关键信息基础设施安全保护条例

概述

《关键信息基础设施安全保护条例》（以下简称《条例》）于2021年4月27日国务院第133次常务会议通过，自2021年9月1日起正式施行。《条例》是《中华人民共和国网络安全法》的重要配套法规，共六章五十一条，对关键信息基础设施的认定、安全保护义务、监督检查和法律责任作出了全面规定。

《条例》的出台标志着我国关键信息基础设施安全保护进入了法治化、规范化的新阶段。关键信息基础设施是经济社会运行的神经中枢，其安全关乎国家安全、经济发展和公共利益。电力、石油石化、轨道交通、水务、智能制造等行业的工业控制系统是关键信息基础设施的重要组成部分，也是网络安全防护的重点领域。

认定标准与流程

《条例》规定，国家对关键信息基础设施实行重点保护，采取措施监测、防御、处置来源于境内外的网络安全风险和威胁。关键信息基础设施的认定标准是：一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

认定工作按照”谁主管谁负责”的原则，由保护工作部门（即行业主管部门）负责本行业、本领域关键信息基础设施的认定工作。认定过程需征求国务院公安部门的意见，并将认定结果通知运营者。电力行业的认定由国家能源局负责，轨道交通行业的认定由交通运输部负责，工业领域的认定由工业和信息化部负责。

关键信息基础设施的认定需要综合考虑多个因素：网络设施和信息系统在行业中的重要性、遭到破坏后对国家安全和公共利益的影响程度、在产业链中的核心地位、服务范围和用户规模等。认定结果不是一成不变的，当运营者的业务或技术环境发生重大变化时，保护工作部门应当重新进行认定。

运营者的安全保护义务

《条例》明确了关键信息基础设施运营者（以下简称运营者）的七项核心安全保护义务，这些义务构成了关基保护的合规框架。

第一项是设置专门安全管理机构，配备安全管理人员。运营者应当设立由主要负责人领导的安全管理机构，并对安全管理机构负责人和关键岗位人员进行安全背景审查。第二项是安全建设与运行，运营者应当建立健全网络安全保护制度，落实安全防护措施。第三项是安全风险评估，每年至少进行一次网络安全检测和风险评估，及时整改安全隐患。

第四项是网络安全事件应急演练，每年至少组织一次，提升安全事件的应急处置能力。第五项是数据安全保护，在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储，确需向境外提供的应当进行安全评估。第六项是供应链安全管理，应当采购安全可信的网络产品和服务，采购网络产品和服务可能影响国家安全的应当按照国家网络安全规定通过安全审查。第七项是配合监督检查，如实提供相关数据和信息。

与等保2.0的关系

关基保护与等保2.0构成了我国网络安全的双层防护体系。等保2.0是基础性制度，适用于所有网络运营者；关基保护是在等保基础上对关键信息基础设施提出的更高要求。

在合规实践中，关键信息基础设施运营者需要同时满足两套要求。等保2.0提供了具体的技术标准和管理规范，关基保护则从制度层面提出了更高层面的管理要求。两者在安全建设、风险评估、应急响应等方面形成了互补关系。关键信息基础设施系统的等保定级通常为第三级或第四级，需要每年至少进行一次等级测评，而关基条例额外要求每年至少进行一次安全风险评估和应急演练。

对工控行业的影响

《条例》的实施对工控行业产生了深远影响。电力、石油石化、轨道交通、水务和煤炭矿山等行业的生产控制系统大多被纳入关键信息基础设施范围，这些行业面临更加严格的合规要求和安全防护标准。

在技术防护层面，关基保护要求工控系统建立纵深防御体系，部署工控防火墙、入侵检测系统、安全审计系统和终端安全防护等手段。在管理层面，要求建立覆盖全生命周期的安全管理机制，包括安全建设、安全运维、风险评估和应急响应。在供应链层面，要求对工控设备和软件进行安全评估，防范供应链安全风险。

对于工控行业企业而言，关基保护既是合规压力，也是推动工控安全建设的重要契机。企业应当将关基保护要求与等保2.0合规、行业安全标准建设统筹规划，构建覆盖物理环境、网络通信、区域边界、计算环境和安全管理的全面防护体系。

常见问题