《關鍵信息基礎設施安全保護條例》已經2021年4月27日國務院第133次常務會議通過，并于昨日8月17公布，已于2021年9月1日起施行。

　　關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標。習近平總書記“4.19”講話提出明確要求“我們必須深入研究，采取有效措施，切實做好國家關鍵信息基礎設施安全防護?！薄蛾P鍵信息基礎設施安全保護條例》為網絡安全織密防護網，為國家安全打造金鐘罩提供了強有力的行政法規。

　　《關鍵信息基礎設施安全保護條例》是基于《中華人民共和國網絡安全法》，在關鍵信息基礎設施安全保護領域的一個重要法規文件，是引領關鍵信息基礎設施安全保護的重要遵循。

　　《關鍵信息基礎設施安全保護條例》（以下簡稱“關保條例”）共6章51條，分別為總則、關鍵信息基礎設施認定、運營者責任義務、保障和促進、法律責任、附則等6章組成。

　　今天我們一起回顧的是《網絡安全法》中的關鍵信息基礎設施安全保護內容：

　　第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

　　國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系。

　　本條規定了關鍵信息基礎設施保護，以及與網絡安全等級保護制度的關系。

　　網絡安全法根據我國實踐需要，并借鑒一些國家的經驗，對關鍵信息基礎設施保護制度作了規定。根據本條規定，關鍵信息基礎設施是指那些一旦遭到破壞、喪失功能或者數據泄露將對國家安全、國計民生、公共利益造成重大影響的重要網絡設施和系統。本條列舉了公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等7個領域，但不限于這些領域，其具體范圍將由國務院制定具體辦法予以確定。

　　隨著信息技術的廣泛應用，能源、利、金融等國民經濟重要行業，供電、供水、教育、醫療衛生等關系民生的公共服務領域，以及國家對經濟社會事務的管理等，都高度依賴于網絡。這些行業和領域的重要網絡系統一旦喪失功能、通到破壞，將給國家安全、公共安全、民生福祉造成不可估量的危害。世界范圍內針對關鍵信息基礎設施的攻擊活動頻繁發生并造成嚴重破壞，如早期伊朗核設施遭受“震網”病毒攻擊被破壞、烏克蘭電網因受網絡攻擊致使境內三分之一的地區持續斷電、美國域名解析服務器因網絡攻擊導致眾多網絡無法訪問等，今年比較突出的是美國油氣管道被攻擊，造成美國東海岸45%的油氣供應中斷。

　　另外，國家鼓勵參與關鍵信息基礎設施保護體系，有利于參與者參考關鍵信息基礎設施保護的相關要求加強自身網絡系統的安全保護，并通過共享安全信息、交流保護經驗獲取最佳的保護方案，不斷完善和改進網絡安全保護相關措施，提升其網絡安全保護水平。同時，通過自愿參與機制，可以使更多的網絡運營者參與到網絡風險應對、處置的過程中，不斷擴大網絡安全風險的感知范圍，有利于提高網絡安全整體態勢的感知能力以及網絡安全事件處置的協同配合能力。

　　我國網絡安全保障和防護仍處于較低水平，不僅體現在硬件上，也體現在軟件上，更體現在安全意識和安全標準上；網絡屬非傳統領域，這方面的風險與威脅更具有殺傷力和破壞性，必須引起我們高度重視；我國關鍵信息基礎設施防控還比較薄弱，各部門必須守土盡責，密切配合，完善預案，積極應對，切實強化國家關鍵信息基礎設施防護，確保整個網絡安全；堅決改變只重技術不重安全的做法，加快構建關鍵信息基礎設施安全保障體系，實現全天候全方位感知和有效防護。

　　第三十二條按照國務院規定的職責分工，負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃，指導和監督關鍵信息基礎設施運行安全保護工作。

　　本條規定了負責關鍵信息基礎設施安全保護工作的部門組織開展關鍵信息基礎設施安全保護、監督和指導等工作。

　　本條同時規定了負責關鍵信息基礎設施安全保護工作的部門的兩項主要職責：一是負責編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃；二是指導和監督關鍵信息基礎設施運行安全保護工作。

　　第三十三條建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能，并保證安全技術措施同步規劃、同步建設、同步使用。

　　本條規定了關鍵信息基礎設施的功能性能要求和“三同步”要求。關鍵信息基礎設施承載重要產品和服務的供給，對國家安全、公共利益、國計民生有重大影響，法律對關鍵信息基礎設施及其業務的穩定、持續運行提出了更高要求。如銀行等金融交易需要全天候交易，支持這些交易的網絡系統也必須每天24小時不間斷運行，一旦因系統處理能力不足或故障，造成服務中斷，將產生重大損失，甚至會影響金融系統穩定。因此，在建設環節就應當確保關鍵信息基礎設施具有支持業務穩定、持續運行的性能。

　　關鍵信息基礎設施的運營者應當根據本行業、本系統相關業務運行特點和發展趨勢，在建設階段對其信息系統應達到的性能進行充分研究論證，合理規劃設計系統架構，采用必要的設備和措施，確保關鍵信息基礎設施具有支持其業務持續、穩定運行的性能。

