从运营者角度对《关键信息基础设施安全保护条例》落地的思考 - 网安

关键信息基础设施是我国经济社会运行的神经中枢，是网络安全的重中之重。保障关键信息基础设施的安全，对于维护国家网络安全、网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益都具有十分重大的意义。

关键信息基础设施运营者（以下简称“运营者”）在关键信息基础设施安全保护中承担主体责任，按照《条例》规定，必须完成以下 8 个具体工作，以避免相关处罚。

一、落实一把手责任制，重视关键信息基础设施安全保护制度建设

运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。

相关处罚包括：对运营者未建立健全网络安全保护制度和责任制的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处 10 万元以上 100 万元以下罚款，对直接负责的主管人员处 1 万元以上 10 万元以下罚款。

二、设置专门安全管理机构，负责关键信息基础设施安全保护工作

运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行职责包括建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；制定本单位应急预案，定期开展应急演练，处置网络安全事件；认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议；组织网络安全教育、培训；履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；按照规定报告网络安全事件和重要事项。

相关处罚包括：对运营者未设置专门安全管理机构的，未进行安全背景审查的，未履行规定职责的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处 10 万元以上 100 万元以下罚款，对直接负责的主管人员处 1万元以上 10 万元以下罚款。

三、必须“给人给钱给权”，做好关键信息基础设施安全保障

运营者应当保障专门安全管理机构的运行经费、配备相应的人员，开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与，安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。

相关处罚包括：对运营者开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的，安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处 10 万元以上 100 万元以下罚款，对直接负责的主管人员处 1 万元以上 10 万元以下罚款。

四、网络安全检测和风险评估，每年至少一次并按要求报送情况

运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。

相关处罚包括：对运营者未对关键信息基础设施每年至少进行一次网络安全检测和风险评估，未对发现的安全问题及时整改，或者未按照保护工作部门要求报送情况的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处 10 万元以上 100 万元以下罚款，对直接负责的主管人员处 1 万元以上 10 万元以下罚款。

五、应对重大事件和重大威胁，应按规定报告保护工作部门和公安机关

关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当按照有关规定向保护工作部门、公安机关报告。重大网络安全事件和威胁包括但不限于“发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等”。

相关处罚包括：对运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，未按照有关规定向保护工作部门、公安机关报告的，由保护工作部门、公安机关依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处 10 万元以上 100 万元以下罚款，对直接负责的主管人员处 1 万元以上 10 万元以下罚款。

六、关键信息基础设施发生变化，应及时报告保护工作部门

关键信息基础设施发生较大变化，可能影响其认定结果的，运营者应当及时将相关情况报告保护工作部门。再有，运营者发生合并、分立、解散等情况，应当及时报告保护工作部门，并按照保护工作部门的要求对关键信息基础设施进行处置，确保安全。

相关处罚包括：对运营者在关键信息基础设施发生较大变化，可能影响其认定结果时未及时将相关情况报告保护工作部门的，发生合并、分立、解散等情况，未及时报告保护工作部门，或者未按照保护工作部门的要求对关键信息基础设施进行处置的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处 10 万元以上 100 万元以下罚款，对直接负责的主管人员处 1 万元以上 10 万元以下罚款。

七、按规定采购安全可信的网络产品和服务，并签订安全保密协议

运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查；应当按照国家有关规定与网络产品和服务提供者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督。

相关处罚包括：运营者采购可能影响国家安全的网络产品和服务，未按照国家网络安全规定进行安全审查的，由国家网信部门等有关主管部门依据职责责令改正，处采购金额 1 倍以上 10 倍以下罚款，对直接负责的主管人员和其他直接责任人员处 1 万元以上 10 万元以下罚款。

八、配合国家相关部门安全检查等工作，接受相关部门提供的技术支持和协助

运营者对国家相关部门组织开展的网络安全信息共享机制工作、保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。同时，运营者应接受国家有关部门和保护工作部门针对网络安全事件应对处置等关键信息基础设施安全保护工作的技术支持和协助。

相关处罚包括：运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的，由有关主管部门责令改正；拒不改正的，处 5 万元以上 50 万元以下罚款，对直接负责的主管人员和其他直接责任人员处 1 万元以上 10 万元以下罚款；情节严重的，依法追究相应法律责任。

总之，运营者应依照《条例》和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

（本文刊登于《中国信息安全》杂志2021年第9期）