解读:本条明确了负责指导和管理关键信息基础设施网络安全工作的专门机构的职责。关键信息基础设施安全保护计划和具体的保护保障工作,均需要关基运营者自行拟定或开展。根据本条例第五章,关基运营者未将上述职责落实到位的,均会承担相应的法律责任或罚款。
1、网络安全保护计划的拟定上,需要在前期完成关键业务链的全面风险评估后,结合风险评估报告,明确关键信息基础设施安全保护工作的目标、安全策略、组织架构、管理制度、技术措施等内容。要制定相关的安全策略如安全互联策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、自动化机制策略、供应链安全管理策略、安全运维策略等,同时要结合安全策略,细化落实到具体的安全制度上,如风险管理制度、网络安全考核及监督问责制度、网络安全教育培训制度、人员管理制度、业务连续性管理及容灾备份制度、三同步制度、供应链安全管理制度等。
2、在满足合规性要求的基础上,要通过建立关键信息基础设施安全检测评估制度、常态化监测预警、快速响应机制等建设和推动组织的安全防护能力。
3、关基运营者需要制定网络安全事件应急预案,需要根据2017年6月中央网信办印发的《国家网络安全事件应急预案》规定,从组织机构与职责、应急措施(监测与预警、应急处置、调查与评估、预防)、保障措施三个方面制定,同时要每年至少组织1次本单位的应急演练。
4、本条例第七条指出,国家对于关键信息基础设施安全保护工作中取得显著成绩或者突出贡献的单位和个人给予表彰,本条规定了关键信息基础设施运营者组织内部也需要建立“奖惩”机制和考核机制,与国家要求充分呼应。
5、运营者需要建立网络安全培训制度,定期开展基于岗位的网络安全教育培训和技能考核,并且适当规定关键信息基础设施从业人员和网络安全关键岗位从业人员的年度培训时长,从网络安全相关制度和规定、网络安全保护技术和安全意识等方面进行培训。
6、运营者需要建立数据安全管理责任和评价考核机制,制定数据安全保护计划和基于数据分类分级的数据安全保护策略。在2021年9月1日即将施行的《中华人民共和国数据安全法》对关键信息基础设施运营者的数据保护也同样进行了规定,即“第三十一条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”。
