近期《關(guān)鍵信息基礎設施安全保護條例征求意見(jiàn)稿》終于發(fā)出，業(yè)內也是期盼已久，雖是意見(jiàn)稿，但是也可以從中看出一些門(mén)路來(lái)，今天不得不等簡(jiǎn)單總結了十個(gè)比較重要的關(guān)鍵要點(diǎn)，供大家學(xué)習。

1、關(guān)鍵信息基礎設施在網(wǎng)絡(luò )安全等級保護制度基礎上，實(shí)行重點(diǎn)保護。（第6條，明確了在等?；A上進(jìn)行重點(diǎn)保護）

2、地市級以上人民政府應當將關(guān)鍵信息基礎設施安全保護工作納入地區經(jīng)濟社會(huì )發(fā)展總體規劃，加大投入，開(kāi)展工作績(jì)效考核評價(jià)。（第9、11條，明確了國家制定相關(guān)政策支持關(guān)鍵信息基礎設施安全保護工作的推進(jìn)，再也不擔心經(jīng)費的事了）

3、國家行業(yè)主管或監管部門(mén)應當設立或明確專(zhuān)門(mén)負責本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎設施安全保護工作的機構和人員，編制并組織實(shí)施本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò )安全規劃，建立健全工作經(jīng)費保障機制并督促落實(shí)。（第13條，明確了各行業(yè)主管單位負責本行業(yè)的安全管理工作，并落實(shí)工作經(jīng)費）

4、公安機關(guān)等部門(mén)依法偵查打擊針對和利用關(guān)鍵信息基礎設施實(shí)施的違法犯罪活動(dòng)。（第15條，明確了公安機關(guān)牽頭打擊針對關(guān)鍵信息基礎設施違法犯罪活動(dòng)）

5、任何個(gè)人和組織不得從事下列危害關(guān)鍵信息基礎設施的活動(dòng)和行為：

    （一）攻擊、侵入、干擾、破壞關(guān)鍵信息基礎設施；

    （二）非法獲取、出售或者未經(jīng)授權向他人提供可能被專(zhuān)門(mén)用于危害關(guān)鍵信息基礎設施安全的技術(shù)資料等信息；

    （三）未經(jīng)授權對關(guān)鍵信息基礎設施開(kāi)展滲透性、攻擊性?huà)呙杼綔y；

    （四）明知他人從事危害關(guān)鍵信息基礎設施安全的活動(dòng)，仍然為其提供互聯(lián)網(wǎng)接入、服務(wù)器托管、網(wǎng)絡(luò )存儲、通訊傳輸、廣告推廣、支付結算等幫助；

    （五）其他危害關(guān)鍵信息基礎設施的活動(dòng)和行為。

（第16條，需要注意的是不能在未經(jīng)授權的情況下對關(guān)鍵信息基礎設施開(kāi)展滲透性、攻擊性?huà)呙杼綔y，平時(shí)想練練手或者一些監管單位的一些遠程掃描及滲透行為需要規范，對應的處罰條款是：個(gè)人違反本條例第十六條規定，尚不構成犯罪的，由公安機關(guān)沒(méi)收違法所得，處五日以下拘留，可以并處五萬(wàn)元以上五十萬(wàn)元以下罰款；情節較重的，處五日以上十五日以下拘留，可以并處十萬(wàn)元以上一百萬(wàn)元以下罰款；構成犯罪的，依法追究刑事責任。搞滲透的一不小心就要被拘留了）

6、下列單位應當納入關(guān)鍵信息基礎設施保護范圍：

    （一）政府機關(guān)和能源、金融、交通、水利、衛生醫療、教育、社保、環(huán)境保護、公用事業(yè)等行業(yè)領(lǐng)域的單位；

    （二）電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò )，以及提供云計算、大數據和其他大型公共信息網(wǎng)絡(luò )服務(wù)的單位；

    （三）國防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位；

    （四）廣播電臺、電視臺、通訊社等新聞單位；

（五）其他重點(diǎn)單位。

（第18條，明確了關(guān)鍵信息基礎設施保護范圍，各用戶(hù)單位各自對照下）

7、 運營(yíng)者主要負責人是本單位關(guān)鍵信息基礎設施安全保護工作第一責任人，負責建立健全網(wǎng)絡(luò )安全責任制并組織落實(shí)，對本單位關(guān)鍵信息基礎設施安全保護工作全面負責。（第22條，明確了安全保護工作第一責任人，運營(yíng)者主要負責人看看單位誰(shuí)能稱(chēng)得上呢）

