2021年8月17日，國務院總理李克強日前簽署國務院令，公布《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》），自2021年9月1日起施行。

本文采用經典分析法5WIH（六何分析法，包含從原因Why、對象What、地點Where、時間When、人員Who以及方法How），帶您深度還原《關鍵信息基礎設施保護條例》。

What 《條例》講了什么事？

關鍵信息基礎設施是國家安全建設和發展的基石，是經濟社會運行的神經中樞，是網絡安全防護的重中之重。黨中央、國務院高度重視關鍵信息基礎設施安全保護工作，在中央網絡安全和信息化委員會的統一領導下，《條例》正式出臺，建立專門保護制度，明確各方責任，提出保障促進措施，有利于進一步健全關鍵信息基礎設施安全保護法律制度體系。

Where 《條例》覆蓋范圍到哪？

《條例》保護對象為整體關鍵信息基礎設施，覆蓋范圍包含公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。

When 《條例》認證程序是何時？

《條例》自2021年9月1日起施行，其中關鍵信息基礎設施認定步驟如下：

步驟1：重要行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門。

步驟2：保護工作部門結合本行業、本領域實際，制定關鍵信息基礎設施認定規則，并報國務院公安部門備案。

步驟3：保護工作部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施，及時將認定結果通知運營者，并通報國務院公安部門。步驟4：關鍵信息基礎設施發生較大變化，可能影響其認定結果的，運營者應當及時將相關情況報告保護工作部門。保護工作部門自收到報告之日起3個月內完成重新認定，將認定結果通知運營者，并通報國務院公安部門

步驟4：關鍵信息基礎設施發生較大變化，可能影響其認定結果的，運營者應當及時將相關情況報告保護工作部門。保護工作部門自收到報告之日起3個月內完成重新認定，將認定結果通知運營者，并通報國務院公安部門。

Who《條例》涉及到哪些責任方？

《條例》涉及對象有國家網信部門、保護工作部門、運營者、公安機關，并劃定了不同部門應承擔的責任，更針對避免行為、鼓勵發展以及其他行為劃定了措施。

Why為何要出臺《條例》？

《條例》出臺原因可從國家與運營者兩個層面解析。從國家層面來說，《條例》的出臺是國家對關鍵信息基礎設施實行重點保護，采取措施，監測、防御、處置來自國內外的網絡安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞，依法懲治危害關鍵信息基礎設施安全的違法犯罪活動，保證任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動，不得危害關鍵信息基礎設施安全。

從運營者層面來說，《條例》出臺后，運營者可依法依規開展關鍵信息基礎設施保護工作，在網絡安全等級保護的基礎上，采取技術保護措施和其他必要措施，應對網絡安全事件，防范網絡攻擊和違法犯罪活動，保障關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。

How 如何落實《條例》？

《條例》針對安全對應責任的落實做了具體要求，包含強化運營主體責任、細化安全保護要求、強化重點安全保障以及嚴格法律責任要求，竭力將責任落實到具體主體，將保護細化到具體要求，保障《條例》順利落實。

1、強化運營主體責任

強調關鍵信息基礎設施運營者在關鍵信息基礎設施安全保護中承擔主體責任，并對于運營者自身安全管理機制的設置進行了嚴格要求。

建立健全網絡安全保護制度和責任制，保障人力、財力、物力投入；

強調主要負責人責任，明確運營者的主要負責人對關鍵信息基礎設施的安全保護負責；

設立專門的安全管理機構，具體負責本單位關鍵信息基礎設施的安全保護工作;

對關鍵崗位人員實施安全背景審查，其中包括運營者專門安全管理機構的負責人及其認定的關鍵崗位人員；

保障專門安全管理機構運行，為本單位專門安全管理機構提供經費和專業人員保障；

優先采購安全可信的網絡產品和服務，規范網絡產品和服務采購活動;

2、細化安全保護要求

實施規劃、建設、使用“三同步”原則

建立健全網絡安全管理、評價考核制度

擬訂關鍵信息基礎設施安全保護計劃

開展網絡安全監測、檢測和風險評估

建立應急預案、演練和處置體系

認定網絡安全關鍵崗位和考核要求

組織網絡安全教育、培訓

建立健全個人信息和數據安全保護制度

履行重大安全事件和威脅的報告義務

落實網絡安全審查要求

提升監測預警和信息共享

3、強化重點安全保障

一是針對關鍵信息基礎設施實施的漏洞探測、滲透測試等活動，應得到有關的部門批準、運營授權和事先報告；二是能源、電信行業為金融、水利和交通等行業關鍵信息基礎設施穩定運行提供重要支撐及資源保障；三是基礎電信網絡具有基礎性、全局性，承載著其他關鍵信息基礎設施，對基礎電信網絡實施漏洞探測、滲透性測試等活動，應當事先向國務院電信主管部門報告；四是國家將采取措施，優先保障能源、電信等關鍵信息基礎設施安全運行。

4、嚴格法律責任要求

天融信賦能關鍵信息基礎設施

為了更好地在關鍵信息基礎設施安全保護工作中發揮安全企業的作用，天融信推出關鍵信息基礎設施保護方案，通過對網絡安全基礎能力底座建設、動態綜合網絡安全防御能力的提升以及網絡安全態勢監管能力的加強，實現關鍵信息基礎設施安全三重保障。首先是嚴格落實網絡安全三同步和等級保護2.0要求，綜合運用網絡安全保護技術措施和管理措施，構建網絡安全基礎能力體系。其次是進一步加強關鍵信息基礎設施保護能力建設，從識別認定、安全防護、檢測評估、監測預警、事件處置等五個環節入手，形成一套技術領先、管理完善、運行高效的動態綜合網絡安全防御體系。同時借助安全態勢感知平臺與大數據存儲分析技術，采集并分析關鍵信息基礎設施系統相關安全數據，為關鍵信息基礎設施安全保障工作提供良好的指導、監督和必要支撐。

關鍵信息基礎設施關乎公眾利益、經濟秩序與國家安全，其安全建設更需要全社會共同努力。作為中國領先的網絡安全、大數據與云服務提供商，天融信始終以成為“民族安全產業的領導者、領先安全技術的創造者、數字時代安全的賦能者”為企業目標，持續提升自主創新能力與核心競爭力，為關鍵信息基礎設施安全保護提供優秀的解決方案和專業的產品及服務，不斷夯實網絡空間安全底座，筑牢關鍵信息基礎設施安全防線，為保障國家安全貢獻企業力量。