2021年8月17日,国务院正式公布中华人民共和国《关键信息基础设施安全保护条例》(以下简称“关基”),并于2021年9月1日起正式施行。
《网络安全法》第31条规定“关键信息基础设施的具体范围和安全保护办法由国务院制定”。自2017年《网络安全法》生效后,关基的认定问题一直备受关注。《关键信息基础设施安全保护条例》明确了关基的认定,对运营者建立了完善的网络安全保护制度和责任制,对关键信息基础设施安全保护提出了更高的要求。
关基的认定
关基的概念
第二条定义:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”
关基的认定部门-保护工作部门
《关基条例》第8条、第9条
制定认定规则考虑的因素:
(1) 网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
(2)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
(3) 对其他行业和领域的关联性影响。
关基的认定结果与通知
《关基条例》第10条明确规定,保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
关基运营者的合规运营义务
#1使用同步、建设同步、规划同步
▪ 对于运营者来说,安全保护必须贯穿关键信息基础设施的规划建设使用全过程。
#2主要负责人担责制
▪ 主要负责人,要对关基安全保护负总责。安全保护必须放在关键信息基础设施运营者责任的第一高度。
#3设立专门安全管理机构
▪ 设立专门机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查;
▪ 专门机构应履行建立制度、拟定计划、开展评估、制定应急预案、定期演练、处置安全事件、组织教育培训、履行个人信息和数据安全保护责任;
▪ 对关基设计、建设、运行、维护等服务实施安全管理、报告网络安全事件等职责。
#4运行保障
▪ 保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与;
▪ 即“保障人力、财力、物力开展关基安全保护工作”。
#5年度评测
▪ 自行或者委托网络安全服务机构对关基每年至少进行一次网络安全检测和风险评估;
▪ 发现问题应当及时整改并报送。
#6事件报告
▪ 关基发生重大或特别重大网络安全事件或者发现重大或特别重大网络安全威胁时,应当依法向相关保护工作部门、网信部门、公安部门报告。
#7采购保密安全审查
▪ 采购须订立保密协议、开展安全审查;
▪ 应优先采购安全可信的网络产品和服务;
▪ 采购网络产品和服务,必须按照规定与服务提供方签订安全保密协议,若该网络产品和服务可能影响国家安全的,还应当按照国家网络安全规定进行安全审查。
#8变更报告义务
▪ 关基发生合并、分立、解散时的报告义务;
▪ 如发生上述变更情况,应当及时报告保护工作部门,并对关基进行处置,确保安全。
关基产品及服务的采购监管
关基运营者使用的网络产品、服务提供单位,在采购过程中将受到更严格的监管。
作为供应商,亦需更加积极合规,增加在网络安全、数据保护方面的投入,以在面对网络安全审查时或关基运营者对供应商开展尽职调查时证明其合规水平和“安全可信”。
昂楷对关基安全保护的支持
1.昂楷科技数据安全产品支持关键信息基础设施,推进相关的产品认证和服务
• 国产数据库:支持达梦DM、人大金仓Kingbase、南大通用Gbase、神舟Oscar、华为GaussDB等;
• 飞腾国产化平台、鲲鹏大数据平台等;
• 银河麒麟服务器操作系统。
2.昂楷科技协助关基保护工作部门开展相应行业的关基安全保护工作
• 数据安全检查服务
• 协助制定数据安全审查制度。
3.昂楷科技为关基运营者,提供全面数据安全产品与服务
• 安全保障 • 检测评估
• 应急响应 • 信息共享
