“关键信息基础设施是经济社会运行的神经中枢。保障关键信息基础设施的安全,对维护国家网络安全、网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有十分重大的意义。”8月24日,在国务院政策例行吹风会上,国家互联网信息办公室副主任盛荣华开门见山地谈到《关键信息基础设施安全保护条例》(以下简称《条例》)的重大意义,《条例》将于9月1日正式施行。
盛荣华表示,关键信息基础设施面临的网络安全形势严峻复杂,特别是新冠肺炎疫情发生以来,高级持续性威胁、网络勒索、数据窃取等事件频发,相关工作也存在资源力量分散、技术产业支撑不够等短板,“需要我们建立专门的制度,进一步明确各方责任,加快提升关键信息基础设施安全保护的能力”。
压实运营者的主体责任
盛荣华强调,要压实关键信息基础设施保护的各方面责任,包括运营者的主体责任、保护部门的协调统筹监督管理责任、社会各方面的协同配合和监督责任。其中,运营者的主体责任是基础、是关键。他介绍,《条例》的总则部分对其作了原则性规定,还有细化要求的专章。
对此,国家互联网信息办公室网络安全协调局局长孙蔚敏进一步解释:要建立健全网络安全保护制度和责任制,实行一把手负责制,保障人力、财力、物力的投入;设置专门的安全管理机构参与网络安全和信息化的决策,开展网络安全检测和风险评估并及时整改;建立并落实网络安全事件和网络安全威胁的报告制度;优先采购安全可信的网络产品和服务,按照规定申报网络安全审查。
工业和信息化部网络安全管理局局长隋静也表示,将加快修订《通信网络安全防护管理办法》,健全行业网络安全标准体系,制定出台行业关键信息基础设施安全保护系列标准,并推动落地。此外也将进一步健全安全技术能力体系,加强行业安全监督检查,支持面向关键信息基础设施的安全技术创新应用。
企业上市必须确保国家网络安全
公安部网络安全保卫局局长王瑛玮表示,《条例》从我国国情出发,借鉴国外通行做法,规定了关键信息基础设施的定义、范围和认定程序。
对于认定的核心标准,根据《条例》规定,主要考虑网络设施、信息系统等对本行业、本领域关键核心业务起到基础支撑作用;网络设施、信息系统等一旦遭到破坏,丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益;对其他行业和领域具有重要关联性影响。
“关键信息基础设施保护工作部门将重点考虑以上因素,结合本行业、本领域实际,制定关键信息基础设施的认定规则,报国务院公安部门备案,并根据认定规则,组织本行业、本领域的关键信息基础设施认定。”王瑛玮说。
盛荣华特别说明,企业所有制的形式不作为关键信息基础设施认定的依据或条件。
他明确表示,《条例》并不是针对外贸以及境外上市而出台的。无论是哪种类型的企业,无论在哪里上市,必须符合国家的法律法规,必须确保国家的网络安全、关键信息基础设施的安全、个人信息保护的安全等,“符合这两条就不受影响,不符合这两条就一定会受影响”。
