您可以在百度里搜索“网络安全法和网络安全等级保护2 艾草文学(www.321553.xyz)”查找最新章节！

　　3.7 关键信息基础设施运营者角度

　　《网络安全法》第三章“网络运行安全”的第二节为“关键信息基础设施的运行安全”，首次明确规定了关键信息基础设施的定义和具体保护措施。这些规定贯彻了习近平总书记的重要讲话精神和《国家安全法》的相关重要规定，对于切实维护我国网络空间主权与网络空间安全具有重大而深远的意义。

　　习近平总书记明确指出，“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标”。这些基础设施一旦被攻击，可能导致交通中断、金融紊乱、电力瘫痪等问题，具有很大的破坏性和杀伤力。从世界范围来看，各个国家网络安全立法的核心就是保护关键基础设施。

　　3.7.1 关键基础设施的范围

　　关键信息基础设施安全防护关乎国计民生。关键信息基础设施的安全保护已上升至国家战略高度。近年来，关键基础设施领域已然成网络攻击重灾区，尤其是金融、交通、能源行业。“震网”病毒作为第一个专门定向攻击关键基础设施的病毒已作为教科书般的案例，让关键基础设施的安全问题成为全球瞩目的焦点。

　　关键信息基础设施是指面向公众提供的网络信息服务或支撑能源、交通、水利、金融、公共服务、电子政务、公用事业等重要行业和领域以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。

　　“关键信息基础设施”是指“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的”信息基础设施。这一定义明确了关键信息基础设施的“关键”就是指事关国家安全、国计民生和公共利益，将关键信息基础设施保护提升到维护国家安全和公共安全的高度，与习近平总书记所强调的关键信息基础设施是“经济社会运行神经中枢”论断相符合，也符合世界各国从国家安全高度保护关键基础设施的通行做法。这既突出了保护重点，避免将过多信息系统纳入监管而增加某些主体负担，也有利于统筹安排关键信息基础设施保护的立法体系。

　　依据《关键信息基础设施安全保护条例（征求意见稿）》，关键信息基础设施保护范围界定如下：

　　（一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

　　（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

　　（三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

　　（四）广播电台、电视台、通讯社等新闻单位；

　　（五）其他重点单位。

　　3.7.2 具有中国特色的网络安全管理机制

　　特色的网络安全管理机制主要表现为如下三方面。一是在《国家安全法》确立的信息网络产品与服务的国家安全审查制度基础上，进一步提出了关键信息基础设施运营者采购网络产品和服务的网络安全审查制度；二是确立了关键信息基础设施的重要数据跨境安全评估制度；三是确立在网络安全等级保护制度的基础上，实行关键信息基础设施的重点保护。

　　在主管部门职责方面，明确规定负责关键信息基础设施安全保护工作的部门，要按照国务院规定的职责分工，分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。这既明确了相关主管部门要在职权范围内切实履行保护关键信息基础设施的职责，也规定了分行业、分领域制定专门保护规划的基本工作方法。

　　3.7.3 严格的日常安全保护义务

　　在日常安全维护方面，关键信息基础设施运营者既要遵循网络安全等级保护制度对一般信息系统的安全要求，也要履行更严格的安全保护义务。

　　《网络安全法》第三十四条规定，除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

　　（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

　　（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

　　（三）对重要系统和数据库进行容灾备份；

　　（四）制定网络安全事件应急预案，并定期进行演练；

　　（五）法律、行政法规规定的其他义务。

　　第二十一条是指国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

　　（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

　　（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

　　（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

　　（四）采取数据分类、重要数据备份和加密等措施；

　　（五）法律、行政法规规定的其他义务。

　　实行网络安全等级保护制度主要包括：制定内部安全管理制度和操作规程，采取预防性技术措施，监测网络运行状态并留存网络日志以及重要数据备份和加密等。安全保护义务包括对“人”的安全义务和对“系统”的安全义务两方面：对“人”的安全义务包括设置专门的管理机构和负责人、对负责人和关键岗位人员进行安全背景审查、定期对从业人员进行教育培训和技能考核；对“系统”的安全义务包括对重要系统和数据库进行容灾备份、制定网络安全事件应急预案并定期组织演练等。

