威尼斯432888cam:《关键信息基础设施安全保护条例》重点条款详解
《关键信息基础设施安全保护条例》解读
今年9月1日,国家颁布的《关键信息基础设施安全保护条例》(以下简称《条例》)将正式实施。威尼斯432888cam认为,《条例》的落地有利于进一步健全关键信息基础设施安全保护法律制度体系的同时,也对运营者建立健全网络安全保护制度和责任制,对关键信息基础设施安全保护,以及重大网络安全事件具备完善的处置能力,提出了更高要求。
涉及9个方面
《关键信息基础设施安全保护条例》中规定关键信息基础设施范围应包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业和其它重要单位9方面。
履行8项职责
《关键信息基础设施保护条例》要求运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
运营者应当设置专门安全管理机构,专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;
(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
(五)组织网络安全教育、培训;
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
(八)按照规定报告网络安全事件和重要事项。
6个主要环节
运营者按照相关规定开展关键信息基础设施分析和识别活动,围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。本环节是开展安全防护、检测评估、监测预警、事件处置等环节工作的基础。
运营者根据已识别的关键业务和资产、安全风险,实施安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面的安全控制措施,确保关键信息基础设施的运行安全。本环节在识别关键信息基础设施安全风险的基础上制定安全防护措施。
为检验安全防护措施的有效性,发现网络安全风险隐患,运营者制定相应的检测评估制度,确定检测评估的流程及内容等要素,并分析潜在安全风险可能引起的安全事件。
运营者制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出安全警示。建立威胁情报和信息共享机制,落实相关措施,提高关键信息基础设施主动防御能力。
运营者以对攻击行为的监测发现为基础,主动采取诱捕、溯源、干扰和阻断等措施, 提升对网络威胁与攻击行为的识别、分析和攻防对抗能力。
对网络安全事件进行报告和处置,并根据检测评估、监测预警环节发现的问题,运营者制定并实施适当的应对措施,恢复由于网络安全事件而受损的功能或服务。