2020年8月13日10時30分許,三河市公安局在對三河某燃氣有限公司進行網絡安全檢查時發現,該單位未建立安全培訓和考核制度,沒有對信息安全進行等級保護,未落實網絡安全保護責任。
2020年8月17日,三河市公安局在對三河市內三家關鍵信息基礎設施單位進行網絡安全檢查時發現,這三家單位未建立安全培訓和考核制度,沒有對信息安全進行等級保護,未落實網絡安全保護責任。
公安根據《中華人民共和國網絡安全法》第三十三條、第三十四條、第三十六條、第三十八條和第五十九條第二款之規定,依法對上述四家單位警告處罰。
早在2014年2月27日召開的中央網絡安全和信息化領導小組第一次會議正式提出關鍵信息基礎設施。2017年6月1日《網絡安全法》正式實施,明確規定國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的保護是貫徹《網絡安全法》的重中之重!
網絡安全法解讀
通過此次事件,以下我們就《網絡安全法》中關鍵信息基礎設施安全條款和法律責任加以解讀,條款提出了關鍵信息基礎設施的范圍,明確了與網絡安全等級保護制度的關系,規定了關鍵信息基礎設施保護的主要內容。
【第三十一條】 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系。
解讀:本條款定義了關鍵信息基礎設施的范圍,強調了必須落實網絡安全等級保護制度,并進行重點保護。國務院將制定相應的關鍵信息基礎設施安全保護辦法。
【第三十三條】
建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,并保證安全技術措施同步規劃、同步建設、同步使用。
解讀:本條款說明了如何建設關鍵信息基礎設施,強調了安全技術實施的三同步原則。
適用法律責任:【第五十九條】
【第三十四條】 除本法第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:
(一)設置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查;
(二)定期對從業人員進行網絡安全教育、技術培訓和技能考核;
(三)對重要系統和數據庫進行容災備份;
(四)制定網絡安全事件應急預案,并定期進行演練;
(五)法律、行政法規規定的其他義務。
解讀:本條款規定了關鍵信息基礎設施的保護要求高于第二十一條的網絡安全等級保護制度要求;同時強調了背景審查、教育培訓和考核、容災備份、應急預案和演練。
適用法律責任:【第五十九條】
【第三十六條】 關鍵信息基礎設施的運營者采購網絡產品和服務,應當按照規定與提供者簽訂安全保密協議,明確安全和保密義務與責任。
解讀:本條款的核心是明確外包服務安全,強調簽訂安全保密協議。
適用法律責任:【第五十九條】
【第三十八條】 關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
解讀:本條款的關鍵詞是等級測評,風險評估,滲透測試。
適用法律責任:【第五十九條】
【第三十九條】 國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護采取下列措施:
(一)對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委托網絡安全服務機構對網絡存在的安全風險進行檢測評估;
(二)定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練,提高應對網絡安全事件的水平和協同配合能力;
(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享;
(四)對網絡安全事件的應急處置與網絡功能的恢復等,提供技術支持和協助。
解讀:本條款規定了國家主管部門關于承擔統籌協調的工作要求。
具體法律責任條款
【第五十九條】 網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。