　　第三十八条规定了对于关键信息基础设施整体安全性和可能存在的风险，还规定了定期检测评估制度。关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

　　关键信息基础设施的运营者不履行本法第三十四条、第三十八条规定的网络日常安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

　　3.7.4 特殊的安全保障义务

　　鉴于关键信息基础设施的重要性，对于其供应链安全和数据留存传输作出了特殊规定。

　　第三十五条规定，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

　　第三十六条规定，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。

　　规定关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，这些网络产品和服务应当通过国家安全审查。国家安全审查属于《国家安全法》第五十九条规定建立的国家安全审查制度的一部分，属于对影响或者可能影响国家安全的“网络信息技术产品和服务”的审查。国家安全审查由国家网信部门会同国务院有关部门组织实施。此外，采购这些网络产品和服务时，关键信息基础设施运营者应当与提供者签订安全保密协议，明确安全和保密义务与责任。

　　第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

　　如果在特殊安全保障义务方面没有做到，则需要承担法律责任。

　　关键信息基础设施的运营者不履行本法第三十六条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

　　关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

　　关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

　　3.7.5 重点行业需要关注的十项重点工作

　　1.网络安全等级保护制度

　　《网络安全法》第二十一条确定，实施网络安全等级保护制度，从国家制度上升为国家法律。第三十一条要求，对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

　　2.网络建设三同步原则

　　《网络安全法》第三十三条规定，建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

　　建议从项目立项、安全需求、安全设计、安全开发、安全测试、系统上线、系统验收、系统废止全生命周期落实三原则。

　　3.网络安全事件应急预案，并定期组织演练

　　应急预案应覆盖所有网络安全场景，对相关人员开展应急预案培训。结合发生的安全事件和面临的安全风险，制定符合自身组织架构的网络安全应急预案，同时，预案中明确内部及业务部门的应急响应责任，准备措施以及应对突发事件的配合机制，并组织演练。

　　4.建立健全网络安全监测预警和信息通报制度

　　充分利用大数据分析和云计算技术，开展资产感知、脆弱性感知、安全事件感知和异常行为感知工作。加强网络安全信息的合作、分享，提高保障能力，建立分析报告和情报共享、研判处置和通报应急工作机制。一定要坚决杜绝心存侥幸、瞒报、少报安全事件的发生。

　　5.数据主权工作

　　根据国家网络空间主权原则，可依法对境外个人或组织对我国境内的网络破环活动行使司法管辖权，即具有域外的效力。

　　《网络安全法》第七十五条特别规定，“境外的个人或者组织从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追求法律责任；国务院公安部门和有关部门并可以决定对该个人或者组织采取冻结财产或者其他必要的制裁措施。”

　　6.落实安全审查制度

　　对可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。同时，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。

　　安全产品或服务采用强制性标准要求，并通过具备资格的机构安全认证合格或者安全检测符合要求。

　　7.开展内部审计

　　《网络安全法》规定，重要行业要主动开展审计工作，否则会受到处罚。

　　不采用三同步、不履行义务、不签署安全保密协议、不开展风险评估，对主管部门处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

　　使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

　　在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

　　8.建立实施关键信息基础设施保护制度

　　制度要坚持技术和管理并重、保护和震慑并举的原则。技术要覆盖安全识别、防护、检测、预警、响应、处置、恢复等环节。行业部门需要在管理、技术、人才、资金等方面加大投入。

　　9.个人信息安全

　　重要行业邀请确保其收集的个人信息安全，防止信息泄露、毁损、丢失。

　　对于个人信息收集或使用环节应以明确、易懂和合理的方式如实公示其收集或使用个人信息的目的、个人信息的收集和使用范围、个人信息安全保护措施等信息，接受公共监督。

　　在个人信息保护制度实施过程中，要做好审计、权限分配和访问控制，避免因内部工作人员借职权便利，违规查询或批量下载客户个人信息和交易记录。

　　10.工业控制系统、大数据、云平台、物联网等新技术网络安全

　　随着技术的发展，行业部门在大数据平台、“互联网+”创新应用、数据中心方面有需求。同时，以生产控制系统为主导的工业控制系统是重中之重，不容忽视。 网络安全法和网络安全等级保护2