解读《关键信息基础设施安全保护条例》
2021-09-17
前言:
自网信办发布《键信息基础设施安全保护条例》征求意见稿四年多后,《关键信息基础设施安全保护条例》(以下简称“CII条例”)于近日正式施行,同时实施的还有《数据安全法》和《网络产品安全漏洞管理规定》。作为网络安全领域的重要主体,关键信息基础设施(CII)被认为是经济社会发展的神经中枢,也是国家网络安全的重中之重。因此此次《CII条例》的正式出台,值得企业高度重视。
一、关键信息基础设施的定义和识别
(一)CII的定义。《CII条例》第二条是CII的定义条款,CII是指一些重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
重要信息系统和关键基础设施。在2017年12月底全国人大常委会第三十一次会议上,全国人民代表大会常务委员会执法检查组关于检查《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强<网络信息保护的决定>实施情况的报告中,指出工业和信息化部开展了网络基础设施摸底工作,全面梳理网络设施和信息系统,共确定关键网络设施和重要信息系统11590个。因此,我们可以将关键信息基础设施区分理解为两部分:重要信息系统和关键基础设施。
重要行业和领域。这里的重要行业和领域具体包括:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等八个大类。属于以上八类行业领域的企业应当高度重视自身是否存在CII。若不属于以上行业领域类别,不意味着无需考虑CII的重点合规义务,还需要结合CII的识别规则来具体判定。
(二)CII的识别。《CII条例》第八、九、十、十一条,规定了包括保护工作部门(识别部门)、具体的识别方法和程序(识别规则)等内容。
识别部门。《CII条例》第八条是CII保护工作部门的定义条款,具体是指上述重要行业和领域的主管部门、监督管理部门。举例来说,就能源领域来说,能源领域的CII就可能由国家能源局来作为保护工作部门,是具体的CII识别工作部门。另外企业对于国家网信办、公安部等国家职能部门需要重视,它们承担着相应的监管职责,比如网信办作为CII的统筹协调部门,公安部门负责指导监督具体的CII保护工作。
识别考量因素。根据《CII条例》第九条的规定,由保护工作部门结合各自行业领域的实际,制定相应的CII认定规则。认定规则的统一考量因素包括三方面内容:
重要性:网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度
危害性:网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度
关联性:对其他行业和领域的关联性影响
识别规则。根据《CII条例》第九、十、十一条的规定,具体的CII认定规则由保护工作部门来制定,建议企业密切关注各自领域的主管部门和监督管理部门的立法动态。在规则制定后,仍由保护工作部门负责具体的认定工作,由其告知企业具体认定的结果。同时,若CII发生较大变化,可能影响认定结果的,企业有义务及时的报告给保护工作部门。另外,对于信息系统的识别,考虑到《网络安全等级保护条例(征求意见稿)》关于等保三级的合规要求和CII的合规要求趋同性较高,绝大部分的等保三级系统同样可以识别为CII,因此我们认为实践中CII的识别工作可能会结合等保定级和信息系统备案开展。
二、关键信息基础设施运营者的合规义务
一旦企业的信息系统或网络设施被认定为CII,则企业就属于关键信息基础设施运营者(CIIO)。《CII条例》设专章规定了CIIO的责任义务条款,共计10条内容。我们从企业合规管理指引的角度,立足于合规管理制度、合规运行机制、合规保障机制三个方面,对CIIO的合规义务进行了总结,得出如下表格:
三、关键信息基础设施的监管
对于CII的监管,《CII条例》设专章规定了CII的保障与促进内容,具体为第二十二至三十八条,共计17条。同时在总则部分也对监管进行了部分说明。结合上述两块内容,我们认为《CII条例》对于CII的保护已经形成了基本的监管格局。我们从监管部门的视角出发,汇总各部门的监管义务,便于企业更好的了解CII监管体系的基本构成。
四、结语
全球视角来看,根据2021年上半年全球网络安全政策趋势报告,我们可以看到新冠疫情的影响还尚未退去,网络攻击的态势却愈演愈烈。以勒索软件为代表的安全事件频发,预计今年全球勒索软件损失高达200亿美元,重大的安全漏洞不断涌现。在今年的Black hat大会上,美国国土安全部部长已经将网络空间上升到国家领土的高度,并建立专门的网络安全与基础设施(CISA)作为美国网络安全的四分卫。
回到国内,国家网信办副主任在国务院政策例行吹风会上指出保障关键信息基础设施的安全,对于维护国家网络安全、网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益都具有十分重大的意义,因此需要对于关键信息基础设施予以重点保护。可见,国内外对于网络安全,特别是关键性、基础性网络设备的安全监管,愈发严格。
对于企业来说,网络安全风险不仅来自于外部以勒索软件为代表的数据泄露事件,还可能因为管理内部员工不力导致数据安全事件的发生。后者最典型的事件就是链家员工“删库跑路”事件,员工因不满工作调整,删了公司9TB数据,导致公司经营损失和名誉受损。我们认为员工违法违规行为往往暴露出公司在合规管理上的漏洞,比如数据库权限管理、数据备份工作的落实、合规培训的缺乏等等。特别是根据Verizon全球“数据泄露”调查报告显示,85%的网络安全事件涉及人的因素,因此我们认为企业建立一套落到实处的网络安全合规管理体系是十分必要的,该合规管理体系不仅可以有效预防“内鬼”出现,还可对外部网络攻击起到一定的防护作用。
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
