2020年8月13日10時(shí)30分許,三河市公安局在對(duì)三河某燃?xì)庥邢薰具M(jìn)行網(wǎng)絡(luò)安全檢查時(shí)發(fā)現(xiàn),該單位未建立安全培訓(xùn)和考核制度,沒有對(duì)信息安全進(jìn)行等級(jí)保護(hù),未落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任。
2020年8月17日,三河市公安局在對(duì)三河市內(nèi)三家關(guān)鍵信息基礎(chǔ)設(shè)施單位進(jìn)行網(wǎng)絡(luò)安全檢查時(shí)發(fā)現(xiàn),這三家單位未建立安全培訓(xùn)和考核制度,沒有對(duì)信息安全進(jìn)行等級(jí)保護(hù),未落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任。
公安根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第三十三條、第三十四條、第三十六條、第三十八條和第五十九條第二款之規(guī)定,依法對(duì)上述四家單位警告處罰。
早在2014年2月27日召開的中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議正式提出關(guān)鍵信息基礎(chǔ)設(shè)施。2017年6月1日《網(wǎng)絡(luò)安全法》正式實(shí)施,明確規(guī)定國家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)是貫徹《網(wǎng)絡(luò)安全法》的重中之重!
網(wǎng)絡(luò)安全法解讀
通過此次事件,以下我們就《網(wǎng)絡(luò)安全法》中關(guān)鍵信息基礎(chǔ)設(shè)施安全條款和法律責(zé)任加以解讀,條款提出了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍,明確了與網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的關(guān)系,規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的主要內(nèi)容。
【第三十一條】 國家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定。國家鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系。
解讀:本條款定義了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍,強(qiáng)調(diào)了必須落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,并進(jìn)行重點(diǎn)保護(hù)。國務(wù)院將制定相應(yīng)的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)辦法。
【第三十三條】
建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能,并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。
解讀:本條款說明了如何建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施,強(qiáng)調(diào)了安全技術(shù)實(shí)施的三同步原則。
適用法律責(zé)任:【第五十九條】
【第三十四條】 除本法第二十一條的規(guī)定外,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù):
(一)設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人,并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查;
(二)定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核;
(三)對(duì)重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份;
(四)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期進(jìn)行演練;
(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。
解讀:本條款規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)要求高于第二十一條的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求;同時(shí)強(qiáng)調(diào)了背景審查、教育培訓(xùn)和考核、容災(zāi)備份、應(yīng)急預(yù)案和演練。
適用法律責(zé)任:【第五十九條】
【第三十六條】 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議,明確安全和保密義務(wù)與責(zé)任。
解讀:本條款的核心是明確外包服務(wù)安全,強(qiáng)調(diào)簽訂安全保密協(xié)議。
適用法律責(zé)任:【第五十九條】
【第三十八條】 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測評(píng)估,并將檢測評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。
解讀:本條款的關(guān)鍵詞是等級(jí)測評(píng),風(fēng)險(xiǎn)評(píng)估,滲透測試。
適用法律責(zé)任:【第五十九條】
【第三十九條】 國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取下列措施:
(一)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)進(jìn)行抽查檢測,提出改進(jìn)措施,必要時(shí)可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)進(jìn)行檢測評(píng)估;
(二)定期組織關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練,提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力;
(三)促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享;
(四)對(duì)網(wǎng)絡(luò)安全事件的應(yīng)急處置與網(wǎng)絡(luò)功能的恢復(fù)等,提供技術(shù)支持和協(xié)助。
解讀:本條款規(guī)定了國家主管部門關(guān)于承擔(dān)統(tǒng)籌協(xié)調(diào)的工作要求。
具體法律責(zé)任條款
【第五十九條】 網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬元以上十萬元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處十萬元以上一百萬元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。