<tt id="igjcl"><tbody id="igjcl"></tbody></tt>
  • <rp id="igjcl"></rp>
    <rt id="igjcl"><optgroup id="igjcl"></optgroup></rt>
  • <tt id="igjcl"><form id="igjcl"></form></tt>
  • <source id="igjcl"><optgroup id="igjcl"></optgroup></source>
    <strong id="igjcl"></strong>
  • <tt id="igjcl"><noscript id="igjcl"></noscript></tt>
    <rt id="igjcl"><meter id="igjcl"></meter></rt>
    <strong id="igjcl"><li id="igjcl"></li></strong>
    深圳融安網絡科技有限公司

     

    政策解讀 | 國務院發布《關鍵信息基礎設施安全保護條例》 自9月1日起施行

    2021-08-19 17:51:12來源:深圳融安網絡科技有限公司
    2021年7月30日,國務院總理簽署中華人民共和國國務院令第745號,公布《關鍵信息基礎設施安全保護條例》,自2021年9月1日起施行(以下簡稱《條例》)。圖源:中國政府網


    關鍵信息基礎設施是國家數字經濟穩定運行的基石,是經濟社會的神經中樞,也是國家網絡安全的重中之重,2021年將是“關基保護”的元年,《條例》的正式實行將是“關基保護”的重要里程碑。


    《條例》作為國家網絡安全領域的重要法規,其本身的制定和發布也經歷了4年多的漫長過程,是我們國家對探索關基設施保護的具體實踐的總結,匯集了相關部門“實踐出真知”的智慧結晶,其具體立法過程詳見下圖:

    2017年頒布的《網絡安全法》提出對關基設施的保護需求輪廓,在等級保護的基礎上實施重點保護,但沒有明確何為重點,也沒有具體指導如何落地。這次條例的頒布闡明了這個問題。本次《條例》分6個章節共51條,總體目標、關鍵信息基礎設施的認定、運營者責任義務、保障和促進、法律責任等方面給出了明確的指導和要求。



    關鍵條例解讀


    《條例》第二條對關鍵信息基礎設施的認定為:“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等?!?/span>


    解讀

    ——可以看到關基設施的范圍廣泛,涵蓋了我國工業生產和居民生活的重要方面,直接關乎市民群眾的切身利益,同樣很多工業控制系統也被列入關基保護范圍,例如能源生產、交通運輸、市政設施、國防科技工業、大型裝備制造等。各單位按照《條例》和等級保護2.0要求切實做好網絡安全保護,能顯著提升我國抵御內外部敵對勢力網絡攻擊的水平。





    第四條 關鍵信息基礎設施安全保護堅持綜合協調、分工負責、依法保護,強化和落實關鍵信息基礎設施運營者(以下簡稱運營者)主體責任,充分發揮政府及社會各方面的作用,共同保護關鍵信息基礎設施安全。


    解讀

    ——明確了各方綜合協調、分工負責、依法保護的原則和方針,同時進一步落實運營者的主體責任。



       

    第五條 國家對關鍵信息基礎設施實行重點保護,采取措施,監測、防御、處置來源于中華人民共和國境內外的網絡安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治危害關鍵信息基礎設施安全的違法犯罪活動。

    任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動,不得危害關鍵信息基礎設施安全。


    解讀

    ——國家層面統籌關基保護工作,采取相應措施監測、防御、處置網絡安全風險和威脅,同時對破壞關基設施的行為進行依法嚴懲,重視程度進一步提升。




    第七條 對在關鍵信息基礎設施安全保護工作中取得顯著成績或者作出突出貢獻的單位和個人,按照國家有關規定給予表彰。

      

    解讀

    ——首次在網絡安全相關法律條文中明確提出對單位和個人給予表彰。對于單位的網絡安全建設評價,無疑有了更加公平的考核機制,賞罰分明,更能激發個人和單位在關基保護建設中的積極性,主動性。





    第九條 保護工作部門結合本行業、本領域實際,制定關鍵信息基礎設施認定規則,并報國務院公安部門備案。

    制定認定規則應當主要考慮下列因素:

    (一)網絡設施、信息系統等對于本行業、本領域關鍵核心業務的重要程度;

    (二)網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度;

