作为中华人民共和国《网络安全法》的重要配套法规,《关键信息基础设施安全保护条例》(以下简称《条例》)于2021年9月1日起正式施行。
《条例》共六章51条,明确了五个方面内容。一是明确了关键信息基础设施范围和保护工作原则目标,重点行业和领域重要网络设施、信息系统属于关键信息基础设施,国家对关键信息基础设施实行重点保护,保护工作坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全;二是明确了监督管理体制,规定国务院公安部门负责指导监督关键信息基础设施安全保护工作,国务院电信主管部门和其他有关部门在各自职责范围内负责关键信息基础设施安全保护和监督管理工作,省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理;三是明确了关键信息基础设施认定机制,由重要行业和领域的主管部门、监督管理部门结合本行业、本领域实际,制定认定规则,并负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门备案;四是明确了运营者的责任义务,对关键信息基础设施运营者落实网络安全责任、建立健全网络安全保护制度、设置专门安全管理机构、开展安全检测和风险评估、上报网络安全事件或网络安全威胁、规范网络产品和服务采购活动等方面作了规定;五是明确了法律责任,对关键信息基础设施运营者未履行安全保护主体责任、有关主管部门以及工作人员未能依法依规履行职责等情况,明确了处罚、处分、追究刑事责任等处理措施,对实施非法侵入、干扰、破坏关键信息基础设施,危害其安全活动的组织和个人,依法予以处罚。
《条例》从五个层面提出保障和促进措施,包括国家层面优先保障能源、电信等关键信息基础设施安全运行,制定和完善关键信息基础设施安全标准,鼓励网络安全专门人才从事关键信息基础设施安全保护工作,加强网络安全服务机构建设和管理,加强网络安全军民融合等;国家监管机构层面建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,对关键信息基础设施进行网络安全检查检测并提出改进措施,为保护工作部门提供技术支持和协助,依据各自职责依法加强关键信息基础设施安全保卫等;保护工作部门层面制定本行业、本领域关键信息基础设施安全规划,建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度和网络安全事件应急预案,定期组织开展本行业、本领域关键信息基础设施网络安全检查检测等;网络安全服务机构层面不得泄露、出售或者非法向他人提供关键信息基础设施安全保护工作中获取的信息;运营者层面要对有关部门依法开展的关键信息基础设施网络安全检查工作予以配合。
《条例》指出,任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全,未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。
(作者单位:国家电网有限公司国家电力调度控制中心)
评论