《关键信息基础设施安全保护条例》逐条解读来了
《关键信息基础设施安全保护条例》(以下简称《条例》)施行在即,2024新奥门资料针对条例全文进行了逐条解读,参见下文:
第一章 总 则
第一条 为了保障关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》,制定本条例。
对落实《网络安全法》第三章“网络运行安全”中,第二节“关键信息基础设施的运行安全”(第三十一至三十九条)做出的进一步详细规定。
第二条 本条例所称关键信息基础设施(以下称“CII”),是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
用行业分类给出了CII的范围界定,更加详细的关键信息基础设施识别,要依据关键信息基础设施安全主管部门和保护工作部门的识别指南等相关标准规范。
第三条 在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
与征求意见稿的提法变化较大,给出了中央层面部门的明确分工,明确和强调了网信负责统筹协调,公安负责指导监督,其它部门按各自分管的行业负责保护和监督。省级对应部门履行相应的属地管理责任。
第四条 关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。
重点强调CII运营者负有主体责任。用了一个章节的篇幅对责任的内容做出了非常具体的表述,具体责任内容参见第12-21条。
第五条 国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。
与《网络安全法》中的基调一致,强调对CII的重点保护,明确表示对危害CII安全的行为进行严惩。与征求意见稿的提法变化较大。
第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
运营者须确保关基安全稳定运行,CII的防护要在等保的基础之上,采取增强的防护措施,体现CII的重要性。
第七条 对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。
鼓励为CII安全保护做出贡献,承诺给予表彰。从鼓励举报违法行为,变为鼓励做出突出贡献。
第二章 关键信息基础设施认定
第八条 本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)。
明确行业主管监管部门是相应重要行业领域的CII保护工作部门,各省级CII的保护工作部门,由各省政府具体明确。
第九条 保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。
制定认定规则应当主要考虑下列因素:
(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
(三)对其他行业和领域的关联性影响。
CII的主管和监督部门负责制定CII认定的规则,规则需要上报公安部门备案。认定规则主要考虑的三大因素:“关键核心业务的重要程度”、“遭到破坏后可能带来的危害程度”、“对其他行业和领域的关联性影响”。
第十条 保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
保护工作部门负责CII认定,认定后将结果通知运营者,并同步上报公安部门备案。
第十一条 关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。
发生影响认定的较大变化(如新建机房、新建系统等),要上报保护部门,3个月内重新认定并备案。
第三章 运营者责任义务
第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
CII的防护同样须遵守“三同步”原则。
第十三条 运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
明确具体的主体责任,包括:明确责任人为主要负责人(一般理解为单位一把手,除非有明确指定)、保障人,财、物等各方面的投入,领导、决策、事件处置。投入不足有可能构成违反本条例规定的行为。
第十四条 运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。
继续明确主体责任,包括:设置专门机构、关键人员背景调查(公安机关应予协助)。
第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;
(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
(五)组织网络安全教育、培训;
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
(八)按照规定报告网络安全事件和重要事项。
继续明确主体责任,包括:健全制度、制定计划、定期考核、监测评估、应急预案、应急演练、岗位考核、教育培训、数据防护。其中有些责任也是保卫工作部门的重叠,例如应急演练和应急预案的相关工作,这部分工作需要做好沟通和配合。
第十六条 运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。
继续明确主体责任,包括:保障经费、参与决策。
第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
重复《网络安全法》中的规定,运营者须定期对CII进行风险评估。虽然允许自行评估,但实际执行中最好委托专业安全机构协助完成,在专业性和客观性方面都有保障。
第十八条 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。
发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。
继续明确运营者主体责任,包括:事件上报、依序上报。
重大事件包括:中断运行、功能故障、数据泄露、经济损失、非法传播、重大威胁。
第十九条 运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
重复《网络安全法》中的规定,明确运营者主体责任,包括:产品采购可信优先、依规进行安全审查。
第二十条 运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。
重复《网络安全法》中的规定,明确运营者主体责任,包括:签署保密协议,履行保密义务、监督履责情况。
第二十一条 运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。
明确运营者主体责任,包括:机构发生重组时要上报,根据保护工作部门要求处置CII。考虑到深化改革的过程,机构重组的事情会比较常见,本条例给出了遇到类似情况的处置方式。
第四章 保障和促进
第二十二条 保护工作部门应当制定本行业、本领域关键信息基础设施安全规划,明确保护目标、基本要求、工作任务、具体措施。