    (三)對其他行業和領域的關聯性影響。

       

    解讀

    ——相應的保護部門負責制定本行業關基設施的認定規則,類似于GB/T22240-2020等級保護定級指南的思路,主要考慮“關鍵核心業務的重要程度”、“遭到破壞后可能帶來的危害程度”以及“對其他行業和領域的關聯性影響”三大要素確認關基設施的認定。認定完成后,同樣需要到公安部門進行備案。





    第十二條 安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用。

      

    解讀

    ——各重點單位應按照“誰主管、誰負責;誰運營、誰負責”的原則,承諾依法落實網絡安全技術措施,確保“三同步”原則得以落實。目前來看,多數關鍵信息基礎設施的運營者未采取“三同步”原則,通常在系統投運后或即將投運時才會考慮網絡安全的規劃建設,甚至很多企業領導人認為網絡安全建設是費力不討好的額外工作。《條例》此處的明確規定,將大大改善當前生產業務建設與安全建設不匹配的環境氛圍,帶來即重生產又重安全的關基建設思維。





    第十三條 運營者應當建立健全網絡安全保護制度和責任制,保障人力、財力、物力投入。運營者的主要負責人對關鍵信息基礎設施安全保護負總責,領導關鍵信息基礎設施安全保護和重大網絡安全事件處置工作,組織研究解決重大網絡安全問題。

       

    解讀

    ——進一步落實運營者的責任義務,確保人、財、物的投入滿足關基設施網絡安全建設的基本需求,同時挑明主要負責人地位與職責(負總責),對應前陣子公布的《黨委(黨組)網絡安全工作責任制實施辦法》,對于國有大型企業或國家機關單位,有異曲同工之處。





    第十五條 專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作,履行下列職責:

    (一)建立健全網絡安全管理、評價考核制度,擬訂關鍵信息基礎設施安全保護計劃;

    (二)組織推動網絡安全防護能力建設,開展網絡安全監測、檢測和風險評估;

    (三)按照國家及行業網絡安全事件應急預案,制定本單位應急預案,定期開展應急演練,處置網絡安全事件;

    (四)認定網絡安全關鍵崗位,組織開展網絡安全工作考核,提出獎勵和懲處建議;

    (五)組織網絡安全教育、培訓;

    (六)履行個人信息和數據安全保護責任,建立健全個人信息和數據安全保護制度;

    (七)對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理;

    (八)按照規定報告網絡安全事件和重要事項。


    解讀

    ——此條目內容較多,我們一一來解。首先,要有專門的安全管理機構,呼應了第十三條的人力投入。此外,本條目的內容,也是《網絡安全法》第三十四條的呼應,這里要求關基設施的網絡安全管理機構從制定計劃、應急處置、考核評價、獎懲教育等八個方面履行相應職責。此外還強調應開展網絡安全監測、檢測和風險評估活動。




    第十六條 運營者應當保障專門安全管理機構的運行經費、配備相應的人員,開展與網絡安全和信息化有關的決策應當有專門安全管理機構人員參與。


    解讀

    ——再次強化人、財的投入應滿足要求,并且給出建議:網絡安全建設應有其管理機構的人員參與,很好的保障了安全建設與業務發展的交融,確保業務與安全能夠共生共存,避免出現推倒重來的資源浪費情況。




    第十七條 運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估,對發現的安全問題及時整改,并按照保護工作部門要求報送情況。


    解讀

    ——每年至少進行一次網絡安全檢測和風險評估,與《網絡安全法》第三十八條內容相近。信息安全風險評估是加強信息安全保障體系建設和管理的關鍵環節,是信息安全建設的起點和基礎。進行風險評估可以幫助運營者識別關基設施面臨的網絡安全風險,對于安全底子較弱的工業控制系統來說,更是不可或缺的。




    第十九條 運營者應當優先采購安全可信的網絡產品和服務;采購網絡產品和服務可能影響國家安全的,應當按照國家網絡安全規定通過安全審查。


    解讀

    ——與《網絡安全法》第三十五條相呼應,強調網絡安全產品和服務的自主可控,可信。企業應采購具有完全自主知識產權的產品,不能對國家安全造成影響,否則將面臨網絡安全審查。




