您好,欢迎访问bet356不可以提款?_博彩bet356安卓_bet356注册送19!

服务热线:027-87518899

传 ??????真:027-87693559

NEWS?CENTER

当前位置:首页>>律师随笔

律师随笔

关键信息基础设施——《网络安全法》解读之(二)

  • 发布者:网站管理员
  • 上传时间:2018-01-31
  • 浏览次数:897
  • 返回上级


本文作者




在2017年6月1日开始施行的《中华人民共和国网络安全法》(下称“《网络安全法》”)中规定了“关键信息基础设施(CII)”提供者的相关义务和规则,对其在网络运营者的义务基础上,增加了特殊的责任。总的来看,《网络安全法》多为原则性的规定,缺乏具体细化的措施。


随后,国家互联网信息办公室于2017年7月12日发布了《关键信息基础设施安全保护条例(征求意见稿)》(下称“《安全保护条例》”)。该条例属于《网络安全法》的重要配套规定和下位法,对于关键信息基础设施有比较具体细化的规定。


另外,在2016年6月中央网信办网络安全协调局制定的《国家网络安全检查操作指南》(下称“《操作指南》”)中也有关于关键信息基础设施的细则规定。下面,本文将结合《网络安全法》、《安全保护条例》和《操作指南》三份规范性文件对关键信息基础设施(CII这一主题进行解读


一、关键信息基础设施的定义及范围


对于何为关键信息基础设施,《网络安全法》、《安全保护条例》以及《操作指南》中都是采用了“特定行业范围+严重危害后果”的方式来进行定义,因此在定义的同时,也会明确涉及一些特定的行业。



? ? 从上表可以看出,《网络安全法》所直接提及的行业范围相对较少,而在《安全保护条例》和《操作指南》中则更为丰富具体,其中有同时都明确提及的,也有仅单独提及的。我们认为,
凡是在任何一份规范性文件中有所提及且一旦发生网络安全事件,可能造成严重后果的都应属于CII的范畴。企业可以根据上表的内容初步评估所属的网络系统是否属于CII。


二、关键信息基础设施的识别规则


虽然对CII有了初步的定义,但是该如何具体的识别CII,仍然需要进一步细化的规则进行指引。因此,《安全保护条例》第19条为下一步细则规范的出台进行了授权并做出了一些原则性的规定。


具体来说,《安全保护条例》第19条第1款明确了“国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南”,同时第2款和第3款规定“国家行业主管或监管部门按照关键信息基础设施识别指南,组织识别本行业、本领域的关键信息基础设施,并按程序报送识别结果。关键信息基础设施识别认定过程中,应当充分发挥有关专家作用,提高关键信息基础设施识别认定的准确性、合理性和科学性”。在后续的“关键信息基础设施识别指南”尚未出台的情况下,《操作指南》中的确定的CII确定规则在目前就成为最有参考价值的一项标准。


《操作指南》中提出了CII确定的三步法,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。


《操作指南》中对三步法的操作又有具体的指引:

对于确定关键业务,《操作指南》明确了需结合本地区、本部门、本行业的实际来梳理关键业务,并做了示例。以“电信与互联网”为例,关键业务就应包括域名解析服务、数据中心云服务、语音数据互联网基础网络及枢纽等业务。


◆?对于确定支撑关键业务的信息系统或工业控制系统,则应当根据关键业务,逐一梳理出支撑关键业务运行或关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。比如火电企业的发电机组控制系统、管理信息系统。


对于认定关键基础设施的量化标准,《操作指南》则列举了网站类、平台类和生产业务类三种具体情况的相应量化标准。比如对于平台类,规定注册用户超过1000万、活跃用户超过100万或者日交易额超过1000万的,就可认定为CII;对于生产业务类,规模超过1500个标准机架的数据中心、地市级以上政府面向公众服务的业务系统,也都可认定为CII。


三、关键信息基础设施运营者的安全保护义务及法律责任


《网络安全法》中对关键信息基础设施作出特别的规定,对于企业而言,最为重要的就是要了解关键信息基础设施运营者(CIIO)的安全保护义务。


在本系列解读的第一篇《网络安全法下的企业责任》中,我们已经梳理了《网络安全法》中CIIO的安全保护义务。而《安全保护条例》中则对CIIO做出了更加全面、细致的安全保护义务要求,我们将具体的安全保护义务和相应的法律责任梳理如下:



综上,本文结合《网络安全法》、《操作指南》以及还在征求意见中的《安全保护条例》,从CII的定义及范围、CII的识别规则和CIIO的安全保护义务及法律责任三个主要角度对关键信息基础设施这一主题进行了解读,鉴于后续正式出台的《安全保护条例》可能会有一定的变化,并且可能还会有进一步的细则出台,因此,我们还会对这一问题进行持续跟踪研究。我们认为,企业尤其是可能被判定为属于CIIO的主体,及早按照《安全保护条例》征求意见稿、《操作指南》对自身进行网络安全合规检查和完善相应制度是很有必要的。


版权所有:bet356不可以提款?_博彩bet356安卓_bet356注册送19

技术支持:信荣科技