经典分析5WIH，3分钟理解《关键信息基础设施保护条例》

天融信 2022-08-26

2021年8月17日，国务院总理李克强日前签署国务院令，公布《关键信息基础设施安全保护条例》（以下简称《条例》），自2021年9月1日起施行。

本文采用经典分析法5WIH（六何分析法，包含从原因Why、对象What、地点Where、时间When、人员Who以及方法How），带您深度还原《关键信息基础设施保护条例》。

What

《条例》讲了什么事？

关键信息基础设施是国家安全建设和发展的基石，是经济社会运行的神经中枢，是网络安全防护的重中之重。党中央、国务院高度重视关键信息基础设施安全保护工作，在中央网络安全和信息化委员会的统一领导下，《条例》正式出台，建立专门保护制度，明确各方责任，提出保障促进措施，有利于进一步健全关键信息基础设施安全保护法律制度体系。

Where

《条例》覆盖范围到哪？

《条例》保护对象为整体关键信息基础设施，覆盖范围包含公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

When

《条例》认证程序是何时？

《条例》自2021年9月1日起施行，其中关键信息基础设施认定步骤如下：

步骤1：重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。
步骤2：保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。
步骤3：保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。
步骤4：关键信息基础设施发生较大变化，可能影响其认定结果的，运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定，将认定结果通知运营者，并通报国务院公安部门。

Who

《条例》涉及到哪些责任方？

《条例》涉及对象有国家网信部门、保护工作部门、运营者、公安机关，并划定了不同部门应承担的责任，更针对避免行为、鼓励发展以及其他行为划定了措施。

Why

为何要出台《条例》？

《条例》出台原因可从国家与运营者两个层面解析。从国家层面来说，《条例》的出台是国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来自国内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动，保证任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全。

从运营者层面来说，《条例》出台后，运营者可依法依规开展关键信息基础设施保护工作，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

How

如何落实《条例》？

《条例》针对安全对应责任的落实做了具体要求，包含强化运营主体责任、细化安全保护要求、强化重点安全保障以及严格法律责任要求，竭力将责任落实到具体主体，将保护细化到具体要求，保障《条例》顺利落实。

强化运营主体责任

强调关键信息基础设施运营者在关键信息基础设施安全保护中承担主体责任，并对于运营者自身安全管理机制的设置进行了严格要求。

建立健全网络安全保护制度和责任制，保障人力、财力、物力投入；
强调主要负责人责任，明确运营者的主要负责人对关键信息基础设施的安全保护负责；
设立专门的安全管理机构，具体负责本单位关键信息基础设施的安全保护工作；
对关键岗位人员实施安全背景审查，其中包括运营者专门安全管理机构的负责人及其认定的关键岗位人员；
保障专门安全管理机构运行，为本单位专门安全管理机构提供经费和专业人员保障；
优先采购安全可信的网络产品和服务，规范网络产品和服务采购活动。

细化安全保护要求

强化关键信息基础设施的安全保护，在网络安全法的基础上对运营者提出了更高的安全防护要求。

实施规划、建设、使用“三同步”原则
建立健全网络安全管理、评价考核制度
拟订关键信息基础设施安全保护计划
开展网络安全监测、检测和风险评估
建立应急预案、演练和处置体系
认定网络安全关键岗位和考核要求
组织网络安全教育、培训
建立健全个人信息和数据安全保护制度
履行重大安全事件和威胁的报告义务
落实网络安全审查要求
提升监测预警和信息共享

强化重点安全保障

一是针对关键信息基础设施实施的漏洞探测、渗透测试等活动，应得到有关的部门批准、运营授权和事先报告；二是能源、电信行业为金融、水利和交通等行业关键信息基础设施稳定运行提供重要支撑及资源保障；三是基础电信网络具有基础性、全局性，承载着其他关键信息基础设施，对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告；四是国家将采取措施，优先保障能源、电信等关键信息基础设施安全运行。

严格法律责任要求

天融信赋能关键信息基础设施

为了更好地在关键信息基础设施安全保护工作中发挥安全企业的作用，天融信推出关键信息基础设施保护方案，通过对网络安全基础能力底座建设、动态综合网络安全防御能力的提升以及网络安全态势监管能力的加强，实现关键信息基础设施安全三重保障。首先是严格落实网络安全三同步和等级保护2.0要求，综合运用网络安全保护技术措施和管理措施，构建网络安全基础能力体系。其次是进一步加强关键信息基础设施保护能力建设，从识别认定、安全防护、检测评估、监测预警、事件处置等五个环节入手，形成一套技术领先、管理完善、运行高效的动态综合网络安全防御体系。同时借助安全态势感知平台与大数据存储分析技术，采集并分析关键信息基础设施系统相关安全数据，为关键信息基础设施安全保障工作提供良好的指导、监督和必要支撑。

关键信息基础设施关乎公众利益、经济秩序与国家安全，其安全建设更需要全社会共同努力。作为中国领先的网络安全、大数据与云服务提供商，天融信始终以成为“民族安全产业的领导者、领先安全技术的创造者、数字时代安全的赋能者”为企业目标，持续提升自主创新能力与核心竞争力，为关键信息基础设施安全保护提供优秀的解决方案和专业的产品及服务，不断夯实网络空间安全底座，筑牢关键信息基础设施安全防线，为保障国家安全贡献企业力量。

相·关·阅·读·

天融信工控安全产品全面入选赛迪《中国工控安全市场发展白皮书》

跟踪美国“国家网络安全的总统行政命令”——关注“关键软件”供应链安全1

成品油管道运营商遭攻击，关基安全还需构建“主动+纵深”防御体系

从工信部“三年行动计划”看天融信的过去和现在

论城市轨道交通网络安全不能承受之痛，天融信开出“治病良方”

热点推荐