　　在關鍵信息基礎設施設計、施工、投入使用階段做好網絡安全技術防護，對于防范網絡安全風險、減少網絡安全事件的發生具有重要意義。據此，本條要求保障關鍵信息基礎設施運行安全的技術措施，應當與關鍵信息基礎設施的主體工程同步規劃、同步建設、同步使用，通常被稱為“三同時”制度。

　　關鍵信息基礎設施安全技術措施“三同時”應當達到以下要求：一是，建設項目的設計單位在編制項目設計文件時，應當按照規定編制安全技術措施的設計文件；二是，關鍵信息基礎設施的運營者在編制建設項目投資計劃時，應當將安全技術措施所需投資一并納人預算；三是，關鍵信息基礎設施的運營者應當要求施工單位嚴格按照安全技術措施的設計要求施工；四是，在建設項目驗收時，應當對安全技術措施進行調試、檢測和驗收；五是，安全技術措施應當與主體工程同時投入使用。

　　第三十四條除本法第二十一條的規定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：

　　（一）設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查；

　　（二）定期對從業人員進行網絡安全教育、技術培訓和技能考核；

　?。ㄈχ匾到y和數據庫進行容災備份；

　?。ㄋ模┲贫ňW絡安全事件應急預案，并定期進行演練；

　?。ㄎ澹┓伞⑿姓ㄒ幰幎ǖ钠渌x務。

　　本條規定了關鍵信息基礎設施運營者應落實的重點措施。關鍵信息基礎設施運營者除落實本法第二十一條規定的措施外，還要落實幾項重點措施。

　　關鍵信息基礎設施的運營者除履行本法第二十一條規定的安全保護義務外，還應當按照本條規定，采取相應的措施，加強關鍵信息基礎設施的網絡安全保護。

　　一是應當完善網絡安全管理體系，設置專門安全管理機構和安全管理負責人。安全管理機構和安全管理負責人主要負責組織制定本單位網絡安全保護方案和管理制度，對安全管理工作進行協調、指導和監督，以加強對關鍵信息基礎設施網絡安全保護工作的領導和統一管理，確保各項安全措施的落實。同時，關鍵信息基礎設施的運營者還應當對安全管理負責人和具有較高權限、能夠接觸到敏感信息的關鍵崗位的人員進行安全背景審查，以確定其從事網絡安全管理和關鍵崗位業務的可靠性。

　　二是應當采取多種方式，定期對從業人員進行網絡安全教育、技術培訓和技能考核，提高從業人員的網絡安全意識和網絡安全技術技能。

　　三是應當對重要系統和數據庫進行容災備份，以保證關鍵信息基礎設施因網絡攻擊、自然災害、故障等原因業務受到影響或者停止運行時，確保備份系統能夠替代主系統運行，保證其業務正常進行，數據不會丟失。

　　四是制定網絡安全事件應急預案，并定期進行演練，以提高應急工作人員的能力，檢驗應急預案的有效性。

　　此外，本條規定了關鍵信息基礎設施運營者在網絡安全保護方面的主要義務，關鍵信息基礎設脆的運營者還應當履行其他相關法律、行政法規規定的網絡安全保護義務。

　　第三十五條關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。

　　本條規定了非常態的網絡產品和服務的國家安全審查機制。

　　為了防止關鍵信息基礎設施因使用的產品和服務存在安全缺陷或其他隱患而受到攻擊、破壞，或者其存儲、處理的數據資源被竊取、泄露從而危害國家安全，網絡安全法依據世界貿易組織國家安全例外原則，對關鍵信息基礎設施運營者采購網絡產品或者服務的國家安全審查作了規定，這也是落實2015年全國人大常委會通過的國家安全法確立的國家安全審查制度的規定。這一制度不同于本法第二十三條規定的網絡關鍵設備和安全專用產品的安全認證和安全檢測，本條規定的國家安全審査只在可能影響國家安全的特殊情形下才啟動，在對產品和服務的安全性進行審查的同時，還需要對影響國家安全的其他因素進行審查。國家網信部門應當根據本條規定，會同國務院有關部門制定具體審查辦法，明確審查的條件、機制、程序等規則。

　　第三十六條關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規定與提供者簽訂安全保密協議，明確安全和保密義務與責任。

　　本條規定了關鍵信息基礎設施運營者、服務商在采購網絡產品和服務時的安全責任和義務，防范外包服務安全，關注供應鏈安全。

　　建設、維護關鍵信息基礎設施，必然要向供應商采購相關產品和服務，產品和服務的供應鏈風險是關鍵信息基礎設施面臨的主要安全風險之一。本條在實踐做法的基礎上，要求關鍵信息基礎設施的運營者采購網絡產品和服務時，應當按照有關規定與提供者簽訂安全保密協議，明確安全和保密義務與責任。一是，關鍵信息基礎設施的運營者應當加強資質資信審查，慎重選擇網絡產品和服務的供應商；二是，應當按照規定與供應商簽訂保密協議，明確供應商的安全義務、保密義務及不履行義務應承擔的責任；三是，應當監督供應商進行設備安裝、測試、檢測、維修、安全維護等各方面的活動，留存操作記錄，保證供應商按照協議的規定履行安全和保密義務。

