答记者问2021年7月30日,国务院总理李克强签署国国务院令第745号,宣布《关键信息基础设施安全保护条例》(以下简称?),自2021年9月1日起施行。工业和信息化部、公安部就涉及的问题回答了记者提问。Q:请简单介绍一下?的介绍背景?答:党中央、国务院高度重视关键信息基础设施的安全保护工作。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。保障关键信息基础设施安全,对于维护国家网络空间主权和国家安全,保障经济社会健康发展,维护公共利益和公民合法权益具有重要意义。当前,关键信息基础设施面临的网络安全形势日益严峻,网络攻击威胁不断加大,事故隐患易发。安全保障工作还存在法律法规不完善、工作基础薄弱、资源分散、科技产业支撑力度不够等突出问题,亟待建立专项制度,明确各方责任,加快提升关键信息基础设施安全防护能力。根据2017年实施的《中华人民共和国网络安全法》条例,关键信息基础设施的具体范围和安全保护措施由国务院规定。《条例》的出台旨在落实《中华人民共和国网络安全法》的相关要求,将为我国深入开展关键信息基础设施安全保护工作提供有力的法律保障。Q:制定的总体思路是什么?答:总体思路主要把握以下三点:一是坚持问题导向。针对关键信息基础设施安全保护实践中存在的突出问题,细化相关规定,提出成熟有效并已被证明是法制化的做法,为保护工作提供法治保障。二是压实责任。坚持综合协调、责任分工、法治保障,强化落实关键信息基础设施运营主体主体责任,充分发挥政府和社会各方面作用,共同保护关键信息基础设施安全。三是做好与相关法律、行政法规的衔接。在《中华人民共和国网络安全法》建立的制度框架下,细化相关制度措施,处理好与相关法律、行政法规的关系。问:各部门在开展关键信息基础设施安全保护工作中的职责分工是怎样的?答:《条例》第三条规定,在国家网信部门的统筹协调下,国务院公安部门负责指导和监督关键信息基础设施的安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自的职责范围内负责关键信息基础设施的安全保护和监督管理工作。省级人民政府有关部门按照各自职责,对关键信息基础设施实施安全保护和监督管理。问:如何识别关键信息基础设施?答:?立足我国国情,借鉴国外通行做法,明确关键信息基础设施的定义和认定程序。一是明确关键信息基础设施的定义。二是明确关键信息基础设施所在行业、领域的主管部门和监督管理部门是关键信息基础设施安全保护的责任部门。三是明确保护部门应当结合本行业、领域实际,制定关键信息基础设施认定规则,组织开展本行业、领域关键信息基础设施认定工作。四是规定关键信息基础设施发生可能影响其认定结果的重大变化时,运营者应当及时向保护工作部门报告,由保护工作部门重新确定。问:《条例》保护工作部门的职责有何规定?答:根据《中华人民共和国网络安全法》的相关规定和“谁主管,谁负责”的原则,《条例》明确了本行业、本领域安全保护工作部门的重点信息基础和职责。设施建设:一是制定关键信息基础设施安全规划,明确保护目标、基本要求、任务和具体措施。二是建立健全网络安全监测预警体系,及时了解关键信息基础设施运行状况和安全态势,对网络安全威胁和隐患进行预警通报,指导安全防范工作。三是建立健全网络安全事件应急预案,定期组织应急演练。四是指导运营商做好网络安全事件应对工作,根据需要组织提供技术支持和帮助。五是定期组织网络安全检查检测,指导和督促运营者及时整改安全隐患,完善安全措施。问:为强化和落实关键信息基础设施运营主体主体责任,《条例》的主要规定是什么?答:《条例》原则上在总则中规定了运营者的责任,要求运营者遵守本规定和有关法律、行政法规以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施采取其他必要措施应对网络安全事件,防范网络攻击和违法犯罪活动,确保关键信息基础设施安全稳定运行,维护数据完整性、保密性和可用性。《条例》还有专章细化相关义务,主要包括:一是建立健全网络安全保护制度和责任制,落实“一把手负责制”,明确运营者主要负责人负总责,确保人力资源和财产的投入。二是成立专门的安全管理机构,履行安全保护职责,参与本单位网络安全和信息化相关决策,对机构负责人和关键人员进行安全背景调查。三是每年对关键信息基础设施进行网络安全检查和风险评估,发现问题及时整改,并按要求向保卫部门报告情况。四是关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,按照规定向保护工作部门和公安机关报告。五、优先购买安全可靠的网络产品和服务,并与供应商签订安全保密协议;可能影响国家安全的,应当按照规定通过安全审查。问:对于关键信息基础设施的安全保护,《条例》规定了哪些保障和推进措施?答:保障关键信息基础设施安全,需要统筹资源和力量,实施全方位防护。《条例》在保障方面,一是明确建立网络安全信息共享机制,规定工作中获取的信息只能用于维护网络安全,不得泄露、出售或非法向他人提供。二是对国家有关部门开展的安全检查工作作出规定,要求避免不必要的检查和交叉重复检查,不收取检查费用,不要求被检查单位购买指定产品和服务;同时,规定任何个人和组织不得擅自对信息基础设施检测、测试等关键行为活动进行检查。三是规定国家网信部门、国务院电信主管部门、公安部门根据保护工作部门的需要,给予技术支持和协助。四是明确国家将重点对能源、电信等关键信息基础设施实施安全运营。五是规定公安机关和国家安全机关按照各自职责加强关键信息基础设施的安全保护,防范和打击针对和利用关键信息基础设施的违法犯罪活动。六是明确国家出台安全标准,指导和规范关键信息基础设施的安全保护工作。《条例》在支持和促进方面,在人才培养、技术创新和产业发展、网络安全服务机构建设和管理、军民融合、表彰奖励等方面做出了相应规定。问:什么对从事危及关键信息基础设施安全活动,或未经授权或批准擅自对关键信息基础设施进行漏洞检测、渗透测试等活动的个人和组织,是否制定了《条例》规定?答:实践中,一些个人和组织擅自对关键信息基础设施进行漏洞检测、渗透测试等活动,影响了关键信息基础设施的安全。《条例》一是明确任何个人和组织不得对关键信息基础设施实施非法入侵、干扰、破坏活动,不得危及关键信息基础设施安全。二是规定,未经国家网信部门、国务院公安部门批准,或者保护工作部门、运营者授权,任何个人和组织不得对关键节点进行漏洞检测或者渗透测试。信息基础设施,可能影响或危及关键信息基础设施的安全。活动。开展基础电信网络漏洞检测、渗透测试等活动,应当事先向国务院电信主管部门报告。三是在法律责任一章中具体规定了相应的处罚措施。Q:如何导出关键信息基础设施中的重要数据?答:《中华人民共和国数据安全法》于2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过,将于9月1日发布实施。其中,第三十一条规定,关键信息基础设施运营者在中华人民共和国境内运营过程中收集、产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定。《中华人民共和国网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营过程中收集、产生的个人信息和重要数据,应当在中华人民共和国境内存储。因业务需要确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。资料来源:司法部