8、運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障關(guān)鍵信息基礎設施免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄漏或者被竊取、篡改：

    （一）制定內部安全管理制度和操作規程，嚴格身份認證和權限管理；

    （二）采取技術(shù)措施，防范計算機病毒和網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )侵入等危害網(wǎng)絡(luò )安全行為；

    （三）采取技術(shù)措施，監測、記錄網(wǎng)絡(luò )運行狀態(tài)、網(wǎng)絡(luò )安全事件，并按照規定留存相關(guān)的網(wǎng)絡(luò )日志不少于六個(gè)月；

（四）采取數據分類(lèi)、重要數據備份和加密認證等措施。

（五）設置專(zhuān)門(mén)網(wǎng)絡(luò )安全管理機構和網(wǎng)絡(luò )安全管理負責人，并對該負責人和關(guān)鍵崗位人員進(jìn)行安全背景審查；

    （六）定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò )安全教育、技術(shù)培訓和技能考核；

    （七）對重要系統和數據庫進(jìn)行容災備份，及時(shí)對系統漏洞等安全風(fēng)險采取補救措施；

    （八）制定網(wǎng)絡(luò )安全事件應急預案并定期進(jìn)行演練；

    （九）法律、行政法規規定的其他義務(wù)。

（第23、24條明確了運營(yíng)者的網(wǎng)絡(luò )安全義務(wù)，對照下沒(méi)有做的趕緊去做）

9、運營(yíng)者應當建立健全關(guān)鍵信息基礎設施安全檢測評估制度，關(guān)鍵信息基礎設施上線(xiàn)運行前或者發(fā)生重大變化時(shí)應當進(jìn)行安全檢測評估。運營(yíng)者應當自行或委托網(wǎng)絡(luò )安全服務(wù)機構對關(guān)鍵信息基礎設施的安全性和可能存在的風(fēng)險隱患每年至少進(jìn)行一次檢測評估，對發(fā)現的問(wèn)題及時(shí)進(jìn)行整改，并將有關(guān)情況報國家行業(yè)主管或監管部門(mén)。（第28條明確了運營(yíng)者每年對關(guān)鍵信息基礎設施需要進(jìn)行一次安全檢測評估）

10、 運營(yíng)者采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)，可能影響國家安全的，應當按照網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全審查辦法的要求，通過(guò)網(wǎng)絡(luò )安全審查，并與提供者簽訂安全保密協(xié)議。運營(yíng)者應當對外包開(kāi)發(fā)的系統、軟件，接受捐贈的網(wǎng)絡(luò )產(chǎn)品，在其上線(xiàn)應用前進(jìn)行安全檢測。（第31、32條明確了對影響國家安全的系統采購的產(chǎn)品及服務(wù)需要通過(guò)網(wǎng)絡(luò )安全審查，外包開(kāi)發(fā)的系統需要進(jìn)行上線(xiàn)前安全檢測，0元中標的項目切記上線(xiàn)前要進(jìn)行安全檢測）

最后簡(jiǎn)單概述下如果沒(méi)有按照關(guān)鍵信息基礎設施安全保護條例開(kāi)展工作，面臨的處罰方式主要要：1、由上級主管單位責令改正，給予警告；2、對單位進(jìn)行相關(guān)罰款；3、對直接負責的主管人員和其他直接責任人員進(jìn)行罰款；4、對直接負責的主管人員和其他直接負責人員依法給予處分；5、發(fā)生重大網(wǎng)絡(luò )安全事件，經(jīng)調查確定為責任事故的，除應當查明運營(yíng)單位責任并依法予以追究外，還應查明相關(guān)網(wǎng)絡(luò )安全服務(wù)機構及有關(guān)部門(mén)的責任，對有失職、瀆職及其他違法行為的，依法追究責任。整體來(lái)說(shuō)處罰的條款比較多且具體，操作性強，各個(gè)單位、各安全責任人需及時(shí)履行自己的網(wǎng)絡(luò )安全義務(wù)，及時(shí)開(kāi)展網(wǎng)絡(luò )安全工作，降低信息系統的被攻擊風(fēng)險，提高信息系統的安全防護能力，網(wǎng)絡(luò )安全工作需要未雨綢繆，不要等到發(fā)生重大網(wǎng)絡(luò )安全事件后再去補救，那樣會(huì )很被動(dòng)。

以上內容來(lái)源于微信號：等級保護測評