    第二十四條 保護工作部門應當建立健全本行業、本領域的關鍵信息基礎設施網絡安全監測預警制度,及時掌握本行業、本領域關鍵信息基礎設施運行狀況、安全態勢,預警通報網絡安全威脅和隱患,指導做好安全防范工作。


    解讀

    ——與《網絡安全法》第五十一條相呼應,強化保護部門的牽頭職責:建立本行業的關基設施網絡安全預警機制,并及時通報和預警,還要指導行業內的安全防范工作。企業應根據自身實際需求,采購滿足要求的態勢感知平臺,做到每個層級生產設備安全狀態的可視化,應覆蓋網絡內的所有設備。




    第三十二條 國家采取措施,優先保障能源、電信等關鍵信息基礎設施安全運行。

    能源、電信行業應當采取措施,為其他行業和領域的關鍵信息基礎設施安全運行提供重點保障。


    解讀

    ——①能源、電信是現代人類社會保持正常運轉的底層驅動力,國家層面更是非常重視。②能源、電信運營者應承擔起安全運營責任,為其他行業提供驅動力。




    第五章第三十九條至第四十九條 與《網絡安全法》第六章相呼應,列舉具體的處罰措施,從個人罰款到單位罰款,從行政處罰到刑事處罰,對應了國家網絡安全活動中的各種違規、違法操作。對運營者、網信部門、公安機關、保護工作部門和其他第三方人員和單位都提出了相應的約束。


    綜合來看,《條例》多處與《網絡安全法》和等級保護相關標準有多處共鳴,這些法規、標準相互結合,才能更好地肩負起保衛關基設施的重任。《條例》凸顯國家對網絡強國建設的思考與規劃,各關基設施運營者應提高重視程度。


    中國的互聯網已經由消費互聯網逐步進入到工業互聯網的階段,越來越多的智慧工廠和關基重要設施接入互聯網,成為數字經濟的新動能和經濟支柱,高效率的同時面臨高風險。當前國際網絡安全形勢錯綜復雜,關鍵信息基礎設施中的一部分作為大國重器或民生之本,更不能受他人所控,我們要努力探索出一條獨立自主的“關基保護”之路。


    為更有效地進行關基保護建設,多年來,融安網絡堅持自主可控可信的基本戰略,從“一個中心,三重防護”的視角出發,提出人、技術、管理并重的設計思路,構建由技術體系、管理體系、運營體系組成的新安全體系。以對關基領域的工業控制系統最小化影響的基本原則;輔以可靠性高的工業級硬件;全面、準確、快速的工業協議深度解析,為上層全面的網絡安全態勢感知提供基礎保障;白名單機制可以滿足工業控制系統高可靠性、穩定性、業務連續性的嚴格要求。


    并且,提供全流程的工控企業網絡安全運營體系,幫助企業建立自身組織機構,健全管理制度,提升應急處理能力。從局部整改到整體規劃建設,利用全天候全方位感知網絡安全態勢,常態開展滲透測試、實戰攻防演練,有效對抗黑客攻擊,加強網絡安全宣傳和培訓。

    數字世界安全先行,融安網絡作為工控安全技術領軍企業,已經為電力、油氣管道、智能制造、軌道交通、智慧水務等大量重點行業客戶提供定制化的解決方案,積累了很多實踐中的關基保護經驗,成長為保護數字經濟安全平穩運行的中堅力量。融安網絡有能力為網絡運營者提供防范有組織、實力強的攻擊;切實提升安全保障能力,保障關基設施安全、穩定、連續運行。

    分享:

    微博
    微信公眾號
    迅雷电影
    <tt id="igjcl"><tbody id="igjcl"></tbody></tt>
  • <rp id="igjcl"></rp>
    <rt id="igjcl"><optgroup id="igjcl"></optgroup></rt>
  • <tt id="igjcl"><form id="igjcl"></form></tt>
  • <source id="igjcl"><optgroup id="igjcl"></optgroup></source>
    <strong id="igjcl"></strong>
  • <tt id="igjcl"><noscript id="igjcl"></noscript></tt>
    <rt id="igjcl"><meter id="igjcl"></meter></rt>
    <strong id="igjcl"><li id="igjcl"></li></strong>