《網絡安全法》解讀之關鍵信息基礎設施的運行安全

　　本文是對《網絡安全法》內容中關鍵信息基礎設施內容的一些解讀。

　　01

　　第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

　　國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系。

　　本條規定了關鍵信息基礎設施保護，以及與網絡安全等級保護制度的關系。關系國家重大利益、人民群眾生命財產安全和社會生產生活秩序，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的網絡設施、信息系統和數據資源等，屬于關鍵信息基礎設施。

　　02

　　第三十二條按照國務院規定的職責分工，負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃，指導和監督關鍵信息基礎設施運行安全保護工作。

　　本條規定了負責關鍵信息基礎設施安全保護工作的部門組織開展關鍵信息基礎設施安全保護、監督和指導等工作。

　　一是行業主管部門要組織制定并實施本行業、本領域關鍵信息基礎設施安全規劃，監督、指導本行業、本領域關鍵信息基礎設施安全保護工作，落實主管責任。

　　二是國家網信、公安、保密、密碼、安全等部門，按照法律賦予的職責，根據任務分工，分別組織制定并實施關鍵信息基礎設施安全保護規劃，統籌協調，監督檢查指導行業主管部門、網絡運營者落實安全規劃，開展關鍵信息基礎設施安全保護各項工作，落實責任制，加強考核和督辦。

　　03

　　第三十三條建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能，并保證安全技術措施同步規劃、同步建設、同步使用。

　　本條規定了關鍵信息基礎設施的功能性能要求和“三同步”要求。重要行業部門建設關鍵信息基礎設施時，著重考慮兩個要素：一個是功能、性能要求；另一個是安全要求。建設關鍵信息基礎設施投資較大，在規劃設計階段，要充分論證，以滿足業務需求，保證業務的連續性和穩定性。

　　為了保證該項規定的落實，業務部門和信息化部門在制定網絡、系統建設方案時，一定要確定關鍵信息基礎設施安全保護等級，根據其安全等級，按照國家標準和行業標準同步制定安全建設方案，聘請專家進行評審，方案通過后方可進行建設、運行。關鍵信息基礎設施在上線之前，還要進行源代碼檢測、等級測評、風險評估，確保網絡系統運行安全和數據、信息安全。

　　04

　　第三十四條除本法第二十一條的規定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：

　　(一)設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查；

　　(二)定期對從業人員進行網絡安全教育、技術培訓和技能考核；

　　(三)對重要系統和數據庫進行容災備份；

　　(四)制定網絡安全事件應急預案，并定期進行演練；

　　(五)法律、行政法規規定的其他義務。

　　本條規定了關鍵信息基礎設施運營者應落實的重點措施。關鍵信息基礎設施運營者除落實本法第二十一條規定的措施外，還要落實幾項重點措施。

　　一是建立完善領導體系，成立專門的網絡安全管理機構，明確專門負責網絡安全的領導，確保政令暢通。

　　二是對負責人、管理員、運維人員等關鍵崗位人員進行背景審查，確保關鍵崗位、部門的人員可靠。

　　三是建設或利用合作單位培訓、訓練環境，采取網上網下等多種形式，對關鍵崗位人員、從業人員進行意識教育、網絡安全技術培訓及攻防對抗演練，提高網絡安全業務能力和實戰能力。

　　四是對有關崗位人員進行分級分類管理，分類考核，將考核成績納入年終考評。

　　五是對重要系統和數據庫進行容災備份，包括同城、異地方式及冷備、熱備方式，保證系統運行安全、數據和信息安全。

　　六是制定網絡安全事件應急預案，備建隊伍、裝備，建立與有關部門、企業的配合機制，并定期進行演練，以檢驗預案的有效性和針對性。

　　七是落實《國家安全法》《反恐怖主義法》《中華人民共和國計算機信息系統安全保護條例》等法律、行政法規規定的其他義務。

　　05

　　第三十五條關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。

　　本條規定了國家安全審查機制是非常態化的，只有在可能影響國家安全的特殊情況下才能啟動，不是對網絡產品和服務開展的常態的網絡安全認證和檢測。

　　06

　　第三十六條關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規定與提供者簽訂安全保密協議，明確安全和保密義務與責任。

　　本條規定了關鍵信息基礎設施運營者、服務商在采購網絡產品和服務時的安全責任和義務，防范外包服務安全，關注供應鏈安全。關鍵信息基礎設施運營者在采購網絡產品和服務時：

　　一要采購符合國家有關規定的網絡產品和服務，慎重選擇提供者；

　　二要與網絡產品和服務提供者簽訂安全保密協議，明確其安全保密責任和義務；

　　三要采取有效措施，監督網絡產品和服務提供者落實安全保密責任和義務。

　　07

　　第三十七條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

　　本條規定了對關鍵信息基礎設施運營者的數據留存和提供的要求。在我國境內運營中收集和產生的個人信息和重要數據，應當在境內存儲。因業務需要，確需向境外提供的，應當進行安全評估。個人信息出境，應向個人信息主體說明數據出境的目的、范圍、內容、接收方及接收方所在的國家或地區，并經其同意。行業主管部門負責本行業數據出境安全評估工作，定期組織開展本行業數據出境安全檢查。

　　08

　　第三十八條關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

　　本條規定了關鍵信息基礎設施運營者開展安全檢測評估的規定。安全檢測評估活動主要包括等級測評、風險評估、滲透測試等第三方檢測機構的技術服務活動。

　　09

　　第三十九條國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護采取下列措施：

　　(一)對關鍵信息基礎設施的安全風險進行抽查檢測，提出改進措施，必要時可以委托網絡安全服務機構對網絡存在的安全風險進行檢測評估；

　　(二)定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練，提高應對網絡安全事件的水平和協同配合能力；

　　(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享；

　　(四)對網絡安全事件的應急處置與網絡功能的恢復等，提供技術支持和協助。

　　本條規定了關鍵信息基礎設施保護中應當統籌協調采取的措施。國家網信部門應當統籌協調有關部門積極支持，網絡安全職能部門、行業主管部門、信息安全企業等充分發揮作用，形成合力，支持關鍵信息基礎設施運營者對關鍵信息基礎設施的安全保護采取安全監測、通報預警、態勢感知、風險評估、應急演練、信息共享、應急處置等措施，建立關鍵信息基礎設施綜合防御體系，提高綜合防御能力。