中国政府网17日发布《关键信息基础设施安全保护条例》(简称《条例》)。
《条例》提出,国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
《条例》自2021年9月1日起施行。
什么是关键信息基础设施?
《条例》明确了关键信息基础设施的定义。关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
以上重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(简称“保护工作部门”)。保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
运营者有哪些责任义务?
《条例》对运营者责任义务给出了具体的要求,具体如下:
运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。
运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。
运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
主管部门如何保障和促进?
《条例》还明确了主管部门保障和促进的责任。
国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。
保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。
国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。
国家支持关键信息基础设施安全防护技术创新和产业发展,组织力量实施关键信息基础设施安全技术攻关。
2021年是关键信息
基础设施安全保护元年
关于《条例》,信息消费联盟理事长项立刚对记者表示,此前出台的《网络安全法》明确提出了制定关键信息基础设施安全保护办法的立法需求。但是由于各行业自身的局限性,无法从行业角度制定规章制度解决关键信息基础设施跨行业保护方面的问题。因此,《条例》作为承上启下的基本行政法规,对上承接网络安全法并将法案中对关键信息基础设施提出的安全保护要求落地,对下统领金融、能源、电力、通信、交通等重要行业的安全保护工作,将更多的操作性制度进行了规范和明确。
项立刚用通信行业举例说:“很长时间以来,我们的通信设施建设难、维护难,有些地方还对基站进行了破坏。有了《条例》的保障,以后通信运营就有了法律保障。”
公安部网络安全保卫局一级巡视员、副局长兼总工程师郭启全在7月召开的互联网安全大会上提出,2021年是国家关键信息基础设施安全保护的元年,“前面若干年都是铺垫,到目前为止,我们终于搞清楚什么是关键信息基础设施,谁是关键信息基础设施,关键信息基础设施怎么干,我想大的方向基本确定了。”郭启全说。
《条例》带来百亿级增量市场
中信证券认为,《条例》要求对关键信息基础设施实行重点保护。根据我国现行的网络安全等级保护制度,预计保护等级不会低于三级,将带来巨大增量市场。
通过测算,中信证券预计《条例》带来的安全投入规模将达到百亿级。推荐处于估值底部,在政府、电信等行业需求提升下充分受益的安全公司。
目前,我国网络安全投入在IT整体预算中的占比仅为1.84%,远低于美国(4.78%)和全球(3.74%)的水平。
中信证券认为,结合近期的政策,政企安全投入比重的提升料将推动网安行业开启高速增长期,预计未来安全投入与全球市场的差距将持续缩小。
(文章来源:上海证券报)
文章来源:上海证券报