• 首页 > 新闻资讯 > 关键信息基础设施安全保护条例正式实施,能源行业要注意什么?
新闻资讯


关键信息基础设施安全保护条例正式实施,能源行业要注意什么?

日期:2022-02-25 09:06:01


编者荐语:

敬畏法律,做好合规工作。

以下文章来自敬法 ,作者杨成

敬法

提供全方位的法律解决方案

作者|杨铖

9月1日,《关键信息基础设施安全保护条例》(以下简称《条例》)正式实施。

《网络安全法》于2017年6月1日正式实施,但相关规定多为原则性,操作性不强,急需细化和完善。

《网络安全法》第三十一条规定,国家对网络安全等级保护制度的基础上,对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他可能严重危害国家安全、国计民生和公共利益的关键信息基础设施施重点保护。同时,还明确规定了关键信息基础设施的具体范围和安全保护措施由国务院制定。

因此,2017年7月10日,国家网络信息办公室发布了《关键信息基础设施安全保护条例(草案)》(以下简称《草案》)公开征求意见的通知。

共草案》共有8章55条,分别为:一般规定、支持和保障、关键信息基础设施范围、运营商安全保护、产品和服务安全、监测预警、应急响应和测试评估、法律责任和附件。

最终发布实施的《条例》有6章51条,分别为:一般规定、关键信息基础设施识别、经营者责任义务、保障和推广、法律责任和附件。

虽然条款的数量似乎没有太大的不同,但内容可以说是全文的重写。

《条例》第二条明确了关键信息基础设施的范围:本条例所称关键信息基础设施,是指重要的行业和领域,如公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技产业等,以及其他可能严重危害国家安全、国计民生和公共利益的重要网络设施和信息系统。

在《网络安全法》第三十一条的基础上,对能源产业和领域进行了细化。

《条例》第三十二条明确规定,国家应当采取措施,优先保能源、电信等关键信息基础设施的安全运行。能源和电信行业应采取措施,为其他行业和领域的关键信息基础设施的安全运行提供关键保障。

本文还强调了国家对能源行业关键信息基础设施安全的重视,要求能源行业承担保障其他行业和领域关键信息基础设施安全运行的责任。

为加强和落实关键信息基础设施运营商的主要责任,《条例》在一般规定部分规定了运营商的责任,并设立了专章(第三章),细化了相关义务要求,主要包括:

一是建立健全网络安全保护制度和责任制,实行一把手责任制

二是设立专门的安全管理机构,履行安全保护职责,参与本单位与网络安全和信息化相关的决策,审查机构负责人和关键岗位人员的安全背景。

值得一提的是,《网络安全法》第三十四条对关键信息基础设施运营商专项安全管理机构负责人和关键岗位人员的安全背景审查也有明确要求。

三是每年对关键信息基础设施进行网络安全检测和风险评估,及时纠正问题,并按要求向保护部门报告。

关键信息基础设施安全保护条例正式实施,能源行业要注意什么?

这里的保护部门是指负责关键信息基础设施安全保护的重要行业和领域的主管部门和监督管理部门。

根据《条例》第三十九条的规定,未履行上述有关义务的经营者,由有关主管部门责令改正并给予警告;拒绝改正或者造成网络安全危害的,处以10万元以上100万元以下罚款,直接负责的主管人员处以1万元以上10万元以下罚款。

第四,关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,应当按照规定向保护部门和公安机关报告。

根据《条例》第四十条,经营者未向保护部门、公安机关报告关键信息基础设施重大网络安全事件或者发现重大网络安全威胁的,由保护部门、公安机关责令改正,给予警告;拒绝改正或者危害网络安全的,处10万元以上100万元以下罚款,直接责任人员处1万元以上10万元以下罚款。

第五,优先购买安全可靠的网络产品和服务,并与提供商签订安全保密协议;可能影响国家安全的,应当按照规定通过安全审查。

安全审查主要基于2020年4月27日国家网络信息办、国家发改委等12个部门联合发布实施的《网络安全审查办法》(以下简称《办法》)。网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度和规范,组织网络安全审查。

电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生、社会保障、国防科技产业等行业的重要网络和信息系统运营商,根据中央网络安全与信息化委员会关于关键信息基础设施安全保护相关事项的通知精神,在购买网络产品和服务时,应按照本办法的要求申请网络安全审查。

国家网络信息办公室(在回答记者的问题时)建议,关键信息基础设施运营商通常应在与产品和服务提供商正式签订合同前申请网络安全审查。签订合同后申请网络安全审查的,建议在产品和服务采购通过网络安全审查后生效,避免因未通过网络安全审查而造成的损失。

根据《条例》第四十一条,经营者采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查的,由国家网络信息部门等有关主管部门责令改正,处以采购金额1倍以上10倍以下的罚款,对直接责任人员和其他直接责任人员处以1万元以上10万元以下的罚款。

因此,运营商在购买网络产品和服务之前,必须擦亮眼睛。

上述措施第六条规定:对于申请网络安全审查的采购活动,运营商应通过采购文件、协议要求产品和服务提供商配合网络安全审查,包括承诺非法获取用户数据、非法控制和操作用户设备,无正当理由不中断产品供应或必要的技术支持服务。

今年7月初,滴滴下架事件源于网络安全审查。

7月2日,国家网络信息办公室宣布启动滴滴安全审查,停止新用户注册。7月4日,国家网络信息办公室宣布滴滴出行App有严重违法收集个人信息的问题,通知应用商店下架滴滴出行App。7月9日,国家网络信息办公室再次发布通知,指出滴滴所有25个应用程序因严重非法收集和使用个人信息而下架。7月16日,国家网络信息办公室与公安部、国家安全部等7个部门联合进入滴滴,进行网络安全审查。

据《财新周刊》报道,滴滴早在2017年就获得了导航电子地图制作的甲级测绘资格,并掌握了大量的国内用户和道路数据。今年4月,滴滴被列入34个自检和自我纠正的互联网平台。虽然滴滴今年6月30日在美国低调上市,限制股东和员工讨论成功上市,但中美正在就中国股票会计草案的审计方法和权限进行谈判,并在顶级计划出台前上市,使监管被动。

滴滴无视多轮监管警告,无视国家网络安全和关键信息基础设施安全保护,任性,最终付出了代价。

前车之覆,后车之鉴。

亡羊补牢,未为晚也。

在滴滴事件发酵的同时,7月10日,国家网络信息办公室发布了《网络安全审查办法(修订草案草案)》,第六条明确指出,掌握100多万用户个人信息的运营商必须向网络安全审查办公室申请网络安全审查。

值得注意的是,许多能源行业运营商(如供电和天然气供应企业)都有大量的用户个人信息。如果上市的计划,将成为申请网络安全审查的必要程序。

图片来源:2015年7月18日,新华社滴滴大数据披露:高温天部委加班竞赛 日期:


首页  电话  顶部
栏目导航
cache
Processed in 0.007656 Second.