国家互联网信息办公室副主任盛荣华表示“关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。保障关键信息基础设施的安全,对于维护国家网络安全、网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益都具有十分重大的意义。”
《条例》保护工作总体思路上,主要是把握三点:一是坚持问题导向,在细化《网络安全法》的基础上提升要求,将实践有效的网络安全做法提升到法规制度层面;二是明确责任,包括运营者的主体责任、有关部门的监督责任和其他社会方面的协助和监督责任;三是相关法律、行政法规的衔接配套。
明确具体工作
《条例》从多个角度点明确了涉及企业在网络安全建设的具体工作。
安全保护措施与《网络安全法》第三十三条都规定了安全措施“三同步”。
第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
关键信息基础设施从认定、安全建设、安全监测和风险评估、监测预警、应急预案、应对处置、定期检查多个角度进行安全保护。
1)由保护工作部门认定关键信息基础设施,需要通知运营者和通报国务院公安部门。
第十条 保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
2)在安全建设上,需要积极推动网络安全防护能力建设,并且配备相应的人员。
3)企业需要定期开展网络安全监测、检测和风险评估,并建立安全监测预警制度。
第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;
(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
(五)组织网络安全教育、培训;
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
(八)按照规定报告网络安全事件和重要事项。
4)企业需要有完善的安全预案,做好安全事件的应对处置。
第二十五条 保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。
5)企业对自身需要定期进行网络安全检查检测,公安、国家安全、保密行政管理、密码管理等有关部门也会依法开展的关键信息基础设施网络安全检查工作。
第二十六条 保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。
明确运营者责任和义务
在《条例》中,明确了网信部门、公安机关、保护工作部门和其他有关部门及其工作人员的责任,其中企业运营者的责任主要包含以下四点:
1)运营者落实“三同步”:关键信息基础设施同步规划、同步建设、同步使用。
2)发生重大威胁或重大事件时按照有关规定向保护工作部门、公安机关报告。
3)采购的安全产品和服务按照国家网络安全规定进行安全审查。
4)配合保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作。
相关法律、行政法规的衔接配套
1)《条例》基于《网络安全法》,在责任落实中第四十三条和第四十八条依据《网络安全法》给予处理。
第四十八条 电子政务关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的,依照《中华人民共和国网络安全法》有关规定予以处理。
2)《条例》中的个人信息要求和数据要求需要依据《数据安全法》和《个人信息保护法》。
第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;