指出了CII保护工作部门履行职责的具体步骤。
明确目标:首先要界定具体的系统,列出清单,明晰底数。
基本要求:明确保护工作的基本要求,把第三章的要求进一步细化。
工作任务:根据要求确定具体任务,可以用具体建设项目的形式明确任务。
具体措施:项目推进的详细举措和实施进度。
第二十三条 国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。
本条明确了国家网信部门统筹协调CII相关各方,打通网络安全信息共享机制。目前,CII保护工作部门基本已建立各自行业的信息共享平台,通过将情报数据汇总至国家网信部门,由网信部门统筹协调加强各行业之间的工作协同,推进建立安全保障体系,逐步全天候全方位网络安全积极防御态势。
第二十四条 保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。
重复《网络安全法》第五章的内容,要求建立健全监测预警机制,及时掌握运行状况和安全态势,落实通报制度。通报工作(业绩排行榜)对网络安全工作具有很明显的督促作用。
第二十五条 保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。
重复《网络安全法》的内容,要求制定应急预案,定期应急演练。在实际工作中,应急预案更像应急管理规定,内容普遍不够具体,无法落地。应急演练须用来检验应急预案的完备性。
第二十六条 保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。
明确保护工作部门负责组织安全检查检测工作,但最好与当地网信和公安部门保持沟通,避免重复检查。
第二十七条 国家网信部门统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测,提出改进措施。
有关部门在开展关键信息基础设施网络安全检查时,应当加强协同配合、信息沟通,避免不必要的检查和交叉重复检查。检查工作不得收取费用,不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。
本条进一步明确了相关部门的职责分工和协同增效,明确在实际检查工作开展过程不得收费、指定品牌等动作。
第二十八条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。
指出运营者需要配合检查工作的义务,与第13-21条同属运营者义务。
第二十九条 在关键信息基础设施安全保护工作中,国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要,及时提供技术支持和协助。
国家网信、工信、公安部门需要给CII保护工作部门提供相关技术支持。
第三十条 网信部门、公安机关、保护工作部门等有关部门,网络安全服务机构及其工作人员对于在关键信息基础设施安全保护工作中获取的信息,只能用于维护网络安全,并严格按照有关法律、行政法规的要求确保信息安全,不得泄露、出售或者非法向他人提供。
任何部门和服务机构的人员,在履行工作职责过程中所获悉的CII信息(网络拓扑、系统架构、个人数据等等),不得泄露(被动行为)、出售、非法提供(主动行为)。未来网信部门会专门针对类似场景(委托专业安全服务机构提供安全运维服务等),要对工作流程和技术平台等进行风险评估和监督检查。
第三十一条 未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。
与《网络安全法》第26条的规定类似,针对CII同样适用。严禁非授权的擅自对CII实施漏洞探测、渗透性测试等活动。授权与审批须同时获得才可以对CII进行相关的探测、渗透。
第三十二条 国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。
能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。
能源和电信是更加底层的CII,有义务优先保障其它行业的CII的需求。
第三十三条 公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。
CII中有些属于涉密网络(如国防军工行业的网络),涉密网络的安全保卫,涉及间谍破坏、国家网络战等由国家安全部门负责,非涉密网络由公安部门负责。
第三十四条 国家制定和完善关键信息基础设施安全标准,指导、规范关键信息基础设施安全保护工作。
国家层面会制定一系列CII安全的标准,指导CII的安全保护工作。目前,在公安部指导下,在全国信息安全标准化技术委员会的组织下,这个标准体系正在抓紧建立。就安全保护的责任义务而言,其中最基础的两个标准是《关键信息基础设施安全保护要求》和《关键信息基础设施安全控制措施》。
已立项的主要安全标准包括:
关键信息基础设施安全保障指标体系(报批稿)
关键信息基础设施安全检查评估指南(报批稿)
关键信息基础设施安全保护要求(送审稿)
关键信息基础设施安全控制措施(送审稿)
关键信息基础设施要素识别方法(征求意见稿)
关键信息基础设施安全防护能力评价方法(征求意见稿)
关键信息基础设施网络安全应急体系框架(草案)
关键信息基础设施安全测评要求(申报立项)
关键信息基础设施安全监测预警(申报研究)等。
第三十五条 国家采取措施,鼓励网络安全专门人才从事关键信息基础设施安全保护工作;将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。
和第十六条“运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。”相呼应。CII安全保护工作归根到底还是要靠人才实力,目前我国网络安全人才供不应求,国家层面将推动继续教育体系加大对安全管理人才、安全技术人才的培养力度。
第三十六条 国家支持关键信息基础设施安全防护技术创新和产业发展,组织力量实施关键信息基础设施安全技术攻关。
科学技术是第一生产力,CII安全防护工作离不开技术的创新和产业的支持保障,国家层面会通过创新课题、重大项目等形式组织产业和学术力量实施CII安全技术攻关。
第三十七条 国家加强网络安全服务机构建设和管理,制定管理要求并加强监督指导,不断提升服务机构能力水平,充分发挥其在关键信息基础设施安全保护中的作用。
CII安全防护必须依赖专业安全服务机构的支撑,国家鼓励网络安全服务机构参与到CII的安全保护工作中,参与对CII的网络安全检测和风险评估等工作。同时,针对网络安全服务机构,国家有关部门会制定管理要求,加强监督指导,提升网络安全服务机构的技术和服务能力。
第三十八条 国家加强网络安全军民融合,军地协同保护关键信息基础设施安全。
国家鼓励在CII的安全保护领域开展军民融合、军地协同的合作。既是主观要求(军地双方在人才、资源等很多方面优势互补),也是客观需要(单靠任何一方都无法做好相关工作)。
第五章 法律责任
第三十九条 运营者有下列情形之一的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款:
