2021年8月17日，國務院正式發布《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）?！稐l例》將于2021年9月1日起施行，對關鍵信息基礎設施安全保護的適用范圍、監管主體、評估對象等做出了明顯界定，標志著我國網絡安全保護工作將進入以關鍵信息基礎設施為重點的新階段。

那《條例》發布后，對于網絡運營者而言，合規方向上，有哪些須重點關注的工作呢？

· 明確行業監管職責

條款要求：

《條例》第三條規定：在國家網信部門統籌協調下，國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作。國務院電信主管部門和其他有關部門依照本條例和有關法律、行政法規的規定，在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作。省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。

合規建議：

1.  完善行業關鍵信息基礎設施安全保護標準。

2.  開展行業關鍵信息基礎設施安全風險評估。

3.  進行行業關鍵信息基礎設施安全事件應急演練。

4.  開展行業關鍵信息基礎設施安全培訓教育。

5.  定期開展行業關鍵信息基礎設施安全監督檢查工作。

· 加強本行業本單位關鍵信息基礎設施認定工作

條款要求：

《條例》第九條規定：保護工作部門結合本行業、本領域實際，制定關鍵信息基礎設施認定規則，并報國務院公安部門備案。

制定認定規則應當主要考慮下列因素：

（一）網絡設施、信息系統等對于本行業、本領域關鍵核心業務的重要程度；

（二）網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度；

（三）對其他行業和領域的關聯性影響。

《條例》第十條規定，保護工作部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施，及時將認定結果通知運營者，并通報國務院公安部門。

解讀：

《條例》更著重于關鍵信息基礎設施范圍認定中的功能和后果，在明文列舉具體的關鍵信息基礎設施類型之前，突出表明評判設施性質的核心標準在于其是否“一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害、國計民生、公共利益”，凸顯了對關鍵信息基礎設施安全保護工作根本價值的深刻認識?！稐l例》對關鍵信息基礎設施的范圍進行了更加詳細的闡述，對認定原則進行了細化，認定要素包括本行業、本領域關鍵核心業務的重要程度，對系統破壞遭到的危害程度以及對其他相關行業和領域的橫向影響。

關鍵信息基礎設施保護范圍在突出核心標準上的范圍更大，將行業領域科研生產單位、新聞傳播單位等都納入到保護中。

合規建議：

各行業各領域需要清楚識別各自的關鍵基礎設施的范圍，建立相應目錄，做好認定工作，并及時通報公安部門，真正做到對關鍵信息基礎設施的理解深刻，認定準確，通報及時。

· 建立本單位關鍵信息基礎設施安全保護管理制度和管理機構

條款要求：

《條例》第十三條規定：運營者應當建立健全網絡安全保護制度和責任制，保障人力、財力、物力投入。運營者的主要負責人對關鍵信息基礎設施安全保護負總責，領導關鍵信息基礎設施安全保護和重大網絡安全事件處置工作，組織研究解決重大網絡安全問題。

《條例》第十四條規定：運營者應當設置專門安全管理機構，并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。

合規建議：

1.建立關鍵信息安全制度體系

建立三級或四級文件體系進行制度體系的建立。包括策略和方針（一級）；管理制度和管理辦法（二級）；相關流程和指南，模板（三級）；與制度相配套的日志，記錄等（四級）。

2.建立安全管理機構

建立數據安全管理機構，包含：決策層、管理層、執行層、監督層，擬訂關鍵信息基礎設施安全保護計劃

3.開展安全教育培訓

通過多種方式加強普通員工的安全意識培訓，加強關鍵崗位人員的專業能

力培訓和考核。

· 加強網絡安全防護能力建設，開展網絡安全監測、檢測和風險評估

條款要求：

《條例》第十五條規定：專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作，履行下列職責：組織推動網絡安全防護能力建設，開展網絡安全監測、檢測和風險評估；按照國家及行業網絡安全事件應急預案，制定本單位應急預案，定期開展應急演練，處置網絡安全事件；

《條例》第十七條規定：運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估，對發現的安全問題及時整改，并按照保護工作部門要求報送情況。

解讀：

行業網絡安全風險評估是該行業信息系統的根基，幫助信息系統管理者實時監測網絡安全，了解潛在威脅，合理利用現有資源開展規劃建設，節省信息系統建設總體投資，達到“以最小成本獲得最大安全保障”的效果，在未發生安全事故時進行“未雨綢繆”。

從風險管理角度來看，運用科學的方法和手段，系統地分析信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息安全風險，將風險控制在可接受的水平，從而最大限度地保障信息安全。

合規建議：

1.識別本單位關鍵信息基礎設施的類別并形成關鍵信息基礎設施資產列表。

2.委托專業機構或者自行進行每年至少進行一次的風險評估，輸出風險評估報告。

3.進行問題整改并將整改情況報告報送相關保護工作部門。

具體風險評估過程可參照國家標準《GB/T 20984-2007信息安全技術信息安全風險評估規范》或《GB/T 31509-2015信息安全技術 信息安全風險評估實施指南》進行。

· 制定事件應急預案

條款要求：

《條例》第十五條規定：按照國家及行業網絡安全事件應急預案，制定本單位應急預案，定期開展應急演練，處置網絡安全事件。

《條例》第二十五條規定：保護工作部門應當按照國家網絡安全事件應急預案的要求，建立健全本行業、本領域的網絡安全事件應急預案，定期組織應急演練；指導運營者做好網絡安全事件應對處置，并根據需要組織提供技術支持與協助。

解讀：

要求保護工作部門和本單位都應當指定應急預案，定期開展應急演練，熟練掌握應急流程，在遇到突發安全事件時，能夠臨危不亂，穩妥處置，并及時更新應急預案的演練內容。

合規建議：

1．制定應急預案，應急處理流程、系統恢復流程等。

2．制定應急演練計劃，并定期進行應急演練，輸出應急演練報告。

3．應定期對原有的應急預案重新評估，修訂完善。

具體應急演練過程可參照國家標準《GB/T 38645-2020信息安全技術 網絡安全事件應急演練指南》進行。

《關鍵信息基礎設施安全保護條例》為運營者提供了關鍵基礎設施安全保護的法律依據。中國金融認證中心（CFCA）作為以網絡安全綜合服務為核心的科技企業，專注金融業的安全合規發展，將從關鍵信息基礎設施的安全測評、風險評估、合規審計、建設咨詢、應急保障等方面提供專業、可靠、優質的服務，為國家各行業關鍵信息基礎設施的穩定運行保駕護航。

責任編輯：韓希宇