從運營者角度對《關鍵信息基礎設施安全保護條例》落地的思考
關鍵信息基礎設施是我國經濟社會運行的神經中樞,是網絡安全的重中之重。保障關鍵信息基礎設施的安全,對于維護國家網絡安全、網絡空間主權和國家安全、保障經濟社會健康發展、維護公共利益和公民合法權益都具有十分重大的意義。
關鍵信息基礎設施運營者(以下簡稱“運營者”)在關鍵信息基礎設施安全保護中承擔主體責任,按照《條例》規定,必須完成以下 8 個具體工作,以避免相關處罰。
一、落實一把手責任制,重視關鍵信息基礎設施安全保護制度建設
運營者應當建立健全網絡安全保護制度和責任制,保障人力、財力、物力投入。運營者的主要負責人對關鍵信息基礎設施安全保護負總責,領導關鍵信息基礎設施安全保護和重大網絡安全事件處置工作,組織研究解決重大網絡安全問題。
相關處罰包括:對運營者未建立健全網絡安全保護制度和責任制的,由有關主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處 10 萬元以上 100 萬元以下罰款,對直接負責的主管人員處 1 萬元以上 10 萬元以下罰款。
二、設置專門安全管理機構,負責關鍵信息基礎設施安全保護工作
運營者應當設置專門安全管理機構,并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作,履行職責包括建立健全網絡安全管理、評價考核制度,擬訂關鍵信息基礎設施安全保護計劃;組織推動網絡安全防護能力建設,開展網絡安全監測、檢測和風險評估;制定本單位應急預案,定期開展應急演練,處置網絡安全事件;認定網絡安全關鍵崗位,組織開展網絡安全工作考核,提出獎勵和懲處建議;組織網絡安全教育、培訓;履行個人信息和數據安全保護責任,建立健全個人信息和數據安全保護制度;對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理;按照規定報告網絡安全事件和重要事項。
相關處罰包括:對運營者未設置專門安全管理機構的,未進行安全背景審查的,未履行規定職責的,由有關主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處 10 萬元以上 100 萬元以下罰款,對直接負責的主管人員處 1萬元以上 10 萬元以下罰款。
三、必須“給人給錢給權”,做好關鍵信息基礎設施安全保障
運營者應當保障專門安全管理機構的運行經費、配備相應的人員,開展與網絡安全和信息化有關的決策應當有專門安全管理機構人員參與,安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用。
相關處罰包括:對運營者開展與網絡安全和信息化有關的決策沒有專門安全管理機構人員參與的,安全保護措施未與關鍵信息基礎設施同步規劃、同步建設、同步使用的,由有關主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處 10 萬元以上 100 萬元以下罰款,對直接負責的主管人員處 1 萬元以上 10 萬元以下罰款。
四、網絡安全檢測和風險評估,每年至少一次并按要求報送情況
運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估,對發現的安全問題及時整改,并按照保護工作部門要求報送情況。
相關處罰包括:對運營者未對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估,未對發現的安全問題及時整改,或者未按照保護工作部門要求報送情況的,由有關主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處 10 萬元以上 100 萬元以下罰款,對直接負責的主管人員處 1 萬元以上 10 萬元以下罰款。
五、應對重大事件和重大威脅,應按規定報告保護工作部門和公安機關
關鍵信息基礎設施發生重大網絡安全事件或者發現重大網絡安全威脅時,運營者應當按照有關規定向保護工作部門、公安機關報告。重大網絡安全事件和威脅包括但不限于“發生關鍵信息基礎設施整體中斷運行或者主要功能故障、國家基礎信息以及其他重要數據泄露、較大規模個人信息泄露、造成較大經濟損失、違法信息較大范圍傳播等”。
相關處罰包括:對運營者在關鍵信息基礎設施發生重大網絡安全事件或者發現重大網絡安全威脅時,未按照有關規定向保護工作部門、公安機關報告的,由保護工作部門、公安機關依據職責責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處 10 萬元以上 100 萬元以下罰款,對直接負責的主管人員處 1 萬元以上 10 萬元以下罰款。
六、關鍵信息基礎設施發生變化,應及時報告保護工作部門
關鍵信息基礎設施發生較大變化,可能影響其認定結果的,運營者應當及時將相關情況報告保護工作部門。再有,運營者發生合并、分立、解散等情況,應當及時報告保護工作部門,并按照保護工作部門的要求對關鍵信息基礎設施進行處置,確保安全。
相關處罰包括:對運營者在關鍵信息基礎設施發生較大變化,可能影響其認定結果時未及時將相關情況報告保護工作部門的,發生合并、分立、解散等情況,未及時報告保護工作部門,或者未按照保護工作部門的要求對關鍵信息基礎設施進行處置的,由有關主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處 10 萬元以上 100 萬元以下罰款,對直接負責的主管人員處 1 萬元以上 10 萬元以下罰款。
七、按規定采購安全可信的網絡產品和服務,并簽訂安全保密協議
運營者應當優先采購安全可信的網絡產品和服務;采購網絡產品和服務可能影響國家安全的,應當按照國家網絡安全規定通過安全審查;應當按照國家有關規定與網絡產品和服務提供者簽訂安全保密協議,明確提供者的技術支持和安全保密義務與責任,并對義務與責任履行情況進行監督。
相關處罰包括:運營者采購可能影響國家安全的網絡產品和服務,未按照國家網絡安全規定進行安全審查的,由國家網信部門等有關主管部門依據職責責令改正,處采購金額 1 倍以上 10 倍以下罰款,對直接負責的主管人員和其他直接責任人員處 1 萬元以上 10 萬元以下罰款。
八、配合國家相關部門安全檢查等工作,接受相關部門提供的技術支持和協助
運營者對國家相關部門組織開展的網絡安全信息共享機制工作、保護工作部門開展的關鍵信息基礎設施網絡安全檢查檢測工作,以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的關鍵信息基礎設施網絡安全檢查工作應當予以配合。同時,運營者應接受國家有關部門和保護工作部門針對網絡安全事件應對處置等關鍵信息基礎設施安全保護工作的技術支持和協助。
相關處罰包括:運營者對保護工作部門開展的關鍵信息基礎設施網絡安全檢查檢測工作,以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的關鍵信息基礎設施網絡安全檢查工作不予配合的,由有關主管部門責令改正;拒不改正的,處 5 萬元以上 50 萬元以下罰款,對直接負責的主管人員和其他直接責任人員處 1 萬元以上 10 萬元以下罰款;情節嚴重的,依法追究相應法律責任。
總之,運營者應依照《條例》和有關法律、行政法規的規定以及國家標準的強制性要求,在網絡安全等級保護的基礎上,采取技術保護措施和其他必要措施,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。
(本文刊登于《中國信息安全》雜志2021年第9期)
