为进一步保障新疆关键信息基础设施安全、维护网络安全,新疆维吾尔自治区十三届人大常委会第三十二次会议审议通过了《新疆维吾尔自治区关键信息基础设施安全保护条例》,《条例》已于今年6月15日起施行。
为进一步保障新疆关键信息基础设施安全、维护网络安全,新疆维吾尔自治区十三届人大常委会第三十二次会议审议通过了《新疆维吾尔自治区关键信息基础设施安全保护条例》,《条例》已于今年6月15日起施行。
关键信息基础设施具有特殊重要地位
据介绍,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。其特征是:为国家、社会的正常运转提供必需的产品和服务;是社会分工体系中的关键节点,遭受破坏的后果具有连锁性;包含高价值设施,被攻击的后果直接且重大;存储或传输的信息数据大量集中或极其敏感;可能具备象征意义,被攻击和破坏可影响社会稳定。因此,关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。立法保护关键信息基础设施意义重大且紧迫。
近年来,针对关键信息基础设施的攻击活动频繁发生,网络摄像头、功能平台等汇集了大量个人信息和影响国家安全的重要数据,一旦遭受攻击破坏,将造成严重损害和影响。作为国家西部屏障和石油、天然气等重要资源生产基地,新疆的关键信息基础设施保护具有特殊重要地位,敌对势力一直利用互联网对我国进行渗透、颠覆、破坏,必须予以防范。
在实践层面,新疆运用法治思维和法治方式保护关键信息基础设施安全,做了很多有益的探索和实践,需要通过地方立法加以固化、推广。通过立法引领、规范和推动关键信息基础设施保护工作势在必行。为此,制定《条例》具有十分重要的意义。
加强等级保护共筑网络安全防线
《条例》共23条,从关键信息基础设施安全保护的职责分工、工作机制、重点保护、人才培养等方面作出了规定。
《条例》规定了安全保护原则、组织体系和工作体系,明确分工,强化责任。“自治区关键信息基础设施安全保护和监督管理工作坚持党的领导,遵循综合协调、分工负责、依法保护、共同保护的原则。”自治区、州市地、县市区网信委实行三级领导体系,网信部门(即网信办)作为网信委办事机构的统筹协调职责,进一步细化了统筹协调的对象(通信、公安、国家安全、工业和信息化、保密、密码管理等有关部门,关键信息基础设施涉及的重要行业和领域的主管部门、监督管理部门,关键信息基础设施运营者)及其在关键信息基础设施保护工作中的职责。
《条例》规定,关键信息基础设施安全保护工作执行网络安全等级保护制度、重点保护制度和安全审查制度。网络安全等级保护制度要求网络运营者配备相应的硬件和软件检测、记录网络运行状态、网络安全事件,按照规定留存相关网络日志,采取防范危害网络安全行为的技术措施,制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任,采取数据分类、重要数据备份和加密等措施。
重点保护制度则是在等级保护制度的基础上,针对特定设施实行更为严格的重点保护措施。安全审查制度则要求网络运营者采购网络产品和服务,影响或者可能影响国家安全的,应当按照规定接受网络安全审查。通过织密安全网,实现“监测、防御、处置来源于境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏”的目的。
关键信息基础设施安全保护与国家长治久安、经济社会发展和人民群众民生福祉息息相关,除专门机关外,增强全社会的保护意识就显得尤其重要。《条例》明确,“各级人民政府及有关部门应当组织开展经常性的关键信息基础设施安全保护法治宣传教育,增强全社会的法治意识和网络安全意识”,倡导全社会共筑网络安全防线。
培养专门人才提升预警处置能力
缺乏网络安全专门人才,是相关部门、单位和企业普遍存在的问题,《条例》规定:“支持高等院校、职业学校等教育培训机构和企业开展网络安全相关教育培训”。据了解,在自治区党委网络安全和信息化领导机构的协调下,新疆争取国家政策和资金支持,在委托高校培养、培训网络安全专业人才方面已经作了许多有益的探索,相关人才受到用人单位普遍欢迎。同时,《条例》规定“采取措施吸引和鼓励网络安全专门人才从事关键信息基础设施安全保护工作;将运营者安全管理培训、技术人员培训纳入继续教育体系”,对政府、相关主管监管部门和运营者提出了要求。
网络安全事件报告、网络安全信息共享、监测预警与通报是网信等部门统筹协调保护工作的基本手段,也是监督管理的措施。《条例》从网络安全事件和网络安全威胁报告范围与主体,建立信息共享、安全监测、信息通报工作制度等方面作了规定,规定要及时汇总、研判、共享、发布网络安全威胁、漏洞、事件,定期召开联席会议促进共享;规定要织密安全网,及时发现、预警和通报网络安全威胁和隐患。
网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行关键信息基础设施保护和监督管理职责,或者履行不力,会给关键信息基础设施
安全带来巨大隐患,为此,《条例》规定了法律责任:“由有关部门依法依规责令改正,依法对直接负责的主管人员和其他直接责任人员给予处分;构成犯罪的,依法追究刑事责任。”