《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 關保條例最新解讀:監(jiān)管體系,、認定標準及合規(guī)義務

關保條例最新解讀:監(jiān)管體系,、認定標準及合規(guī)義務

2021-08-29
來源:數(shù)字科技說
關鍵詞: 關保條例

  2021年8月17日,歷經(jīng)三年以上征求意見,,國務院正式發(fā)布《關鍵信息基礎設施安全保護條例》(下稱“關保條例”),將于2021年9月1日起與《數(shù)據(jù)安全法》同步實施,。

  結(jié)合相關立法趨勢,、監(jiān)管執(zhí)法實踐及項目經(jīng)驗,匯業(yè)律師事務所網(wǎng)數(shù)法律團隊簡要解讀《關保條例》如下,,僅供業(yè)界參考,。

  一、部分法律文件

  二,、分級保護

  通過一系列立法,、執(zhí)法實踐,我國開創(chuàng)性的建立起網(wǎng)絡,、數(shù)據(jù)監(jiān)管與保護的分類分級模式,,其中就包括“分等級保護、分等級監(jiān)管”,,具體體現(xiàn)在:

 ?。ㄒ唬┚W(wǎng)絡分級

  根據(jù)《網(wǎng)絡安全法》、《關保條例》及1960號文等規(guī)定,,等保是基礎,,關保是重點保護,但二者沒有直接的對應關系,。即,,盡管有 “重點保障關鍵信息基礎設施和第三級以上網(wǎng)絡的安全”的要求,但實踐中,,MLPS3的網(wǎng)絡或系統(tǒng)不必然等同于CII,。

  (二)數(shù)據(jù)分級

 ?。ㄈ﹤€人信息分級

  按照敏感度程度,,可以分為:

  按照必要性程序,可以分為:

  三,、監(jiān)管體系

  綜合《網(wǎng)絡安全法》,、《關保條例》及1960號文等規(guī)定,當前我國關保監(jiān)管體系如下:

  四,、認定標準

  關于CII的認定標準,,《關保條例》摒棄了《關鍵信息基礎設施安全保護條例(征求意見稿)》的概括加列舉的認定模式,基本延續(xù)了《網(wǎng)絡安全法》的“行業(yè)+風險”的雙重認定模式,。即,,下列網(wǎng)絡設施、信息系統(tǒng)等可能會被認定為CII:

 ?。?)行業(yè)標準:公共通信和信息服務,、能源,、交通、水利,、金融,、公共服務、電子政務,、國防科技工業(yè)(注:新增)等重要行業(yè)和領域的網(wǎng)絡設施,、信息系統(tǒng);

 ?。?)風險標準:雖然不在上述行業(yè)和領域,,但一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,,可能嚴重危害國家安全,、國計民生、公共利益,,或者會對其他行業(yè)或領域造成重大關聯(lián)影響的重要網(wǎng)絡設施,、信息系統(tǒng);

 ?。?)其他標準:此外,,《網(wǎng)絡安全法(草案)》在CII認定時還有用戶數(shù)量標準,即“用戶數(shù)量眾多的網(wǎng)絡服務提供者所有或者管理的網(wǎng)絡和系統(tǒng)”也會被認定為CII,后續(xù)坊間流傳的《關鍵信息基礎設施確定指南》也有參考用戶數(shù)量這一指標,,后續(xù)各保護工作部門在制定關鍵信息基礎設施認定規(guī)則時是否會考慮用戶數(shù)這一指標,,有待進一步明確;此外,,1960號文還從系統(tǒng)功能特征的維度提出了CII的認定標準,,即“應將符合認定條件的基礎網(wǎng)絡、大型專網(wǎng),、核心業(yè)務系統(tǒng),、云平臺、大數(shù)據(jù)平臺,、物聯(lián)網(wǎng),、工業(yè)控制系統(tǒng)、智能制造系統(tǒng),、新型互聯(lián)網(wǎng),、新興通訊設施等重點保護對象納入關鍵信息基礎設施”。

  值得注意的是,,上述“行業(yè)+風險”的雙重認定標準還是非常寬泛的,。例如,其中的“信息服務”領域,,若按照《互聯(lián)網(wǎng)信息服務管理辦法》的認定標準,,除了典型的互聯(lián)網(wǎng)公司外,,大多數(shù)觸網(wǎng)的企業(yè)都可能會被認定為提供“信息服務”。

  《關保條例》進一步明確,,是否屬于CII,由保護工作部門根據(jù)認定規(guī)則負責組織認定并將認定結(jié)果通知運營者,,而無需運營者自行判斷,、評估是否屬于CIIO。據(jù)匯業(yè)黃春林律師團隊介紹,,之前已經(jīng)有部分企業(yè)收到了主管部門的認定通知,。

  五、合規(guī)義務

  綜合《關保條例》及前述法律法規(guī)及監(jiān)管執(zhí)法實踐,,匯業(yè)黃春林律師團隊提示,,CIIO應當依法履行的合規(guī)義務包括但不限于:

  (1)依法開展網(wǎng)絡安全等級保護測評,、定級等工作,;

  (2)采購網(wǎng)絡產(chǎn)品和服務,、處理重要數(shù)據(jù)等可能影響國家安全的,,或者赴國外上市,應當按照《網(wǎng)絡安全審查辦法》等規(guī)定開展網(wǎng)絡安全審查,;

 ?。?)應當自行或者委托網(wǎng)絡安全服務機構(gòu)對關鍵信息基礎設施每年至少進行一次網(wǎng)絡安全檢測和風險評估,對發(fā)現(xiàn)的安全問題及時整改,;

 ?。?)依法使用商用密碼產(chǎn)品或服務,對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份,;

 ?。?)安全保護措施應與關鍵信息基礎設施同步規(guī)劃、同步建設,、同步使用,;

  (6)采購網(wǎng)絡產(chǎn)品和服務,,應當確保供應鏈安全,,遵從進出口管制相關規(guī)定,并應按照國家有關規(guī)定與網(wǎng)絡產(chǎn)品和服務提供者簽訂安全保密協(xié)議,,明確提供者的技術(shù)支持和安全保密義務與責任,,并對義務與責任履行情況進行監(jiān)督;

 ?。?)依法履行數(shù)據(jù)及個人信息本地化義務,,確需出境的,,依法開展安全評估或認證;

 ?。?)應當建立健全網(wǎng)絡安全及數(shù)據(jù)保護相關制度,、機制;

 ?。?)主要負責人對關鍵信息基礎設施安全保護負總責,;

  (10)應當設置專門安全管理機構(gòu)和安全管理負責人,,保障其運行經(jīng)費,、配備相應的人員,開展與網(wǎng)絡安全和信息化有關的決策應當有專門安全管理機構(gòu)人員參與,;

 ?。?1)應當對專門安全管理機構(gòu)負責人和關鍵崗位人員進行安全背景審查,定期對從業(yè)人員進行網(wǎng)絡安全教育,、技術(shù)培訓和技能考核,;

  (12)制定網(wǎng)絡安全事件應急預案,,并定期進行演練,,發(fā)生重大網(wǎng)絡安全事件或者發(fā)現(xiàn)重大網(wǎng)絡安全威脅時,應當按照有關規(guī)定向保護工作部門,、公安機關報告,;

  (13)發(fā)生合并,、分立,、解散等情況,應當及時報告保護工作部門,,并按照保護工作部門的要求對關鍵信息基礎設施進行處置,,確保安全;

 ?。?4)發(fā)生較大變化可能影響其CII認定結(jié)果的,,應當及時將相關情況報告保護工作部門并重新認定;等等,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。