一文读懂《关键信息基础设施安全保护条例》
国务院总理李克强7月30日签署第745号国务院令,正式公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。这是我国首部专门针对关键信息技术设施安全保护工作的行政法规。
为什么要出台《条例》? 据介绍,党中央、国务院高度重视关键信息基础设施安全保护工作。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。当前,关键信息基础设施面临的网络安全形势日趋严峻,安全保护工作还存在法规制度不完善、工作基础薄弱、资源力量分散、技术产业支撑不足等突出问题。 出台《条例》旨在落实2017年施行的《中华人民共和国网络安全法》(以下简称《网络安全法》)有关要求,将为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。 各部门如何划分职责分工? 《条例》规定,在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。 关键信息基础设施如何认定? 根据《条例》规定,关键信息基础设施安全保护工作由关键信息基础设施所在行业和领域的主管部门、监督管理部门负责。关键信息基础设施认定规则,由保护工作部门结合本行业、本领域实际制定,并组织认定。关键信息基础设施发生较大变化,可能影响其认定结果时,运营者应当及时报告保护工作部门,由保护工作部门重新认定。 安全保护责任如何落实? 按照“谁主管谁负责”的原则,《条例》还明确了保护工作部门对本行业、本领域关键信息基础设施的安全保护责任: 一是制定关键信息基础设施安全规划,明确保护目标、基本要求、工作任务、具体措施。 二是建立健全网络安全监测预警制度,及时掌握关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。 三是建立健全网络安全事件应急预案,定期组织应急演练。 四是指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。 五是定期组织开展网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。 对运营者,《条例》也提出要采取技术保护措施和其他必要措施,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性,并设专章细化了有关义务要求,主要包括: 1)建立健全网络安全保护制度和责任制,实行“一把手负责制”,明确运营者主要负责人负总责,保障人财物投入。 2)设置专门安全管理机构,并对机构负责人和关键岗位人员进行安全背景审查。 3)对关键信息基础设施每年进行网络安全检测和风险评估,及时整改问题并按要求向保护工作部门报送情况。 4)关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,按规定向保护工作部门、公安机关报告。 5)优先采购安全可信的网络产品和服务,并与提供者签订安全保密协议;可能影响国家安全的,应当按规定通过安全审查。 有哪些保障和促进措施? 为保障关键信息基础设施安全保护工作落地,《条例》对政府及社会各方面也提出了6点要求: 一是建立网络安全信息共享机制,并规定工作中获取的信息只能用于维护网络安全,不得泄露、出售或者非法向他人提供。 二是要求国家有关部门避免不必要的检查和交叉重复检查,检查不得收费,不得要求被检查单位购买指定产品和服务。 三是规定国家网信部门和国务院电信主管部门、公安部门等根据保护工作部门需要,提供技术支持和协助。 四是明确国家对能源、电信等关键信息基础设施安全运行实施优先保障。 五是规定公安机关、国家安全机关依据各自职责,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。 六是明确国家出台安全标准,指导规范关键信息基础设施安全保护工作。 在支持促进方面,《条例》则从人才培养、技术创新和产业发展、网络安全服务机构建设与管理、军民融合、表彰奖励等多方面做了相应规定。 任何个人和组织 不得危害关键信息基础设施安全 针对实践中,一些个人和组织擅自对关键信息基础设施实施漏洞探测、渗透性测试等活动,影响关键信息基础设施安全,《条例》明确提出,任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。 未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。 对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。 重要数据出境 要先进行安全评估 相关负责人特别强调,关键信息基础设施中的重要数据,不能随意出境。 根据《中华人民共和国网络安全法》和9月1日起即将实施的《中华人民共和国数据安全法》,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。 因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
国务院总理李克强7月30日签署第745号国务院令,正式公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。这是我国首部专门针对关键信息技术设施安全保护工作的行政法规。
为什么要出台《条例》? 据介绍,党中央、国务院高度重视关键信息基础设施安全保护工作。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。当前,关键信息基础设施面临的网络安全形势日趋严峻,安全保护工作还存在法规制度不完善、工作基础薄弱、资源力量分散、技术产业支撑不足等突出问题。 出台《条例》旨在落实2017年施行的《中华人民共和国网络安全法》(以下简称《网络安全法》)有关要求,将为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。 各部门如何划分职责分工? 《条例》规定,在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。 关键信息基础设施如何认定? 根据《条例》规定,关键信息基础设施安全保护工作由关键信息基础设施所在行业和领域的主管部门、监督管理部门负责。关键信息基础设施认定规则,由保护工作部门结合本行业、本领域实际制定,并组织认定。关键信息基础设施发生较大变化,可能影响其认定结果时,运营者应当及时报告保护工作部门,由保护工作部门重新认定。 安全保护责任如何落实? 按照“谁主管谁负责”的原则,《条例》还明确了保护工作部门对本行业、本领域关键信息基础设施的安全保护责任: 一是制定关键信息基础设施安全规划,明确保护目标、基本要求、工作任务、具体措施。 二是建立健全网络安全监测预警制度,及时掌握关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。 三是建立健全网络安全事件应急预案,定期组织应急演练。 四是指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。 五是定期组织开展网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。 对运营者,《条例》也提出要采取技术保护措施和其他必要措施,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性,并设专章细化了有关义务要求,主要包括: 1)建立健全网络安全保护制度和责任制,实行“一把手负责制”,明确运营者主要负责人负总责,保障人财物投入。 2)设置专门安全管理机构,并对机构负责人和关键岗位人员进行安全背景审查。 3)对关键信息基础设施每年进行网络安全检测和风险评估,及时整改问题并按要求向保护工作部门报送情况。 4)关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,按规定向保护工作部门、公安机关报告。 5)优先采购安全可信的网络产品和服务,并与提供者签订安全保密协议;可能影响国家安全的,应当按规定通过安全审查。 有哪些保障和促进措施? 为保障关键信息基础设施安全保护工作落地,《条例》对政府及社会各方面也提出了6点要求: 一是建立网络安全信息共享机制,并规定工作中获取的信息只能用于维护网络安全,不得泄露、出售或者非法向他人提供。 二是要求国家有关部门避免不必要的检查和交叉重复检查,检查不得收费,不得要求被检查单位购买指定产品和服务。 三是规定国家网信部门和国务院电信主管部门、公安部门等根据保护工作部门需要,提供技术支持和协助。 四是明确国家对能源、电信等关键信息基础设施安全运行实施优先保障。 五是规定公安机关、国家安全机关依据各自职责,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。 六是明确国家出台安全标准,指导规范关键信息基础设施安全保护工作。 在支持促进方面,《条例》则从人才培养、技术创新和产业发展、网络安全服务机构建设与管理、军民融合、表彰奖励等多方面做了相应规定。 任何个人和组织 不得危害关键信息基础设施安全 针对实践中,一些个人和组织擅自对关键信息基础设施实施漏洞探测、渗透性测试等活动,影响关键信息基础设施安全,《条例》明确提出,任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。 未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。 对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。 重要数据出境 要先进行安全评估 相关负责人特别强调,关键信息基础设施中的重要数据,不能随意出境。 根据《中华人民共和国网络安全法》和9月1日起即将实施的《中华人民共和国数据安全法》,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。 因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。