國務院總理李克強簽署的中華人民共和國國務院第745號文於2021年8月17日正式公佈,確立《關鍵資訊基礎設施安全保護條例》(以下簡稱《條例》)於2021年9月1日正式施行。司法部、網信辦、工業和資訊化部和公安部負責人就《條例》的相關問題進行了權威官方回答,各研究機構、媒體和安全廠商也紛紛對《條例》開展分析和解讀,關保時代已經正式到來。
過去由於關基保護管理職責不清晰,無正式檔案可參考,各行業、各領域主要按照《網路安全法》和網路安全等級保護制度的相關要求進行保護。《條例》的正式施行將使關基運營者面臨更加確定的關保責任和義務,正確認識關保時代運營者責任義務是擺在每一個責任單位面前的重要問題。我們總結了關基運營者需要承擔的十大網路安全保護責任和義務。
一、落實責任人
《條例》明確規定:“運營者的主要負責人對關鍵資訊基礎設施安全保護負總責,領導關鍵資訊基礎設施安全保護和重大網路安全事件處置工作,組織研究解決重大網路安全問題”。建立健全網路安全保護制度和責任制,實行“一把手負責制”,運營者主要負責為關鍵資訊基礎設施安全保護工作提供人力、財力、物力投入資源的主要保證。
二、落實責任部門
單位內應設定專門安全管理機構,並保障其運營具有基本的經費來源。強調“專門”說明這個機構是一個常設實體機構,而不是一個虛擬組織,必須發揮安全管理作用,是本單位的關鍵資訊基礎設施安全保護工作的責任部門。
對於未設定專門安全管理機構或專門安全管理機構未履行本條例第十五條規定的職責的情形,由有關主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款。
三、落實工作人員
關基運營者有了專門安全管理機構這個責任部門還必須配套相應的人員,包括部門負責人和關鍵崗位人員,對其開展網路安全專業教育和培訓。因為關基網路和系統的重要性,這些人員的選拔必須是謹慎的,需要進行安全背景審查。
對於未對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查的,由有關主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款。
四、落實管理機制
關基運營者有義務建立本單位網路安全保護管理制度體系,明確各部門、各崗位的網路安全責任,重點針對關基網路和系統建立網路安全管理和評價考核制度,涵蓋對關鍵資訊基礎設施設計、建設、執行、維護等服務過程的安全管理,並透過組織開展安全意識教育和培訓,確保制度有效執行和落地,並應定期開展評審和持續改進,對於評審發現問題及改進情況需按照保護工作部門要求報送,保護工作部門是上級主管單位和行業監管單位。
對於安全保護措施未與關鍵資訊基礎設施同步規劃、同步建設、同步使用的,未建立健全網路安全保護制度和責任制的,由有關主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款。
五、安全能力提升
關鍵資訊基礎設施安全防護能力水平是確保在網路對抗過程中是否能抵禦攻擊的基礎,關基運營者有義務針對本單位關鍵資訊基礎設施開展能力建設,逐年提升安全防護水平,包括採購安全產品和服務。考慮到資訊科技的複雜性和網路空間安全態勢的不確定性,《條例》要求在開展安全能力建設前,由專門安全管理部門組織常態化監測和檢測,並每年組織自行或委託第三方開展風險評估,配合主管部門的安全檢查,對發現的安全問題及時整改,並按照保護工作部門要求報送情況。
對於不按要求開展風險評估,或對發現的問題不能及時整改的情形,由有關主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款。
對保護工作部門開展的關鍵資訊基礎設施網路安全檢查檢測工作,以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的關鍵資訊基礎設施網路安全檢查工作不予配合的,由有關主管部門責令改正;拒不改正的,處5萬元以上50萬元以下罰款,對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款;情節嚴重的,依法追究相應法律責任。
六、資料安全保護
資料正式成為生產要素,面對資料流動、分享、加工處理過程中存在的資料安全和隱私安全的問題,《條例》中明確關基運營者“需要履行個人資訊和資料安全保護責任,建立健全個人資訊和資料安全保護制度”。《資料安全法》於2021年9月1日正式實施,標誌著我國重要資料和個人資訊保護制度已經基本建立。
對於未有效建立個人資訊和資料安全保護制度和落實相關保護義務的情形,按照《資料安全法》和《個人資訊保護法》相關條款執行。
七、應急體系建設
關鍵資訊基礎設施安全的一個重要目標是保證關鍵業務的連續執行,《條例》規定應“按照國家及行業網路安全事件應急預案,制定本單位應急預案,定期開展應急演練。”一般應急演練應保證每年至少一次,確保在發生網路安全事件能夠得到順利有序的處置。
對於缺少應急預案或未定期開展應急演練的情形,由有關主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款。
八、安全事件處置
網路安全事件的發生是必然存在的,作為關鍵資訊基礎設施的責任單位,需建立常態化監測和檢測機制,及時發現並處置網路安全事件。對於重大網路安全事件或者發現重大網路安全威脅時,運營者需要按照有關規定向保護工作部門和公安機關報告。《條例》也明確規定發生關鍵資訊基礎設施整體中斷執行或者主要功能故障、國家基礎資訊以及其他重要資料洩露、較大規模個人資訊洩露、造成較大經濟損失、違法資訊較大範圍傳播等屬於特別重大網路安全事件或者發現特別重大網路安全威脅時,保護工作部門應當在收到報告後,及時向國家網信部門、國務院公安部門報告。
對於未按照有關規定向保護工作部門、公安機關報告的,由保護工作部門、公安機關依據職責責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款。
九、供應鏈安全管理
供應鏈攻擊是一種針對關基網路和資訊系統的軟體、硬體、服務供應商的一種攻擊手段。《條例》要求“運營者應當優先採購安全可信的網路產品和服務;採購網路產品和服務可能影響國家安全的,應當按照國家網路安全規定透過安全審查。”在採購網路產品和服務時,還應當與網路產品和服務提供者簽訂安全保密協議,明確提供者的技術支援和安全保密義務與責任,並對義務與責任履行情況進行監督。具體開展網路安全審查的流程在《網路安全審查辦法》中作出了規定,可以分解為3個階段,包括提交申報材料階段、常規審查程式階段和特別審查程式階段。
對於未按照國家網路安全規定進行安全審查或未按照國家有關規定與網路產品和服務提供者簽訂安全保密協議的由有關主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款。
十、其他責任義務
《條例》同時規定:“運營者發生合併、分立、解散等情況,應當及時報告保護工作部門,並按照保護工作部門的要求對關鍵資訊基礎設施進行處置,確保安全。”這主要表現在運營者由於經營需要出現的各類變更,比如由於運營者解散導致關鍵業務中斷等。
對於以上情況未及時報告保護工作部門,或者未按照保護工作部門的要求對關鍵資訊基礎設施進行處置的情形,由有關主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款。