“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網(wǎng)絡安全的重中之重，也是可能遭到重點攻擊的目標?！痹诖嘶A上，國務院依據(jù)《中華人民共和國網(wǎng)絡安全法》制定《關鍵信息基礎設施安全保護條例》（下稱“條例”），《條例》的出臺一定意義上為關鍵信息基礎設施運營者提供了方向性規(guī)定，但具體實操性標準等還需各部門或者國家標準待具體規(guī)定。本文僅就《條例》對《網(wǎng)絡安全法》細化規(guī)則進行對比和解讀，以便為大家實務操作提供參考。

　　一、對關鍵信息基礎設施的認定

　　《條例》明確了關鍵信息基礎設施的定義，是“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡設施、信息系統(tǒng)等”?！稐l例》從定義、主體、認定依據(jù)三個方面對關鍵信息基礎設施進行的規(guī)定，具體為：

　　（一）定義

　　從《條例》的規(guī)定中我們可以看出，“關鍵信息基礎設施是重要行業(yè)和領域的重要網(wǎng)絡設施、信息系統(tǒng)等，或者其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡設施、信息系統(tǒng)等”，從定義上看，不僅是重要行業(yè)和領域，一般的行業(yè)和領域，只要其重要的網(wǎng)絡設施、信息系統(tǒng)一旦遭到破壞，可能嚴重危害三大利益的，也可以被認定為關鍵信息基礎設施。這里面需要注意的是不管是重要行業(yè)和領域，還是一般行業(yè)和領域，被認定為關鍵信息基礎設施的均為重要的網(wǎng)絡設施、信息系統(tǒng)，而非一般的網(wǎng)絡設施、信息系統(tǒng)。

　　（二）認定依據(jù)方面

　　《條例》將行業(yè)和領域的主管部門、監(jiān)督管理部門認定為保護工作部門，而保護工作部門結合本行業(yè)、本領域實際，制定關鍵信息基礎設施認定規(guī)則，并報國務院公安部門備案。這里需要說明的是《條例》第三條授予公安部門負責指導監(jiān)督關鍵信息基礎設施安全保護工作，也屬于保護工作部門。各行業(yè)、領域的認定規(guī)則按照規(guī)定公安部門是可以參與的，但公安部門參與制定的規(guī)則是否會涉及自己給自己備案。本文認為，《條例》第九條的保護工作部門并不包括公安部門，否則會存在自己給自己備案的情形，既是裁判又是運動員。

　　《條例》規(guī)定了認定關鍵信息基礎設施的認定規(guī)則，主要考慮以下三個方面“（一）網(wǎng)絡設施、信息系統(tǒng)等對于本行業(yè)、本領域關鍵核心業(yè)務的重要程度；（二）網(wǎng)絡設施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度；（三）對其他行業(yè)和領域的關聯(lián)性影響?！彪m然該認定規(guī)則為保護工作部門考慮的依據(jù)，我們認為企業(yè)也可以將此作為自己合規(guī)的參考規(guī)則，今后各行業(yè)主管部門也將出臺行業(yè)內細化的認定規(guī)則。

　　二、運營者的義務

　　《條例》主要規(guī)定了運營者的六項義務，主要為：

　?。ㄒ唬┌踩Ｗo措施的同步

　　運營者對關鍵信息基礎設施采取的安全保護措施應當與其同步規(guī)劃、同步建設、同步使用。這是《網(wǎng)絡安全法》第三十三條的要求，主要是針對未建和在建的關鍵信息基礎設施；針對已建成的關鍵信息基礎設施也應當參照《條例》的規(guī)定進行合規(guī)整改。

　?。ǘ┚W(wǎng)絡安全保護制度

　　《網(wǎng)絡安全法》規(guī)定 “一把手負責制”，建立健全網(wǎng)絡安全保護制度和責任制，保障該領域的人力、財力、物力投入?！稐l例》第十三條規(guī)定明確“運營者的主要負責人對關鍵信息基礎設施安全保護負總責”，“主要負責人”是指一把手，還是專門安全管理機構的負責人？是需要探討的，我們認為應當是專門安全管理機構的負責人，因為該部門主要負責公司的關鍵信息基礎設施的安全保護工作。

　?。ㄈ┰O立專門安全管理機構

　　運營者應當設置專門安全管理機構，并對機構負責人和關鍵崗位人員進行安全背景審查。專門安全管理機構參與本單位與網(wǎng)絡安全和信息化有關的決策，同時負責履行《網(wǎng)絡安全法》第三十四條規(guī)定的和《條例》第十五條細化的網(wǎng)絡安全保護職責，具體包括：

