《关键信息基础设施安全保护条例》正式颁布——

　　中国网络安全保护进入新阶段

　　◎本报记者 刘 艳 实 习 生 谢雨鲲

　　国务院总理李克强日前签署国务院令，公布《关键信息基础设施安全保护条例》(以下简称《条例》)，自2021年9月1日起施行。

　　中国信息通信研究院院长余晓晖说：“我国网络安全保护自此进入以关键信息基础设施安全保护为重点的新阶段。作为网络安全法的重要配套立法，《条例》积极应对国内外网络安全保护的主要问题和发展趋势，为下一步加强关键信息基础设施安全保护工作提供了重要法治保障。”

　　这是我国首部专门针对关键信息技术设施安全保护工作的行政法规。

　　志翔科技高级副总裁伍海桑博士对科技日报记者说：“关键信息基础设施是网络安全保障的核心，针对这一关乎国家安全和利益的战略性资源，《条例》从范围定义、责任义务归属、实施落地甚至追责等方面，进行了细致具体的规定，进一步明确了‘要做什么’和‘如何去做’，将有力指导各环节的分工定责和贯彻执行。”

　　全国信息安全标准化委员会委员、北京威努特技术有限公司首席技术官黄敏介绍，《条例》进一步明确了关键信息基础设施的具体范围和判断标准，即一旦遭到破坏、丧失功能或者数据泄露，可能严重危害涉及国家安全、国计民生、公共利益的重要网络设施和信息系统。公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域等都包含在内。

　　奇安信集团安全专家杨波表示，从《条例》看，关键信息基础设施的认定，行业主管部门有重要决定权，是否属于关键信息基础设施，核心要看业务是否重要。关键信息基础设施的范围会随着业务的影响而改变，随着信息化潮流的发展，肯定会逐年扩展。

　　《条例》通过明确各级责任，拉起了一个国家统筹和监督部门、行业保护部门、运营者多级的立体化协同综合防控体系。

　　杨波说：“无论从网络安全理论还是实践看，攻击都是无法完全避免的，因此只能通过安全保护能力的提升来尽可能延长攻击成功的时间，同时通过协同机制尽可能加快风险检测和风险处置的时间。构建立体化的综合防控体系，旨在通过共享情报、掌握全局态势、贯通多级指挥调度，快速处置有组织、大规模的网络攻击事件。”

　　对实施危害关键信息基础设施安全活动的个人和组织，或未经授权或批准，对关键信息基础设施实施漏洞探测、渗透性测试等活动的个人和组织，《条例》作了哪些规范？

　　司法部、网信办、工业和信息化部、公安部负责人就《条例》在答记者问中指出：任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全；未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动；对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。

　　(科技日报北京8月17日电)

为维护网络安全提供坚强后盾——四部门负责人就《关键信息基础设施安全保护条例》答记者问

      新华社北京8月17日电 题：为维护网络安全提供坚强后盾——四部门负责人就《关键信息基础设施安全保护条例》答记者问

　　新华社记者 白阳

　　近日，国务院公布《关键信息基础设施安全保护条例》，自2021年9月1日起施行。司法部、国家网信办、工业和信息化部、公安部负责人就条例有关问题回答了记者提问。

　　问：请简要介绍一下条例出台的背景。

　　答：保障关键信息基础设施安全，对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。当前，关键信息基础设施面临的网络安全形势日趋严峻，网络攻击威胁上升，事故隐患易发多发，安全保护工作还存在法规制度不完善、工作基础薄弱、资源力量分散、技术产业支撑不足等突出问题，亟待建立专门制度，明确各方责任，加快提升关键信息基础设施安全保护能力。

　　问：开展关键信息基础设施安全保护工作，各部门的职责分工是什么?

　　答：在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作；国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

　　问：关键信息基础设施如何认定?

　　答：一是明确关键信息基础设施的定义。

　　二是明确关键信息基础设施所在行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。

　　三是明确由保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并组织认定本行业、本领域的关键信息基础设施。

　　四是规定关键信息基础设施发生较大变化，可能影响其认定结果时，运营者应当及时报告保护工作部门，由保护工作部门重新认定。

　　问：条例对保护工作部门职责作了哪些规定？

　　答：一是制定关键信息基础设施安全规划，明确保护目标、基本要求、工作任务、具体措施。

　　二是建立健全网络安全监测预警制度，及时掌握关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作。

　　三是建立健全网络安全事件应急预案，定期组织应急演练。

　　四是指导运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助。

　　五是定期组织开展网络安全检查检测，指导监督运营者及时整改安全隐患、完善安全措施。

　　问：为强化和落实关键信息基础设施运营者主体责任，条例作了哪些规定?

　　答：条例要求运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

　　有关义务要求主要包括：

　　一是建立健全网络安全保护制度和责任制，实行“一把手负责制”，明确运营者主要负责人负总责，保障人财物投入。

　　二是设置专门安全管理机构，履行安全保护职责，参与本单位与网络安全和信息化有关的决策，并对机构负责人和关键岗位人员进行安全背景审查。

　　三是对关键信息基础设施每年进行网络安全检测和风险评估，及时整改问题并按要求向保护工作部门报送情况。

　　四是关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，按规定向保护工作部门、公安机关报告。

　　五是优先采购安全可信的网络产品和服务，并与提供者签订安全保密协议；可能影响国家安全的，应当按规定通过安全审查。

　　问：对实施危害关键信息基础设施安全活动的个人和组织，或未经授权或批准，对关键信息基础设施实施漏洞探测、渗透性测试等活动的个人和组织，条例有哪些规定?

　　答：条例明确，任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全。

　　未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。

　　条例还在法律责任章节中对此作出专门规定。

　　问：关键信息基础设施中的重要数据出境如何进行?

　　答：根据网络安全法规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。