(一)在关键信息基础设施发生较大变化,可能影响其认定结果时未及时将相关情况报告保护工作部门的;
(二)安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的;
(三)未建立健全网络安全保护制度和责任制的;
(四)未设置专门安全管理机构的;
(五)未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的;
(六)开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的;
(七)专门安全管理机构未履行本条例第十五条规定的职责的;
(八)未对关键信息基础设施每年至少进行一次网络安全检测和风险评估,未对发现的安全问题及时整改,或者未按照保护工作部门要求报送情况的;
(九)采购网络产品和服务,未按照国家有关规定与网络产品和服务提供者签订安全保密协议的;
(十)发生合并、分立、解散等情况,未及时报告保护工作部门,或者未按照保护工作部门的要求对关键信息基础设施进行处置的。
列出十条红线,这十项要求在前面的条款中都有过明确要求,只要依规办事,一般不会触碰红线。
第四十条 运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,未按照有关规定向保护工作部门、公安机关报告的,由保护工作部门、公安机关依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
重大事件上报应该成为一种习惯,一种自觉行为。如果违反,首先收到警告和整改通知,拒不改正才会受到行政处罚。整体基调与《网络安全法》保持一致,还是坚决不要违规。
第四十一条 运营者采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查的,由国家网信部门等有关主管部门依据职责责令改正,处采购金额1倍以上10倍以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
在产品和服务方面,运营者采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
第四十二条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的,由有关主管部门责令改正;拒不改正的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节严重的,依法追究相应法律责任。
配合相关部门的安全检查工作是运营者必须履行的法律义务,在实际工作中,很少有直接拒绝配合的情况,要注意避免阳奉阴违,暗中设置障碍的做法。否则会受到行政处罚。如果情节严重,受到刑事处罚也是有可能的。
第四十三条 实施非法侵入、干扰、破坏关键信息基础设施,危害其安全的活动尚不构成犯罪的,依照《中华人民共和国网络安全法》有关规定,由公安机关没收违法所得,处5日以下拘留,可以并处5万元以上50万元以下罚款;情节较重的,处5日以上15日以下拘留,可以并处10万元以上100万元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处10万元以上100万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本条例第五条第二款和第三十一条规定,受到治安管理处罚的人员,5年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
针对CII实施了侵入、干扰、破坏的行为,一般很难不构成犯罪。因此无论是单位还是个人,一定不要心存侥幸,利令智昏。2019年11月1日发布的《最高人民法院最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》与网安法的基调有所不同,相关规定实际上降低了入刑的门槛。
第四十四条 网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行关键信息基础设施安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊的,依法对直接负责的主管人员和其他直接责任人员给予处分。
督促单位主要负责人重视网络安全工作,加强在网络安全方面的投入。避免因为出现安全事故,承担责任。并非所有事故都需要承担责任,一些零日漏洞的确无法有效防护,但是规定动作都要完成才有机会免责。
第四十五条 公安机关、保护工作部门和其他有关部门在开展关键信息基础设施网络安全检查工作中收取费用,或者要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务的,由其上级机关责令改正,退还收取的费用;情节严重的,依法对直接负责的主管人员和其他直接责任人员给予处分。
第27条中明令禁止乱收费和乱指定的行为,如果出现类似情况则按本条规定进行处理。
第四十六条 网信部门、公安机关、保护工作部门等有关部门、网络安全服务机构及其工作人员将在关键信息基础设施安全保护工作中获取的信息用于其他用途,或者泄露、出售、非法向他人提供的,依法对直接负责的主管人员和其他直接责任人员给予处分。
针对违法本条例第30条规定的行为,给出了处罚的方式。这里只涉及行政处罚,通常这类行为还会触犯法律,很大概率会构成犯罪。
第四十七条 关键信息基础设施发生重大和特别重大网络安全事件,经调查确定为责任事故的,除应当查明运营者责任并依法予以追究外,还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。
只要切实履行相关职责,即使CII出现重大事故,一般也不会认定为责任事故,关键还是切实履行职责,认真落实法律法规的要求。
第四十八条 电子政务关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的,依照《中华人民共和国网络安全法》有关规定予以处理。
对于电子政务类CII的运营者的处罚,参照《网络安全法》第72条的规定进行。即先由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分(行政和党纪处理先行)。
第四十九条 违反本条例规定,给他人造成损害的,依法承担民事责任。
违反本条例规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
对于违反本条例的行为,如果造成对个人的伤害,需要承担民事责任的,一般为经济赔偿。构成犯罪的会依据刑法中相关规定处罚。
第六章 附 则
第五十条 存储、处理涉及国家秘密信息的关键信息基础设施的安全保护,还应当遵守保密法律、行政法规的规定。
关键信息基础设施中的密码使用和管理,还应当遵守相关法律、行政法规的规定。
对涉密的CII,还要遵守保密相关法律和法规的要求。
第五十一条 本条例自2021年9月1日起施行。