　　建立健全網(wǎng)絡安全管理、評價考核制度，擬訂關鍵信息基礎設施安全保護計劃；

　　組織推動網(wǎng)絡安全防護能力建設，開展網(wǎng)絡安全監(jiān)測、檢測和風險評估；

　　按照國家及行業(yè)網(wǎng)絡安全事件應急預案，制定本單位應急預案，定期開展應急演練，處置網(wǎng)絡安全事件；

　　認定網(wǎng)絡安全關鍵崗位，組織開展網(wǎng)絡安全工作考核，提出獎勵和懲處建議；

　　組織網(wǎng)絡安全教育、培訓；

　　履行個人信息和數(shù)據(jù)安全保護責任，建立健全個人信息和數(shù)據(jù)安全保護制度；

　　對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理；

　　按照規(guī)定報告網(wǎng)絡安全事件和重要事項。

　?。ㄋ模┌踩珯z測和風險評估

　　運營者每年應當對關鍵信息基礎設施進行至少一次網(wǎng)絡安全檢測和風險評估，可以自行進行也可以委托網(wǎng)絡安全服務機構進行。發(fā)現(xiàn)的安全問題要及時整改，結果應按要求報送有關部門。這里需要說明的是每年至少一次網(wǎng)絡安全檢測和風險評估，亦即網(wǎng)絡安全檢測和風險評估各一次，并非“或”的關系。

　?。ㄎ澹┘皶r報告

　　運營者應當在關鍵信息基礎設施發(fā)生重大網(wǎng)絡安全事件或者發(fā)現(xiàn)“重大網(wǎng)絡安全威脅時”，按規(guī)定向保護工作部門和公安機關報告。運營者發(fā)生合并、分立、解散等情況，也應當及時上報并按照有關部門要求處置關鍵信息基礎設施，確保安全。

　?。┎少彯a品或服務

　　運營者應當“優(yōu)先采購”“安全可信”的網(wǎng)絡產品和服務；什么樣的產品和服務才算是安全可信？“優(yōu)先采購”是否涉嫌違反上位法《招投標法》的采購精神？可能影響國家安全的，還要應當按《網(wǎng)絡安全審查辦法》的規(guī)定通過安全審查。該規(guī)定同樣可見于《網(wǎng)絡安全法》第三十五條、第三十六條。而可能影響國家安全的采購活動，在安全審查結果尚未定論，建議企業(yè)應當設置附條件生效的條款，以便國家安全審查不通過給企業(yè)帶來不必要的損失。

　　三、有關部門的職責

　　《條例》明確了國家各部門關鍵信息基礎設施保護工作的分工，規(guī)定國家網(wǎng)信部門負責統(tǒng)籌協(xié)調，國務院公安部門負責指導監(jiān)督，各行業(yè)、領域主管部門負責職責范圍內的安全保護和監(jiān)督管理工作，省級政府有關部門依職責實施安全保護和監(jiān)督管理?！稐l例》主要從以下四個方面確定了有關部門的職責：

　?。ㄒ唬┬畔⒎矫娴穆氊?/p>

　　國家建立網(wǎng)絡安全信息共享機制，并于第三十條規(guī)定國家機關及網(wǎng)絡安全服務機構在工作中獲取的信息只能用于維護網(wǎng)絡安全，不得泄露、出售或者非法向他人提供。

　?。ǘ╊A防方面的職責

　　保護工作部門應當建立健全本行業(yè)、本領域的關鍵信息基礎設施網(wǎng)絡安全監(jiān)測預警制度和網(wǎng)絡安全事件應急預案，定期組織應急演練和檢查檢測。

　?。ㄈz查方面的禁止事項

　　有關部門應當避免不必要的檢查和交叉重復檢查，檢查不得收費，不得要求運營者購買指定的產品或服務。

　?。ㄋ模﹥?yōu)先保障的行業(yè)

　　國家優(yōu)先保障能源、電信行業(yè)的關鍵信息基礎設施安全，能源、電信行業(yè)應當為其他行業(yè)的關鍵信息基礎設施安全提供保障。

　　四、漏洞探測、滲透性測試批準與授權

　　《條例》第三十一條規(guī)定，未經國家網(wǎng)信部門、公安部門批準或者保護工作部門、運營者授權，任何組織和個人不得對關鍵信息基礎設施實施漏洞探測、滲透性測試等可能影響或者危害關其安全的活動。對基礎電信網(wǎng)絡進行此類活動的，還要事先向國務院電信主管部門報告。為何國家網(wǎng)信部門、公安部門是批準，而保護工作部門、運營者是授權？兩者之間是“或”的關系，也就意味著二選一的關系。上文中提到公安部門也屬于保護工作部門，網(wǎng)信辦屬于統(tǒng)籌協(xié)調部門，但也存在部分監(jiān)督管理職權，是否也屬于保護工作部門。我們認為，國家網(wǎng)信部門、公安部門和行業(yè)監(jiān)督或主管部門均屬于保護工作部門，《條例》第三十一條保護工作部門授權主要還是行業(yè)主管部門，否則則本身就存在沖突，無法實操。另外，行業(yè)主管部門作為保護工作部門授權如何解釋，期待實操層面更進一步的明確。