2021年4月27日国务院常务会议通过 · 2021年9月1日起施行
一句话概括
这是《网络安全法》中”关键信息基础设施保护”专章的落地配套法规,把法律原则变成了可操作的实施细则。
一、什么是”关键信息基础设施”?
法定定义
关键信息基础设施(CII),是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
通俗理解
二、谁来认定?怎么认定?
认定机制
| 环节 | 责任主体 |
|---|---|
| 制定认定规则 | 保护工作部门(各行业主管部门) |
| 具体认定 | 保护工作部门 |
| 通知运营者 | 认定后及时通知运营者,并通报国务院公安部门 |
| 动态调整 | 根据实际情况及时调整,重新通知 |
要点
- CII认定是动态的,不是一劳永逸
- 运营者必须被告知自己被认定为CII
- 认定规则需报国务院公安部门备案
三、运营者的核心义务(重点)
组织机构建设
- 设置专门安全管理机构
- 指定安全负责人
- 对负责人和关键岗位人员进行安全背景审查
网络安全保护
- 实行网络安全等级保护制度(在等保基础上加强保护)
- 保证安全投入
- 建设网络安全保护平台,实现安全监测和预警
密码应用
- 依照法律法规和国家标准使用密码技术
- 使用商用密码进行保护
采购与供应链安全
- 采购网络产品和服务,可能影响国家安全的,须通过国家安全审查
- 优先采购安全可信的网络产品和服务
- 与提供者签订安全保密协议
数据本地化与出境
- 在境内运营中收集和产生的个人信息和重要数据,应当在境内存储
- 确需向境外提供的,须通过国家网信部门组织的安全评估
安全检测与风险评估
- 每年至少进行一次网络安全检测和风险评估
- 发现安全问题及时整改
- 检测评估情况须报送保护工作部门
事件报告与应急响应
- 制定应急预案,定期演练
- 发生故障或安全事件时,立即启动应急预案
- 及时向保护工作部门和公安机关报告
数据泄露报告
- 发生或可能发生数据泄露时,立即采取补救措施
- 通知可能受影响的用户
- 向保护工作部门和网信、公安等部门报告
四、国家层面的保障机制
统筹协调
- 国家网信部门负责统筹协调
- 国务院公安部门负责指导监督
- 保护工作部门负责本行业、本领域的保护工作
监测预警
- 建立关键信息基础设施网络安全监测预警制度
- 建立信息通报制度
- 建立信息共享机制
检测评估
- 国家网信部门统筹组织抽查检测
- 保护工作部门组织本行业检测评估
应急演练
- 定期组织应急演练
- 提高应对重大网络安全事件的能力
技术支持
- 国家支持网络安全技术研究和应用
- 支持人才培养
- 促进产业发展和国际合作
五、法律责任速览
| 违法情形 | 处罚 |
|---|---|
| 未设置安全管理机构或安全负责人 | 责令改正,警告 |
| 未履行网络安全保护义务 | 责令改正,罚款(10万-100万元) |
| 未按规定进行安全检测评估 | 责令改正,警告 |
| 未在境内存储个人信息和重要数据 | 责令改正,警告,没收违法所得 |
| 使用未经安全审查的产品和服务 | 责令停止使用,罚款(采购金额1-10倍) |
| 发生重大网络安全事件未及时报告 | 责令改正,罚款(10万-100万元) |
发布者:电码客,转转请注明出处:https://www.itrenonline.com/key.html
评论列表(1条)
[…] 《关键信息基础设施安全保护条例》(2021) […]