　　第三十七條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

　　本條規定了對關鍵信息基礎設施運營者的數據留存和提供的要求。

　　隨著經濟社會生活的日漸數字化，社會公共服務以及國家對經濟社會事務的管理等都高度依賴關鍵信息基礎設施，這也使關鍵信息基礎設施匯集了大量的個人信息和涉及國家安全、經濟安全的重要數據。這些重要數據如果轉移至境外，關鍵信息基礎設施的運營者對其控制力必將減弱，其安全風險將增加；同時我國境內的個人要維護其個人信息權利，有關機關依法行使職權需要查閱、調取、處置這些數據必將增加難度。

　　為了保護關鍵信息基礎設施存儲的個人信息和重要數據的安全，本條要求關鍵信息基礎設施的運營者將在我國境內運營中收集和產生的個人信息和重要數據在我國境內存儲。同時，本條考慮了關鍵信息基礎設施運營者跨境業務的需要和網絡服務的特點，規定因業務需要經過安全評估可以向境外這些數據，此項評估是為了監督并保證對這些數據的保護符合我國的安全要求和標準。本條還考慮到某些國際執法合作等需要，明確法律、行政法規可以作出特別的規定。根據本條規定，國家網信部門應當會同國務院有關部門制定關鍵信息基礎設施數據對外提供的安全評估辦法，以實施這一制度。

　　第三十八條關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

　　本條規定了關鍵信息基礎設施運營者開展安全檢測評估的規定。安全檢測評估活動主要包括等級測評、風險評估、滲透測試等第三方檢測機構的技術服務活動。關鍵信息基礎設施運營者開展檢測評估，分為兩種方式。一種方式是自行檢測評估，利用自己的技術力量開展，屬于自評估性質；另一種方式是委托網絡安全服務機構開展評估，是按照國家有關要求實施。對于后一種方式，關鍵信息基礎設施運營者要按照國家網絡安全等級保護制度要求，聘請符合有關要求的第三方測評機構，對第三級以上網絡系統，每年應開展一次等級測評、風險評估工作。這兩種方式不能混淆，不能相互替代，都要開展。

　　2014年8月1日，浙江溫州有線數字電視網被黑客攻擊，影響50萬用戶、30萬臺機頂盒，電視屏幕上出現大量違法信息和圖片，造成了嚴重的政治影響。案發原因是有線數字電視網與互聯網非法連接，說明網絡運營者網絡安全管理不規范，既缺乏監測手段，也沒有及時開展安全檢測并及時發現非法外聯。

　　第三十九條國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護采取下列措施：

　　（一）對關鍵信息基礎設施的安全風險進行抽查檢測，提出改進措施，必要時可以委托網絡安全服務機構對網絡存在的安全風險進行檢測評估；

　　（二）定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練，提高應對網絡安全事件的水平和協同配合能力；

　?。ㄈ┐龠M有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享；

　　（四）對網絡安全事件的應急處置與網絡功能的恢復等，提供技術支持和協助。

　　本條規定了關鍵信息基礎設施保護中應當統籌協調采取的措施。關鍵信息基礎設施涉及的范圍較廣，面臨的安全風險和威脅來自多個方面，有必要在關鍵信息基礎設施運營者和有關主管部門承擔安全保護工作的基礎上，建立統籌協作機制，發揮各方作用，共同應對這些風險和威脅。統籌協作是關鍵信息基礎設施保護制度的核心。

　　國家網信部門應當統籌協調有關部門積極支持，網絡安全職能部門、行業主管部門、信息安全企業等充分發揮作用，形成合力，支持關鍵信息基礎設施運營者對關鍵信息基礎設施的安全保護采取安全監測、通報預警、態勢感知、風險評估、應急演練、信息共享、應急處置等措施，建立關鍵信息基礎設施綜合防御體系，提高綜合防御能力。

　　在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。在此我們應該明確一點，即使你的系統安全水平高過等級保護對應等級，也就是即使你加強了防護，等級保護工作還是要做的，因為關鍵基礎設施的保護是在等級保護的基礎上進行的，滿足等級保護是基本安全要求也是前提，特殊的地方需要安全加固，增強保護也是理所當然的。在滿足前提的條件下，只能高于等級保護的要求，不能低于等級保護的要求的。

　　國家關鍵信息基礎設施的保護，離不開等級保護的這個基本國策的支撐。如何把國家關鍵信息基礎設施的信息系統的網絡安全等級保護做好，是擺在我們測評機構與國家關鍵信息基礎設施運營者面前的一個挑戰，我們將以我們在等級保護方面的專業知識，服務于廣大的客戶，做好基礎安全防護。進而在等級保護工作的基礎上服務國家關鍵信息基礎設施運營者，讓我們攜手未來，共同構建我國網絡安全的偉大藍圖，你我都是國家網絡安全前進的一份子。

　　網絡安全為人民，網絡安全靠人民！有你、有我、有他，有大家。