、工作任務、具體措施。建立健全網絡安全監(jiān)測預警制度,預警通報網絡安全威脅和隱患,指導做好安全防范工作。建立健全網絡安全事件應急預案,定期組織應急演練。指導運營者做好網絡安全事件的應對處置,并視情提供技術支持和協(xié)助。組織開展網絡安全檢查檢測,指導監(jiān)督運營者及時進行整改。
三是國家有關職能部門在國家網信部門統(tǒng)籌協(xié)調下,各司其職,分工協(xié)作,合力做好關鍵信息基礎設施安全保護工作。國家網信部門將牽頭會同有關部門,抓緊制定和完善關鍵信息基礎設施安全法規(guī)制度和標準規(guī)范。統(tǒng)籌協(xié)調網絡安全檢查檢測,避免不必要的檢查和交叉檢查、重復檢查。建立健全網絡安全信息共享機制。
王瑛瑋表示,公安機關將在前期工作的基礎上深入貫徹實施《條例》,切實履行公安機關法定職責,全力保障關鍵信息基礎設施安全。一方面,組織全國公安機關加強對關鍵信息基礎設施安全保護工作的指導和監(jiān)督。依據《條例》規(guī)定,持續(xù)組織開展關鍵信息基礎設施認定工作。加強動態(tài)管理,為關鍵信息基礎設施安全保護、保衛(wèi)和保障工作奠定基礎。另一方面,加強關鍵信息基礎設施的安全監(jiān)督檢查,加強行政執(zhí)法,督促重點單位依法履行安全保護責任和義務。此外,依托國家網絡與信息安全信息通報機制,加強網絡安全監(jiān)測、通報預警和應急處置,防范網絡安全事件和威脅風險。加強關鍵信息基礎設施安全事件的調查處置和案件偵辦,嚴厲打擊危害關鍵信息基礎設施安全的違法犯罪活動。