關鍵信息基礎設施安全保護條例意見稿十大關鍵要點

近期《關鍵信息基礎設施安全保護條例征求意見稿》終于發出,業內也是期盼已久,雖是意見稿,但是也可以從中看出一些門路來,今天不得不等簡單總結了十個比較重要的關鍵要點,供大家學習。

 

1、關鍵信息基礎設施在網絡安全等級保護制度基礎上,實行重點保護。(第6條,明確了在等?;A上進行重點保護)

 

2、地市級以上人民政府應當將關鍵信息基礎設施安全保護工作納入地區經濟社會發展總體規劃,加大投入,開展工作績效考核評價。(第9、11條,明確了國家制定相關政策支持關鍵信息基礎設施安全保護工作的推進,再也不擔心經費的事了)

 

3、國家行業主管或監管部門應當設立或明確專門負責本行業、本領域關鍵信息基礎設施安全保護工作的機構和人員,編制并組織實施本行業、本領域的網絡安全規劃,建立健全工作經費保障機制并督促落實。(第13條,明確了各行業主管單位負責本行業的安全管理工作,并落實工作經費)

 

4、公安機關等部門依法偵查打擊針對和利用關鍵信息基礎設施實施的違法犯罪活動。(第15條,明確了公安機關牽頭打擊針對關鍵信息基礎設施違法犯罪活動)

 

5、任何個人和組織不得從事下列危害關鍵信息基礎設施的活動和行為:

(一)攻擊、侵入、干擾、破壞關鍵信息基礎設施;

(二)非法獲取、出售或者未經授權向他人提供可能被專門用于危害關鍵信息基礎設施安全的技術資料等信息;

(三)未經授權對關鍵信息基礎設施開展滲透性、攻擊性掃描探測;

(四)明知他人從事危害關鍵信息基礎設施安全的活動,仍然為其提供互聯網接入、服務器托管、網絡存儲、通訊傳輸、廣告推廣、支付結算等幫助;

(五)其他危害關鍵信息基礎設施的活動和行為。

(第16條,需要注意的是不能在未經授權的情況下對關鍵信息基礎設施開展滲透性、攻擊性掃描探測,平時想練練手或者一些監管單位的一些遠程掃描及滲透行為需要規范,對應的處罰條款是:個人違反本條例第十六條規定,尚不構成犯罪的,由公安機關沒收違法所得,處五日以下拘留,可以并處五萬元以上五十萬元以下罰款;情節較重的,處五日以上十五日以下拘留,可以并處十萬元以上一百萬元以下罰款;構成犯罪的,依法追究刑事責任。搞滲透的一不小心就要被拘留了)

 

6、下列單位應當納入關鍵信息基礎設施保護范圍:

(一)政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位;

(二)電信網、廣播電視網、互聯網等信息網絡,以及提供云計算、大數據和其他大型公共信息網絡服務的單位;

(三)國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位;

(四)廣播電臺、電視臺、通訊社等新聞單位;

(五)其他重點單位。

(第18條,明確了關鍵信息基礎設施保護范圍,各用戶單位各自對照下)

 

7、運營者主要負責人是本單位關鍵信息基礎設施安全保護工作第一責任人,負責建立健全網絡安全責任制并組織落實,對本單位關鍵信息基礎設施安全保護工作全面負責。(第22條,明確了安全保護工作第一責任人,運營者主要負責人看看單位誰能稱得上呢)

 

8、運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障關鍵信息基礎設施免受干擾、破壞或者未經授權的訪問,防止網絡數據泄漏或者被竊取、篡改:

(一)制定內部安全管理制度和操作規程,嚴格身份認證和權限管理;

(二)采取技術措施,防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為;

(三)采取技術措施,監測、記錄網絡運行狀態、網絡安全事件,并按照規定留存相關的網絡日志不少于六個月;

(四)采取數據分類、重要數據備份和加密認證等措施。

(五)設置專門網絡安全管理機構和網絡安全管理負責人,并對該負責人和關鍵崗位人員進行安全背景審查;

(六)定期對從業人員進行網絡安全教育、技術培訓和技能考核;

(七)對重要系統和數據庫進行容災備份,及時對系統漏洞等安全風險采取補救措施;

(八)制定網絡安全事件應急預案并定期進行演練;

(九)法律、行政法規規定的其他義務。

(第23、24條明確了運營者的網絡安全義務,對照下沒有做的趕緊去做)

 

9、運營者應當建立健全關鍵信息基礎設施安全檢測評估制度,關鍵信息基礎設施上線運行前或者發生重大變化時應當進行安全檢測評估。運營者應當自行或委托網絡安全服務機構對關鍵信息基礎設施的安全性和可能存在的風險隱患每年至少進行一次檢測評估,對發現的問題及時進行整改,并將有關情況報國家行業主管或監管部門。(第28條明確了運營者每年對關鍵信息基礎設施需要進行一次安全檢測評估)

 

10、運營者采購網絡產品和服務,可能影響國家安全的,應當按照網絡產品和服務安全審查辦法的要求,通過網絡安全審查,并與提供者簽訂安全保密協議。運營者應當對外包開發的系統、軟件,接受捐贈的網絡產品,在其上線應用前進行安全檢測。(第31、32條明確了對影響國家安全的系統采購的產品及服務需要通過網絡安全審查,外包開發的系統需要進行上線前安全檢測,0元中標的項目切記上線前要進行安全檢測)

 

最后簡單概述下如果沒有按照關鍵信息基礎設施安全保護條例開展工作,面臨的處罰方式主要要:1、由上級主管單位責令改正,給予警告;2、對單位進行相關罰款;3、對直接負責的主管人員和其他直接責任人員進行罰款;4、對直接負責的主管人員和其他直接負責人員依法給予處分;5、發生重大網絡安全事件,經調查確定為責任事故的,除應當查明運營單位責任并依法予以追究外,還應查明相關網絡安全服務機構及有關部門的責任,對有失職、瀆職及其他違法行為的,依法追究責任。整體來說處罰的條款比較多且具體,操作性強,各個單位、各安全責任人需及時履行自己的網絡安全義務,及時開展網絡安全工作,降低信息系統的被攻擊風險,提高信息系統的安全防護能力,網絡安全工作需要未雨綢繆,不要等到發生重大網絡安全事件后再去補救,那樣會很被動。

上一篇:基于白名單策略的工業控制網絡審計監控技術研究
下一篇:工信部印發《工業控制系統信息安全防護指南》

河南網盾網絡信息技術有限公司 版權所有

公司地址:鄭州市中原萬達西區6號樓22層

咨詢電話:0371-53372670

電子郵件:3101329094@qq.com

豫ICP備18006711號-1