数据安全 | 如何识别关键信息基础设施边界
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:《关键信息基础设施安全保护条例》;关键信息基础设施;《信息安全技术 关键信息基础设施边界确定方法(征求意见稿)》;边界识别;基本原则
本文约2404字,大约需要阅读5分钟。
上一篇,本公众号对2021年9月1日即将实施的《关键信息基础设施安全保护条例》(以下简称“《条例》”)进行了简要介绍。这次我们趁热打铁,对关键词——关键信息基础设施的边界作出进一步解读。
2020年8月10日,全国信息安全标准化技术委员会在其网站发布了《信息安全技术 关键信息基础设施边界确定方法(征求意见稿)》(以下简称“《确定方法》”),同时发布的还有《确定方法》的标准文本和编制说明等文件。该《确定方法》由国家信息技术安全研究中心、国家能源局信息中心、交通运输信息安全中心有限公司以及中国移动、腾讯、华为等近20家研究机构、企业联合起草,由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
经与全国信息安全标准化技术委员会确认,该《确定方法》尚未正式发布,后续经送审和报批程序后会予以公布。虽为征求意见稿,但该《确定方法》对什么是关键信息基础设施、确定关键信息基础设施边界的基本原则等内容已有详细的规定。
确认关键信息基础设施边界的重要性
识别和确定关键信息基础设施边界,是开展关键信息基础设施安全保护工作的前提。关键信息基础设施边界识别,是在行业主管部门认定关键业务之后,由关键信息基础设施运营者对关键业务进一步分析、梳理,将关键业务持续、稳定运行不可或缺的网络设施、信息系统识别出来,为保护、审查、应急处置等工作提供依据。
主要术语的定义和内涵
1.关键业务 critical business
电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技等行业和领域中一旦遭到破坏或者丧失功能,会严重危害国家安全、经济安全、社会稳定、公众健康和安全的业务。
注:相较于《网络安全法》而言,《关键信息基础设施安全保护条例》对关键信息基础设施所涉及的行业领域新增了“国防科技工业”,而《确定方法》也已将“国防科技”纳入了关键业务范围。
2.网络设施 network facilities
连接通信信息网络(例如,互联网、物联网、工控网、专用网等)以及在上述网络中对信息进行设计、采集、整合、处理、呈现、应用、存储、销毁等操作的物理设备。
3.信息系统 information system
由计算机软硬件、网络及其相关配套设备、信息资源等组成的,按照一定规则对信息进行设计、采集、整合、处理、呈现、应用、存储、销毁等操作的人机系统。
4.关键信息基础设施
critical information infrastructure
支撑关键业务持续、稳定运行不可或缺的网络设施、信息系统。在形态构成上,可以是单个网络设施、信息系统,也可以是由多个网络设施、信息系统组成的集合。在本质上,属于关键业务的信息化部分,为关键业务提供信息化支撑。
5.关键业务信息
critical business information
关键业务持续、稳定运行不可或缺的信息,是关键信息基础设施元素对关键业务提供信息化支撑的桥梁和纽带。关键信息基础设施元素通过对关键业务信息进行设计、采集、整合、处理、呈现、应用、存储、销毁等操作,支撑关键业务自动化、智能化、高效运行。
6.关键业务信息流
critical business information flow
关键业务信息从产生到终止,在整个生存周期内的流动轨迹,处于该流动轨迹上的网络设施、信息系统是关键信息基础设施候选元素,经关键性评估,一旦遭到攻击、丧失功能或者数据泄露会严重危害关键业务持续、稳定运行的网络设施、信息系统列为关键信息基础设施元素。
7.关键信息基础设施边界
critical information infrastructure boundary
以关键业务为基础,由识别方法和关键信息基础设施元素构成,反映关键信息基础设施元素与关键业务之间的支撑、依赖关系以及关键信息基础设施元素的分布、部署情况,是开展保护、审查、应急处置等工作的重要依据。
关键信息基础设施边界识别的基本原则
1.业务安全原则
关键信息基础设施的重要性,不是指组成关键信息基础设施的网络设施、信息系统很重要,而是因为关键信息基础设施所支撑的关键业务非常重要。关键信息基础设施一旦遭到攻击、丧失功能或者数据泄露会严重危害关键业务正常运行,进而危害国家安全、经济安全、社会稳定、公众健康和安全。因此,关键信息基础设施边界识别应以保障关键业务安全为基本原则,将关键业务持续、稳定运行不可或缺的网络设施、信息系统识别出来,明确关键信息基础设施元素、确定关键信息基础设施边界。
注:例如,2G移动通信网络曾是国家重点保护目标,时至今日,支撑2G移动通信业务的网络设施、信息系统已失去了重点保护的意义,因为2G移动通信业务已被3G、4G甚至5G通信业务所取代。
2.整体性原则
随着经济社会的不断发展,业务规模越来越大,不同业务模块、子业务之间相互依赖、彼此支撑,关键信息基础设施边界识别应注重关键业务的整体性,确保关键业务的完整性,避免遗漏。
此外,跨行业、跨领域已是普遍现象,涉及多个运营者的,应加强信息共享和联动协调,确保关键信息基础设施边界识别是从保障整个关键业务安全的角度开展。
注:例如,导航业务涉及到卫星、通信链路和直接向用户提供导航服务的三个部分,且每部分由不同的运营者负责经营。每个运营者在开展关键信息基础设施边界识别时,首先应确保自身经营业务的完整,还应注重整体协调,从保障整个导航业务持续、稳定的角度考虑。
3.重要性原则
在关键信息基础设施运营者所有网络设施、信息系统中,有些网络设施、信息系统对关键业务的持续、稳定运行是至关重要的,有些网络设施、信息系统仅仅是比较重要的,甚至有一些网络设施、信息系统对关键业务是无关紧要的。因此,开展关键信息基础设施边界识别应聚焦一旦遭到破坏、丧失功能或者发生数据泄露,会严重危害关键业务持续、稳定运行的网络设施、信息系统,严格控制范围。
4.动态识别原则
关键信息基础设施与关键业务之间的支撑、依赖关系是动态的,而非静态的。关键信息基础设施边界识别应采用动态工作方式,及时更新关键信息基础设施边界信息。
当关键信息基础设施运营者的组织结构、业务架构、从属关系等发生重大调整时,应及时实施边界识别工作,确保关键信息基础设施边界及时调整。
基于《确定方法》的“国家标准”(GB)属性,该《确定方法》还给出了详细的关键信息基础设施边界识别模型、方法和流程。随着《关键信息基础设施安全保护条例》的出台实施,建议关键信息基础设施运营者可提前参照该《确定方法》开展关键信息基础设施边界识别工作,进一步保障企业运营的合法合规,防范相关违规风险。
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
关键词:区块链;人工智能;大数据;智能合约;涉外法
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
立法动态|浙江省发布《数字化改革 公共数据分类分级指南》省级地方标准
点一下在看再走吧