“欲知平直,则必准绳;欲知方圆,则必规矩”。随着《网络安全法》的正式施行,网络安全已经上升为国家战略,《网络安全法》、《国家网络安全空间战略》和其他配套法律法规与规范性文件一起,为我国网络安全工作的深入开展提供了有力的框架支撑。
随着互联网产业经济的日趋成熟,以金融、能源、电力、通信、交通等领域为代表的关键信息基础设施已成为经济社会运行的神经中枢。关键信息基础设施一旦遭遇破坏或袭击,可能导致企业和国家的巨额经济损失,甚至会威胁到人民群众的生命安全和社会稳定。因此,关键信息基础设施安全保护是落实国家网络安全战略、贯彻《网络安全法》的重中之重。
一直以来,世界各国高度重视关键信息基础设施安全保护问题,美国、俄罗斯、日本相继出台《提升关键信息基础设施网络安全框架》、《关键基础设施信息安全措施行动计划》、《关键信息基础设施安全法案》等相关文件,以加大对关键信息基础设施的保护力度。国际关键基础设施安全保障的战略思路和法律政策,从一开始就与国家安全相衔接。随着我国网络强国战略的深化和实施,关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位也日益突出,针对关键信息基础设施安全,我国相继出台了一系列法律、法规、政策和标准,用于指导关键信息基础设施安全保护工作的开展实施。现将我国关键信息基础设施安全保护相关法律、政策和标准进行整理并分享给大家。
01 《中华人民共和国网络安全法》(中华人民共和国主席令 十二届第五十三号) 时间:2017-6-1 内容简介: 本法界定了关键信息基础设施的基本概念,规定了关键信息基础设施的具体范围和安全保护要求,明确了关键信息基础设施运营者应当履行的义务,提出了关键信息基础设施与安全同步建设的原则。本法要求关键信息基础设施的运行者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送负责关键信息基础设施安全保护工作的相关部门。 02 《关键信息基础设施安全保护条例》(征求意见稿) 内容简介: 本法作为《中华人民共和国网络安全法》的重要配套法规,以保障关键信息基础设施安全为出发点,明确了关键信息基础设施的规划范围,规定了关键岗位实行执证上岗制度、运营者应建立关键信息基础设施安全检测评估制度,规定了关键信息基础设施运营者的责任和义务,列出了产品服务安全以及运营安全的具体条例,对从事危害关键信息基础设施的活动和行为提出了相关处罚措施,为开展关键信息基础设施的安全保护工作提供了重要的法律支撑。本法适用于在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护工作。 政策 01 《国家网络空间安全战略》 时间:2016-12-27 内容简介: 本文件提出应采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏,提出坚持技术和管理并重、保护和震慑并举,着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度。本文件提出从管理、技术、人才、资金等方面加大投入,依法综合施策,切实加强关键信息基础设施安全防护。本文件还从建立实施网络安全审查制度、加强供应链安全管理、提高产品和服务的安全性和可控性等方面提出了网络安全管理的具体要求。 标准 01 《信息安全技术 关键信息基础设施安全检查评估指南》(征求意见稿) 内容简介: 本标准明确了关键信息基础设施检查评估工作的方法、流程和内容,规定了关键信息基础设施检查评估工作准备、实施、总结各环节的流程要求及合规检查的具体要求和内容。本标准适用于指导关键信息基础设施运营者和网络安全服务机构的相关人员开展关键信息基础设施检查评估工作。 02 《信息安全技术 关键信息基础设施安全保障评价指标体系》(征求意见稿) 内容简介: 本标准以《信息安全技术信息安全保障指标体系及评价方法 第2部分:指标体系》(GB/T 31495.2—2015)中的“指标体系框架”为基础,结合关键信息基础设施的特征,制定了关键信息基础设施安全保障指标体系框架,明确了关键信息基础设施安全保障指标测量方法。本标准适用于关键信息基础设施安全保障评价工作,为政府管理部门的信息安全态势判断和宏观决策提供支持,为关键信息基础设施的管理部门及运营单位的信息安全管理和安全保障工作提供参考。