经典分析5WIH,3分钟理解《关键信息基础设施保护条例》
2021年8月17日,国务院总理李克强日前签署国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。
What
《条例》讲了什么事?
Where
《条例》覆盖范围到哪?
When
《条例》认证程序是何时?
步骤1:重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。
步骤2:保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。
步骤3:保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
步骤4:关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。
Who
《条例》涉及到哪些责任方?
Why
为何要出台《条例》?
How
如何落实《条例》?
《条例》针对安全对应责任的落实做了具体要求,包含强化运营主体责任、细化安全保护要求、强化重点安全保障以及严格法律责任要求,竭力将责任落实到具体主体,将保护细化到具体要求,保障《条例》顺利落实。
1
强化运营主体责任
强调关键信息基础设施运营者在关键信息基础设施安全保护中承担主体责任,并对于运营者自身安全管理机制的设置进行了严格要求。
建立健全网络安全保护制度和责任制,保障人力、财力、物力投入;
强调主要负责人责任,明确运营者的主要负责人对关键信息基础设施的安全保护负责;
设立专门的安全管理机构,具体负责本单位关键信息基础设施的安全保护工作;
对关键岗位人员实施安全背景审查,其中包括运营者专门安全管理机构的负责人及其认定的关键岗位人员;
保障专门安全管理机构运行,为本单位专门安全管理机构提供经费和专业人员保障;
优先采购安全可信的网络产品和服务,规范网络产品和服务采购活动。
2
细化安全保护要求
强化关键信息基础设施的安全保护,在网络安全法的基础上对运营者提出了更高的安全防护要求。
实施规划、建设、使用“三同步”原则
建立健全网络安全管理、评价考核制度
拟订关键信息基础设施安全保护计划
开展网络安全监测、检测和风险评估
建立应急预案、演练和处置体系
认定网络安全关键岗位和考核要求
组织网络安全教育、培训
建立健全个人信息和数据安全保护制度
履行重大安全事件和威胁的报告义务
落实网络安全审查要求
提升监测预警和信息共享
3
强化重点安全保障
4
严格法律责任要求
天融信赋能关键信息基础设施
为了更好地在关键信息基础设施安全保护工作中发挥安全企业的作用,天融信推出关键信息基础设施保护方案,通过对网络安全基础能力底座建设、动态综合网络安全防御能力的提升以及网络安全态势监管能力的加强,实现关键信息基础设施安全三重保障。首先是严格落实网络安全三同步和等级保护2.0要求,综合运用网络安全保护技术措施和管理措施,构建网络安全基础能力体系。其次是进一步加强关键信息基础设施保护能力建设,从识别认定、安全防护、检测评估、监测预警、事件处置等五个环节入手,形成一套技术领先、管理完善、运行高效的动态综合网络安全防御体系。同时借助安全态势感知平台与大数据存储分析技术,采集并分析关键信息基础设施系统相关安全数据,为关键信息基础设施安全保障工作提供良好的指导、监督和必要支撑。
相·关·阅·读·