組織制定關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則。
重要行業(yè)和領(lǐng)域的主管部門、監(jiān)管部門是負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門。保護工作部門應(yīng)根據(jù)中央有關(guān)文件要求,從維護國家安全、社會公共安全、人民群眾利益和重要業(yè)務(wù)安全的高度,對本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)等進行梳理,參考公安部發(fā)布的關(guān)鍵信息基礎(chǔ)設(shè)施識別認定指南,制定關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則,組織專家進行評審,并報公安部備案。
組織認定關(guān)鍵信息基礎(chǔ)設(shè)施。
保護工作部門應(yīng)聚焦本行業(yè)、本領(lǐng)域的核心業(yè)務(wù),在網(wǎng)絡(luò)安全等級保護工作的基礎(chǔ)上,根據(jù)本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則和關(guān)鍵信息基礎(chǔ)設(shè)施識別認定指南,組織確定關(guān)鍵信息基礎(chǔ)設(shè)施清單,通過專家評審后報公安部備案。一個關(guān)鍵信息基礎(chǔ)設(shè)施可能涉及一個或多個運營者,可能包含一個或多個網(wǎng)絡(luò)安全等級保護對象;若包含多個網(wǎng)絡(luò)安全等級保護對象,則至少含有一個第三級以上網(wǎng)絡(luò)安全等級保護對象。
及時處理關(guān)鍵信息基礎(chǔ)設(shè)施變更。
關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生較大變化,可能影響其認定結(jié)果的,關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)及時將相關(guān)情況報告保護工作部門;保護工作部門重新認定關(guān)鍵信息基礎(chǔ)設(shè)施,將認定結(jié)果通知運營者,并報公安部備案。
開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的十個總體要求
關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門和運營者應(yīng)按照《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)要求,組織開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。
落實網(wǎng)絡(luò)安全等級保護制度2.0要求。
保護工作部門和運營者應(yīng)按照《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》要求,認真落實國家網(wǎng)絡(luò)安全等級保護制度,依據(jù)《網(wǎng)絡(luò)安全等級保護基本要求》《網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》《網(wǎng)絡(luò)安全等級保護測評要求》等國家標準,開展網(wǎng)絡(luò)安全技術(shù)設(shè)計、網(wǎng)絡(luò)安全建設(shè)整改和等級測評,健全完善網(wǎng)絡(luò)安全管理制度,構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施綜合防御體系,不斷提升關(guān)鍵信息基礎(chǔ)設(shè)施安全保護能力。
落實關(guān)鍵信息基礎(chǔ)設(shè)施安全保護責任。
保護工作部門要明確一名領(lǐng)導(dǎo)班子成員分管關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作,并確定承擔具體工作的司局級單位。保護工作部門、運營者要嚴格落實《黨委(黨組)網(wǎng)絡(luò)安全工作責任制實施辦法》,主要負責人對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護負總責,并明確一名領(lǐng)導(dǎo)班子成員作為首席網(wǎng)絡(luò)安全官分管安全保護工作,設(shè)置專門網(wǎng)絡(luò)安全管理機構(gòu)。同時,要建立健全網(wǎng)絡(luò)安全管理和評價考核制度,加強網(wǎng)絡(luò)安全統(tǒng)籌規(guī)劃和貫徹實施。
強化關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全。
