关基运营者需要知道的十大责任和义务
2021-09-02
国务院总理李克强签署的中华人民共和国国务院第745号文于2021年8月17日正式公布,确立《关键信息基础设施安全保护条例》(以下简称《条例》)于2021年9月1日正式施行。司法部、网信办、工业和信息化部和公安部负责人就《条例》的相关问题进行了权威官方回答,各研究机构、媒体和安全厂商也纷纷对《条例》开展分析和解读,关保时代已经正式到来。
过去由于关基保护管理职责不清晰,无正式文件可参考,各行业、各领域主要按照《网络安全法》和网络安全等级保护制度的相关要求进行保护。《条例》的正式施行将使关基运营者面临更加确定的关保责任和义务,正确认识关保时代运营者责任义务是摆在每一个责任单位面前的重要问题。我们总结了关基运营者需要承担的十大网络安全保护责任和义务。
一、落实责任人
《条例》明确规定:“运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题”。建立健全网络安全保护制度和责任制,实行“一把手负责制”,运营者主要负责为关键信息基础设施安全保护工作提供人力、财力、物力投入资源的主要保证。
二、落实责任部门
单位内应设置专门安全管理机构,并保障其运营具有基本的经费来源。强调“专门”说明这个机构是一个常设实体机构,而不是一个虚拟组织,必须发挥安全管理作用,是本单位的关键信息基础设施安全保护工作的责任部门。
对于未设置专门安全管理机构或专门安全管理机构未履行本条例第十五条规定的职责的情形,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
三、落实工作人员
关基运营者有了专门安全管理机构这个责任部门还必须配套相应的人员,包括部门负责人和关键岗位人员,对其开展网络安全专业教育和培训。因为关基网络和系统的重要性,这些人员的选拔必须是谨慎的,需要进行安全背景审查。
对于未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
四、落实管理机制
关基运营者有义务建立本单位网络安全保护管理制度体系,明确各部门、各岗位的网络安全责任,重点针对关基网络和系统建立网络安全管理和评价考核制度,涵盖对关键信息基础设施设计、建设、运行、维护等服务过程的安全管理,并通过组织开展安全意识教育和培训,确保制度有效执行和落地,并应定期开展评审和持续改进,对于评审发现问题及改进情况需按照保护工作部门要求报送,保护工作部门是上级主管单位和行业监管单位。
对于安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的,未建立健全网络安全保护制度和责任制的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
五、安全能力提升
关键信息基础设施安全防护能力水平是确保在网络对抗过程中是否能抵御攻击的基础,关基运营者有义务针对本单位关键信息基础设施开展能力建设,逐年提升安全防护水平,包括采购安全产品和服务。考虑到信息技术的复杂性和网络空间安全态势的不确定性,《条例》要求在开展安全能力建设前,由专门安全管理部门组织常态化监测和检测,并每年组织自行或委托第三方开展风险评估,配合主管部门的安全检查,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
对于不按要求开展风险评估,或对发现的问题不能及时整改的情形,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的,由有关主管部门责令改正;拒不改正的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节严重的,依法追究相应法律责任。
六、数据安全保护
数据正式成为生产要素,面对数据流动、分享、加工处理过程中存在的数据安全和隐私安全的问题,《条例》中明确关基运营者“需要履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度”。《数据安全法》于2021年9月1日正式实施,标志着我国重要数据和个人信息保护制度已经基本建立。
对于未有效建立个人信息和数据安全保护制度和落实相关保护义务的情形,按照《数据安全法》和《个人信息保护法》相关条款执行。
七、应急体系建设
关键信息基础设施安全的一个重要目标是保证关键业务的连续运行,《条例》规定应“按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练。”一般应急演练应保证每年至少一次,确保在发生网络安全事件能够得到顺利有序的处置。
对于缺少应急预案或未定期开展应急演练的情形,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
八、安全事件处置
网络安全事件的发生是必然存在的,作为关键信息基础设施的责任单位,需建立常态化监测和检测机制,及时发现并处置网络安全事件。对于重大网络安全事件或者发现重大网络安全威胁时,运营者需要按照有关规定向保护工作部门和公安机关报告。《条例》也明确规定发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等属于特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。
对于未按照有关规定向保护工作部门、公安机关报告的,由保护工作部门、公安机关依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
九、供应链安全管理
供应链攻击是一种针对关基网络和信息系统的软件、硬件、服务供应商的一种攻击手段。《条例》要求“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。”在采购网络产品和服务时,还应当与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。具体开展网络安全审查的流程在《网络安全审查办法》中作出了规定,可以分解为3个阶段,包括提交申报材料阶段、常规审查程序阶段和特别审查程序阶段。
对于未按照国家网络安全规定进行安全审查或未按照国家有关规定与网络产品和服务提供者签订安全保密协议的由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
十、其他责任义务
《条例》同时规定:“运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。”这主要表现在运营者由于经营需要出现的各类变更,比如由于运营者解散导致关键业务中断等。
对于以上情况未及时报告保护工作部门,或者未按照保护工作部门的要求对关键信息基础设施进行处置的情形,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
