您好,歡迎訪問湖北得偉君尚(湖北自貿區武漢片區)律師事務所!

服務熱線:027-87518899

傳       真:027-87693559

NEWS CENTER

當前位置:首頁>>律師隨筆

律師隨筆

關鍵信息基礎設施——《網絡安全法》解讀之(二)

  • 發布者:網站管理員
  • 上傳時間:2018-01-31
  • 瀏覽次數:962
  • 返回上級


本文作者




在2017年6月1日開始施行的《中華人民共和國網絡安全法》(下稱“《網絡安全法》”)中規定了“關鍵信息基礎設施(CII)”提供者的相關義務和規則,對其在網絡運營者的義務基礎上,增加了特殊的責任。總的來看,《網絡安全法》多為原則性的規定,缺乏具體細化的措施。


隨后,國家互聯網信息辦公室于2017年7月12日發布了《關鍵信息基礎設施安全保護條例(征求意見稿)》(下稱“《安全保護條例》”)。該條例屬于《網絡安全法》的重要配套規定和下位法,對于關鍵信息基礎設施有比較具體細化的規定。


另外,在2016年6月中央網信辦網絡安全協調局制定的《國家網絡安全檢查操作指南》(下稱“《操作指南》”)中也有關于關鍵信息基礎設施的細則規定。下面,本文將結合《網絡安全法》、《安全保護條例》和《操作指南》三份規范性文件對關鍵信息基礎設施(CII這一主題進行解讀


一、關鍵信息基礎設施的定義及范圍


對于何為關鍵信息基礎設施,《網絡安全法》、《安全保護條例》以及《操作指南》中都是采用了“特定行業范圍+嚴重危害后果”的方式來進行定義,因此在定義的同時,也會明確涉及一些特定的行業。



    從上表可以看出,《網絡安全法》所直接提及的行業范圍相對較少,而在《安全保護條例》和《操作指南》中則更為豐富具體,其中有同時都明確提及的,也有僅單獨提及的。我們認為,
凡是在任何一份規范性文件中有所提及且一旦發生網絡安全事件,可能造成嚴重后果的都應屬于CII的范疇。企業可以根據上表的內容初步評估所屬的網絡系統是否屬于CII。


二、關鍵信息基礎設施的識別規則


雖然對CII有了初步的定義,但是該如何具體的識別CII,仍然需要進一步細化的規則進行指引。因此,《安全保護條例》第19條為下一步細則規范的出臺進行了授權并做出了一些原則性的規定。


具體來說,《安全保護條例》第19條第1款明確了“國家網信部門會同國務院電信主管部門、公安部門等部門制定關鍵信息基礎設施識別指南”,同時第2款和第3款規定“國家行業主管或監管部門按照關鍵信息基礎設施識別指南,組織識別本行業、本領域的關鍵信息基礎設施,并按程序報送識別結果。關鍵信息基礎設施識別認定過程中,應當充分發揮有關專家作用,提高關鍵信息基礎設施識別認定的準確性、合理性和科學性”。在后續的“關鍵信息基礎設施識別指南”尚未出臺的情況下,《操作指南》中的確定的CII確定規則在目前就成為最有參考價值的一項標準。


《操作指南》中提出了CII確定的三步法,一是確定關鍵業務,二是確定支撐關鍵業務的信息系統或工業控制系統,三是根據關鍵業務對信息系統或工業控制系統的依賴程度,以及信息系統發生網絡安全事件后可能造成的損失認定關鍵信息基礎設施。


《操作指南》中對三步法的操作又有具體的指引:

對于確定關鍵業務,《操作指南》明確了需結合本地區、本部門、本行業的實際來梳理關鍵業務,并做了示例。以“電信與互聯網”為例,關鍵業務就應包括域名解析服務、數據中心云服務、語音數據互聯網基礎網絡及樞紐等業務。


◆ 對于確定支撐關鍵業務的信息系統或工業控制系統,則應當根據關鍵業務,逐一梳理出支撐關鍵業務運行或關鍵業務相關的信息系統或工業控制系統,形成候選關鍵信息基礎設施清單。比如火電企業的發電機組控制系統、管理信息系統。


對于認定關鍵基礎設施的量化標準,《操作指南》則列舉了網站類、平臺類和生產業務類三種具體情況的相應量化標準。比如對于平臺類,規定注冊用戶超過1000萬、活躍用戶超過100萬或者日交易額超過1000萬的,就可認定為CII;對于生產業務類,規模超過1500個標準機架的數據中心、地市級以上政府面向公眾服務的業務系統,也都可認定為CII。


三、關鍵信息基礎設施運營者的安全保護義務及法律責任


《網絡安全法》中對關鍵信息基礎設施作出特別的規定,對于企業而言,最為重要的就是要了解關鍵信息基礎設施運營者(CIIO)的安全保護義務。


在本系列解讀的第一篇《網絡安全法下的企業責任》中,我們已經梳理了《網絡安全法》中CIIO的安全保護義務。而《安全保護條例》中則對CIIO做出了更加全面、細致的安全保護義務要求,我們將具體的安全保護義務和相應的法律責任梳理如下:



綜上,本文結合《網絡安全法》、《操作指南》以及還在征求意見中的《安全保護條例》,從CII的定義及范圍、CII的識別規則和CIIO的安全保護義務及法律責任三個主要角度對關鍵信息基礎設施這一主題進行了解讀,鑒于后續正式出臺的《安全保護條例》可能會有一定的變化,并且可能還會有進一步的細則出臺,因此,我們還會對這一問題進行持續跟蹤研究。我們認為,企業尤其是可能被判定為屬于CIIO的主體,及早按照《安全保護條例》征求意見稿、《操作指南》對自身進行網絡安全合規檢查和完善相應制度是很有必要的。


版權所有:湖北得偉君尚(湖北自貿區武漢片區)律師事務所

技術支持:信榮科技

中国体彩网七星彩开奖