保護工作部門和運營者要高度重視關(guān)鍵信息基礎(chǔ)設(shè)施涉及的信息技術(shù)產(chǎn)品和服務(wù)等供應(yīng)鏈安全。運營單位應(yīng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),并對關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)計、建設(shè)、運行、維護等服務(wù)環(huán)節(jié)加強安全管理。運營單位采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)按照有關(guān)規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議,并對其責任義務(wù)履行情況進行監(jiān)督。
加強重要數(shù)據(jù)安全保護。
運營者要全面梳理掌握本單位重要數(shù)據(jù)底數(shù)和安全保護狀況,對重要系統(tǒng)和數(shù)據(jù)庫進行容災(zāi)備份,并采取國產(chǎn)密碼保護、可信計算等關(guān)鍵技術(shù)防護措施,切實保護數(shù)據(jù)在采集、存儲、傳輸、應(yīng)用、銷毀等環(huán)節(jié)的安全,確保其全生命周期的安全。
積極配合公安機關(guān)開展網(wǎng)絡(luò)攻防演習(xí)和網(wǎng)絡(luò)安全執(zhí)法檢查。
按照中央要求和法律賦予的職責任務(wù),公安機關(guān)每年組織開展“護網(wǎng)行動”網(wǎng)絡(luò)攻防實戰(zhàn)演習(xí)、網(wǎng)絡(luò)安全執(zhí)法檢查、技術(shù)檢測和滲透測試,組織開展網(wǎng)絡(luò)安全專項整治行動。保護工作部門、運營者應(yīng)積極配合公安機關(guān)開展有關(guān)工作,不斷提升攻防對抗能力以及與公安機關(guān)的協(xié)同配合能力,提高國家整體應(yīng)對網(wǎng)絡(luò)戰(zhàn)威脅能力。
建立健全關(guān)鍵信息基礎(chǔ)設(shè)施案事件報告和應(yīng)急處置機制。
運營者應(yīng)不斷健全完善網(wǎng)絡(luò)安全應(yīng)急預(yù)案,定期組織應(yīng)急演練。保護工作部門、運營者與公安機關(guān)應(yīng)建立網(wǎng)絡(luò)安全案事件報告制度和應(yīng)急處置機制,關(guān)鍵信息基礎(chǔ)設(shè)施一旦發(fā)生網(wǎng)絡(luò)安全案事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅,運營者應(yīng)第一時間向受理備案的公安機關(guān)報告,保護現(xiàn)場和證據(jù),開展應(yīng)急處置,協(xié)助配合公安機關(guān)開展調(diào)查處置和偵查打擊。
加強實時監(jiān)測和信息通報預(yù)警機制建設(shè),落實常態(tài)化措施。
保護工作部門應(yīng)在國家網(wǎng)絡(luò)與信息安全信息通報中心指導(dǎo)下,建立健全本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)安全信息通報預(yù)警制度。運營者應(yīng)建設(shè)網(wǎng)絡(luò)安全應(yīng)急指揮中心,落實7x24小時值班值守機制,利用網(wǎng)絡(luò)安全態(tài)勢感知平臺,大力開展網(wǎng)絡(luò)安全實時監(jiān)測、威脅情報、通報預(yù)警、應(yīng)急處置、指揮調(diào)度等工作,大力提升網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)對能力。
建立網(wǎng)絡(luò)安全態(tài)勢感知平臺。
保護工作部門、運營者應(yīng)按照公安部要求,建設(shè)本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)安全態(tài)勢感知平臺,并與公安部平臺對接,形成縱橫聯(lián)通、協(xié)同作戰(zhàn)的立體化國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保衛(wèi)大系統(tǒng),構(gòu)建國家關(guān)鍵信息基礎(chǔ)設(shè)施安全綜合防御體系。
大力加強高端人才培養(yǎng),選好用好特殊人才。
公安部通過組織開展演習(xí)和比武競賽,發(fā)現(xiàn)了一批高端人才并通報給有關(guān)保護工作部門、運營者。有關(guān)單位和部門應(yīng)建立特殊人才發(fā)現(xiàn)、選拔、使用機制,與公安機關(guān)密切配合,通過培訓(xùn)和訓(xùn)練,提升網(wǎng)絡(luò)安全人才的實戰(zhàn)化能力。
保障經(jīng)費和人員投入。
運營者應(yīng)配備足夠的專門人員,設(shè)置網(wǎng)絡(luò)安全專項經(jīng)費,保障關(guān)鍵信息基礎(chǔ)設(shè)施開展等級測評、風(fēng)險評估、攻防演練、安全建設(shè)整改、安全保護平臺建設(shè)、教育培訓(xùn)等的經(jīng)費投入,加強信息化手段建設(shè),提高技術(shù)管網(wǎng)能力。