2.4 基于《网络安全法》的关键信息基础设施解析
关键信息基础设施安全防护关乎国计民生。金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。这些基础设施一旦被攻击就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。因此,关键信息基础设施运营者要做好网络安全保护工作,按照网络安全法要求履行网络安全义务,承担网络安全责任。
2.4.1 建立健全网络安全管理制度
关键信息基础设施运营者重点建立健全网络安全管理制度。一是在《国家安全法》确立的信息网络产品与服务的国家安全审查制度基础上,进一步提出关键信息基础设施运营者采购网络产品和服务的网络安全审查制度。二是确立关键信息基础设施的重要数据跨境安全评估制度。三是确立在网络安全等级保护制度的基础上,实行关键信息基础设施的重点保护。
关键信息基础设施涉及的行业主管部门通过制度的方式,明确规定负责关键信息基础设施安全保护工作的部门,要按照国务院规定的职责分工,分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。这既明确了相关主管部门要在职权范围内切实履行保护关键信息基础设施的职责,也规定了分行业、分领域制定专门保护规划的基本工作方法。
2.4.2 完善一般安全保护义务
在日常安全维护方面,关键信息基础设施运营者既要遵循网络安全等级保护制度对一般信息系统的安全要求,也要履行更加严格的安全保护义务。
《网络安全法》第二十一条规定了国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
《网络安全法》第三十四条规定,除了本法第二十一条的规定,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
实行网络安全等级保护制度主要包括制定内部安全管理制度和操作规程,采取预防性技术措施,监测网络运行状态并留存网络日志以及重要数据备份和加密等。在安全保护义务方面包括对“人”的安全义务和对“系统”的安全义务两方面:对“人”的安全义务包括设置专门的管理机构和负责人、对负责人和关键岗位人员进行安全背景审查、定期对从业人员进行教育培训和技能考核;对“系统”的安全义务包括对重要系统和数据库进行容灾备份、制定网络安全事件应急预案并定期组织演练等。
《网络安全法》第三十八条规定了对于关键信息基础设施整体安全性和可能存在的风险,还规定了定期检测评估制度。关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
关键信息基础设施的运营者不履行本法第三十四条、第三十八条规定的网络日常安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
2.4.3 做好增强安全保护义务
鉴于关键信息基础设施的重要性,《网络安全法》对于其供应链安全和数据留存传输作出了特殊规定。
《网络安全法》第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
《网络安全法》第三十六条规定,关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
规定关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,这些网络产品和服务应当通过国家安全审查。这一审查属于《国家安全法》第五十九条规定建立的国家安全审查制度的一部分,属于对影响或者可能影响国家安全的“网络信息技术产品和服务”的审查。这一审查由国家网信部门会同国务院有关部门组织实施;还规定,采购这些网络产品和服务时,关键信息基础设施运营者应当与提供者签订安全保密协议,明确安全和保密义务与责任。
《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
如果在特殊安全保障义务方面没有做到,则需要承担法律责任。
关键信息基础设施的运营者不履行本法第三十六条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处5万元以上50万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处 1万元以上10 万元以下罚款。
2.4.4 建议关键信息基础设施运营者的重点工作
1.网络安全等级保护制度
《网络安全法》第二十一条确定,实施网络安全等级保护制度从国家制度上升为国家法律。第三十一条要求对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上实行重点保护。
2.网络建设三同步原则
《网络安全法》第三十三条规定,建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
建议从项目立项、安全需求、安全设计、安全开发、安全测试、系统上线、系统验收、系统废止全生命周期落实三同步原则。
3.网络安全事件应急预案
关键信息基础设施运营者应制定应急预案应覆盖所有网络安全场景,对相关人员开展应急预案培训。结合发生的安全事件和面临的安全风险,制定符合自身组织架构的网络安全应急预案,同时,预案中明确内部及业务部门的应急响应责任,准备措施以及应对突发事件的配合机制,并组织演练。
4.建立健全网络安全监测预警和信息通报制度
要充分利用大数据分析和云计算技术,开展资产感知、脆弱性感知、安全事件感知和异常行为感知工作。加强网络安全信息的合作、分享,提高保障能力,建立分析报告和情报共享、研判处置和通报应急工作机制。坚决杜绝心存侥幸、瞒报、少报安全事件的发生。
5.数据主权工作
根据国家网络空间主权原则,可依法对境外个人或组织对我国境内的网络破坏活动行使司法管辖权,即具有域外的效力。
《网络安全法》第七十五条特别规定,“境外的个人或者组织从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该个人或者组织采取冻结财产或者其他必要的制裁措施。”
6.落实安全审查制度
对可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。同时,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。安全产品或服务采用强制性标准要求,并通过具备资格的机构安全认证合格或者安全检测符合要求。
7.开展内部审计
重要行业要主动开展审计工作,否则将会受到处罚。
不采用三同步、不履行义务、不签署安全保密协议、不开展风险评估,对主管部门处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额1倍以上10 倍以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处5万元以上50万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
8.建立实施关键信息基础设施保护制度
制度要坚持技术和管理并重、保护和震慑并举的原则。技术要覆盖安全识别、防护、检测、预警、响应、处置、恢复等环节。这就需要行业部门在管理、技术、人才、资金等方面加大投入。
9.个人信息安全
重要行业邀请确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
对个人信息收集或使用环节应以明确、易懂和合理的方式如实公示其收集或使用个人信息的目的、个人信息的收集和使用范围、个人信息安全保护措施等信息,接受公共监督。
在个人信息保护制度实施过程中,要做好审计、权限分配和访问控制,避免因内部工作人员因职权便利,违规查询或批量下载客户个人信息和交易记录。
10.工业控制系统、大数据、云平台、物联网等新技术网络安全
随着新技术的发展,行业部门在大数据平台、“互联网+”创新应用、数据中心和云计算方面旺盛需求,新技术安全不容忽视。同时,以生产控制系统为业务的工业控制系统和工业互联网,也是防护的重点,不容忽视。