2016年11月7日,全国人民代表大会常务委员会表决通过了《中华人民共和国网络安全法》(下称“《网络安全法》”),并于2017年6月1日起正式实施。作为中国首部网络安全的根本大法,《网络安全法》的颁布,引起了社会各界的广泛关注。
《网络安全法》就保护网络安全这一主旨,主要通过以下三个制度对网络服务提供者的相关义务和责任作出了规范:(1)网络安全等级保护制度;(2)用户信息保护制度;和(3)关键信息基础设施重点保护制度。其中,关键信息基础设施制度最为受关注,主要原因在于这个概念系首次出现在我国的法律法规中,并对网络服务提供者设定了较高的法定义务和限制。
《网络安全法》实施,本文根据中央网信办下发的《关键信息基础设施确定指南(试行)》,就《网络安全法》中的关键信息基础设施范围作出解读,以期让更多的机构很好的理解《网络安全法》。
一、什么是关键信息基础设施?
关键信息基础设施是指面向公众提供的网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施包括:
1)网站类,如党政机关网站、企事业单位网站、新闻网站等;
2)平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;
3)生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
二、如何确定关键信息基础设施?
关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事故后可能造成的损失认定关键信息基础设施。
1、确定本地区、本部门、本行业的关键业务
可参考下图,结合本地区、本部门、本行业实际梳理关键业务。
2、确定关键业务相关的信息系统或工业控制系统
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管理监控系统等。
3、认定关键信息基础设施
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
三、被认定为关键信息基础设施意味着什么?
《网络安全法》第三十一条规定,关键信息基础设施除适用一般的网络安全等级保护制度之外,国家对其实施重点保护。
《网络安全法》第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查,同时在法律责任部分制定了对应罚则。
《网络安全法》第三十七条明确了关键信息基础设施相关信息跨境传输原则,即关键信
息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
以上三个条款,可以说是《网络安全法》中关键信息基础设施制度的核心条款,除此之外,还有很多条款对关键信息基础设施网络服务提供者设定了较高的法定义务和限制。详细见下图:
《网络安全法》引入了“关键信息基础设施”的概念,并在网络安全等级保护制度的基础之上实行重点保护。“关键信息基础设施”作为关乎国家安全和利益的战略性资源,其重要性无需多言,对“关键信息基础设施”在法律和制度层面进行重点保护乃是目前各国立法的大势所趋。
游侠安全网提示:
原文来自“陕西省测绘地理信息局”网站(http://www.shasm.gov.cn/detail.asp?id=18438),但是文中图片上有“太极TAIJI”的字样,应该是来自该公司的PPT,版权归原作者所有。
