2020年8月13日10时30分许,三河市公安局在对三河某燃气有限公司进行网络安全检查时发现,该单位未建立安全培训和考核制度,没有对信息安全进行等级保护,未落实网络安全保护责任。
2020年8月17日,三河市公安局在对三河市内三家关键信息基础设施单位进行网络安全检查时发现,这三家单位未建立安全培训和考核制度,没有对信息安全进行等级保护,未落实网络安全保护责任。
公安根据《中华人民共和国网络安全法》第三十三条、第三十四条、第三十六条、第三十八条和第五十九条第二款之规定,依法对上述四家单位警告处罚。
早在2014年2月27日召开的中央网络安全和信息化领导小组第一次会议正式提出关键信息基础设施。2017年6月1日《网络安全法》正式实施,明确规定国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的保护是贯彻《网络安全法》的重中之重!
网络安全法解读
通过此次事件,以下我们就《网络安全法》中关键信息基础设施安全条款和法律责任加以解读,条款提出了关键信息基础设施的范围,明确了与网络安全等级保护制度的关系,规定了关键信息基础设施保护的主要内容。
【第三十一条】 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
解读:本条款定义了关键信息基础设施的范围,强调了必须落实网络安全等级保护制度,并进行重点保护。国务院将制定相应的关键信息基础设施安全保护办法。
【第三十三条】 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
解读:本条款说明了如何建设关键信息基础设施,强调了安全技术实施的三同步原则。
适用法律责任:【第五十九条】
【第三十四条】 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份;(四)制定网络安全事件应急预案,并定期进行演练;(五)法律、行政法规规定的其他义务。
解读:本条款规定了关键信息基础设施的保护要求高于第二十一条的网络安全等级保护制度要求;同时强调了背景审查、教育培训和考核、容灾备份、应急预案和演练。
适用法律责任:【第五十九条】
【第三十六条】 关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
解读:本条款的核心是明确外包服务安全,强调签订安全保密协议。
适用法律责任:【第五十九条】
【第三十八条】 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
解读:本条款的关键词是等级测评,风险评估,渗透测试。
适用法律责任:【第五十九条】
【第三十九条】 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
解读:本条款规定了国家主管部门关于承担统筹协调的工作要求。
具体法律责任条款
【第五十九条】 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。