合规篇│《关键信息基础设施安全保护条例》发布了，接下来怎么做？

字号：大中小

　　2021年8月17日，国务院正式发布《关键信息基础设施安全保护条例》（以下简称《条例》）。《条例》将于2021年9月1日起施行，对关键信息基础设施安全保护的适用范围、监管主体、评估对象等做出了明显界定，标志着我国网络安全保护工作将进入以关键信息基础设施为重点的新阶段。

　　那《条例》发布后，对于网络运营者而言，合规方向上，有哪些须重点关注的工作呢？

　　· 明确行业监管职责

　　条款要求：

　　《条例》第三条规定：在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

　　合规建议：

　　1. 完善行业关键信息基础设施安全保护标准。

　　2. 开展行业关键信息基础设施安全风险评估。

　　3. 进行行业关键信息基础设施安全事件应急演练。

　　4. 开展行业关键信息基础设施安全培训教育。

　　5. 定期开展行业关键信息基础设施安全监督检查工作。

　　· 加强本行业本单位关键信息基础设施认定工作

　　条款要求：

　　《条例》第九条规定：保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。

　　制定认定规则应当主要考虑下列因素：

　　（一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；

　　（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；

　　（三）对其他行业和领域的关联性影响。

　　《条例》第十条规定，保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。

　　解读：

　　《条例》更着重于关键信息基础设施范围认定中的功能和后果，在明文列举具体的关键信息基础设施类型之前，突出表明评判设施性质的核心标准在于其是否“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害、国计民生、公共利益”，凸显了对关键信息基础设施安全保护工作根本价值的深刻认识。《条例》对关键信息基础设施的范围进行了更加详细的阐述，对认定原则进行了细化，认定要素包括本行业、本领域关键核心业务的重要程度，对系统破坏遭到的危害程度以及对其他相关行业和领域的横向影响。

　　关键信息基础设施保护范围在突出核心标准上的范围更大，将行业领域科研生产单位、新闻传播单位等都纳入到保护中。

　　合规建议：

　　各行业各领域需要清楚识别各自的关键基础设施的范围，建立相应目录，做好认定工作，并及时通报公安部门，真正做到对关键信息基础设施的理解深刻，认定准确，通报及时。

　　· 建立本单位关键信息基础设施安全保护管理制度和管理机构

　　条款要求：

　　《条例》第十三条规定：运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。

　　《条例》第十四条规定：运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。

　　合规建议：

　　1.建立关键信息安全制度体系

　　建立三级或四级文件体系进行制度体系的建立。包括策略和方针（一级）；管理制度和管理办法（二级）；相关流程和指南，模板（三级）；与制度相配套的日志，记录等（四级）。

　　2.建立安全管理机构

　　建立数据安全管理机构，包含：决策层、管理层、执行层、监督层，拟订关键信息基础设施安全保护计划

　　3.开展安全教育培训

　　通过多种方式加强普通员工的安全意识培训，加强关键岗位人员的专业能

　　力培训和考核。

　　· 加强网络安全防护能力建设，开展网络安全监测、检测和风险评估

　　条款要求：

　　《条例》第十五条规定：专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责：组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；

　　《条例》第十七条规定：运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。

　　解读：

　　行业网络安全风险评估是该行业信息系统的根基，帮助信息系统管理者实时监测网络安全，了解潜在威胁，合理利用现有资源开展规划建设，节省信息系统建设总体投资，达到“以最小成本获得最大安全保障”的效果，在未发生安全事故时进行“未雨绸缪”。

　　从风险管理角度来看，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地保障信息安全。

　　合规建议：

　　1.识别本单位关键信息基础设施的类别并形成关键信息基础设施资产列表。

　　2.委托专业机构或者自行进行每年至少进行一次的风险评估，输出风险评估报告。

　　3.进行问题整改并将整改情况报告报送相关保护工作部门。

　　具体风险评估过程可参照国家标准《GB/T 20984-2007信息安全技术信息安全风险评估规范》或《GB/T 31509-2015信息安全技术信息安全风险评估实施指南》进行。

　　· 制定事件应急预案

　　条款要求：

　　《条例》第十五条规定：按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件。

　　《条例》第二十五条规定：保护工作部门应当按照国家网络安全事件应急预案的要求，建立健全本行业、本领域的网络安全事件应急预案，定期组织应急演练；指导运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助。

　　解读：

　　要求保护工作部门和本单位都应当指定应急预案，定期开展应急演练，熟练掌握应急流程，在遇到突发安全事件时，能够临危不乱，稳妥处置，并及时更新应急预案的演练内容。

　　合规建议：

　　1．制定应急预案，应急处理流程、系统恢复流程等。

　　2．制定应急演练计划，并定期进行应急演练，输出应急演练报告。

　　3．应定期对原有的应急预案重新评估，修订完善。

　　具体应急演练过程可参照国家标准《GB/T 38645-2020信息安全技术网络安全事件应急演练指南》进行。

　　《关键信息基础设施安全保护条例》为运营者提供了关键基础设施安全保护的法律依据。中国金融认证中心（CFCA）作为以网络安全综合服务为核心的科技企业，专注金融业的安全合规发展，将从关键信息基础设施的安全测评、风险评估、合规审计、建设咨询、应急保障等方面提供专业、可靠、优质的服务，为国家各行业关键信息基础设施的稳定运行保驾护航。　　

　　作者：王晶晶

责任编辑：韩希宇