深度解读：关键信息基础设施运营者9大义务与保护工作部门6大义务

2021-08-24

【引言】还有不足半月的时间，《关键信息基础设施安全保护条例》将正式施行。关键信息基础设施运营者将依例承担严格的安全保护义务，深入了解、抓紧部署是当务之急。保护工作部门也将依例有更为明确的义务指引，明晰边界、循例办事是应有之义。本文将深度解读《条例》，助力运营者和相关部门紧张高效完成准备工作。

一图看立法脉络

解读一：关键信息基础设施的认定

《条例》和我有关系吗？我需要承担义务吗？需要马上做调整吗？这应该是企业和保护工作部门最关心的，也是最重要的问题。要回答这些疑问，就要关注“关键信息基础设施的认定”问题。 

首先来看看，《条例》是如何规定的。 

《条例》的第二章用了4条内容，规定了认定的框架。 

第八条　本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门（以下简称保护工作部门）。

第九条　保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。

制定认定规则应当主要考虑下列因素：

（一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度； 

（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；

（三）对其他行业和领域的关联性影响。 

第十条　保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。 

第十一条　关键信息基础设施发生较大变化，可能影响其认定结果的，运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定，将认定结果通知运营者，并通报国务院公安部门。 

司法部、网信办、工业和信息化部、公安部四部门负责人就《条例》有关问题答记者问时，将《条例》关于认定的内容解读为四点： 

一是明确关键信息基础设施的定义。 

二是明确关键信息基础设施所在行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。 

三是明确由保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并组织认定本行业、本领域的关键信息基础设施。 

四是规定关键信息基础设施发生较大变化，可能影响其认定结果时，运营者应当及时报告保护工作部门，由保护工作部门重新认定。 

总结来看，关于“《条例》和我有关系吗？”问题，并没有完全确定的答案，需要关注保护工作部门的认定规则以及通知的认定结果。目前，还存在不确定性，一方面，认定规则还未依法制定完毕，另一方面，认定结果具有变化可能性，即便已经认定的设施在发生变化后可能脱离范围。 

不过，认定规则也是有迹可循的。在《条例》第2条已经列举了重点行业，即公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，兜底性条款存在对规则的指引性，如其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。《关键信息基础设施确定指南（试行）》曾经对不同行业的关键业务有如下表的划分。

如果给关键基础设施画个圈，圈中心的内容从这里能看出是相对明确的，那么边界如何确定呢？

国家标准编制组先后制定了《关键信息基础设施边界识别方法》、《关键信息基础设施边界识别流程》和《关键信息基础设施保护基线》等文件。2017年底，编制组对上述三个文件进一步整理、提炼，正式提出“基于业务信息流识别关键信息基础设施边界”的方法。2020年5月WG7召开2020年第一次全体会议，会议建议《信息安全技术 关键信息基础边界确定方法》形成征求意见稿。关键信息基础设施边界识别流程如下图所示。

CII边界识别流程

此外，《信息安全技术　关键信息基础设施安全检查评估指南》依据识别结果，对如何开展关键信息基础设施安全检查评估进行了规范；《信息安全技术　关键信息基础设施安全保障指标体系》依据检查评估结果，对如何评价关键信息基础设施安全运行状态进行了规范。

解读二：运营者的九大义务

关键基础设施的认定完成后，运营者关注的另一个重大问题是，需要承担哪些义务？此处，我们将运营者的主要义务总结为以下内容。

解读三：运营者义务落实

在明确了运营者义务的基础上，进一步，运营者关注的问题是义务如何落实。

《条例》规定，在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。目前，在公安部指导下，在全国信息安全标准化技术委员会的组织下，这个标准体系正在抓紧建立。就安全保护的责任义务而言，其中最基础的两个标准是《信息安全技术关键信息基础设施安全保护要求》和《信息安全技术关键信息基础设施安全控制措施》。《保护要求》提出的是原则性要求，侧重于安全保护的基本措施、目标效果；《控制措施》则对《保护要求》作了充分展开，规定了达到目标效果的具体实现方式。目前，《保护要求》已经通过了送审稿的审查，按程序将进入报批稿阶段；《控制措施》尚处于草稿阶段。

四、解读四：保护工作部门六大义务

保护工作部门的六大义务分别总结如下。

中国网络空间安全协会的李欲晓专家认为，《条例》明确了保护工作部门职责，在充分考虑重点行业、领域业务及网络安全需求的特殊性、专业性的前提下，将行业领域主管监管部门明确为关键信息基础设施安全保护部门，组织领导和监督管理本行业、本领域关键信息基础设施安全保护工作。确立了监督管理体制。《条例》规定，在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作；国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责安全保护和监督管理工作；省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

解读五：专家点评

《条例》发布后，不少专家进行了点评，此处精选几条作为解读的最后部分。

中国电子技术标准化研究院的杨建军认为：“网络安全标准化工作是国家网络安全保障体系建设的重要内容，也是支撑网络安全法、《条例》等法律法规落地实施的重要抓手。网络安全法对关键信息基础设施的建设、运行或者服务以及关键信息基础设施运营者采购网络产品和服务等活动的标准化提出了明确要求。《条例》也明确要求，国家制定和完善关键信息基础设施安全标准，指导、规范关键信息基础设施安全保护工作。”

中国信息通信研究院的余晓晖认为：“《条例》正式公布，标志着我国网络安全保护进入了以关键信息基础设施安全保护为重点的新阶段。作为网络安全法的重要配套立法，《条例》积极应对国内外网络安全保护的主要问题和发展趋势，为下一步加强关键信息基础设施安全保护工作提供了重要法治保障。”

国家信息技术安全研究中心的俞克群认为：“关键信息基础设施是国家重要的战略资源，关系国家安全、国计民生和公共利益，具有基础性、支撑性、全局性作用，保护关键信息基础设施安全是国家网络安全工作的重中之重。出台实施《关键信息基础设施安全保护条例》是完善我国网络空间治理，强化关键信息基础设施安全保护，维护国家安全和发展利益的应时应势之举，意义重大，影响深远。”

本文作者：