組織制定關鍵信息基礎設施認定規則。
重要行業和領域的主管部門、監管部門是負責關鍵信息基礎設施安全保護工作的部門。保護工作部門應根據中央有關文件要求,從維護國家安全、社會公共安全、人民群眾利益和重要業務安全的高度,對本行業、本領域網絡設施和信息系統等進行梳理,參考公安部發布的關鍵信息基礎設施識別認定指南,制定關鍵信息基礎設施認定規則,組織專家進行評審,并報公安部備案。
組織認定關鍵信息基礎設施。
保護工作部門應聚焦本行業、本領域的核心業務,在網絡安全等級保護工作的基礎上,根據本行業、本領域關鍵信息基礎設施認定規則和關鍵信息基礎設施識別認定指南,組織確定關鍵信息基礎設施清單,通過專家評審后報公安部備案。一個關鍵信息基礎設施可能涉及一個或多個運營者,可能包含一個或多個網絡安全等級保護對象;若包含多個網絡安全等級保護對象,則至少含有一個第三級以上網絡安全等級保護對象。
及時處理關鍵信息基礎設施變更。
關鍵信息基礎設施發生較大變化,可能影響其認定結果的,關鍵信息基礎設施運營者應及時將相關情況報告保護工作部門;保護工作部門重新認定關鍵信息基礎設施,將認定結果通知運營者,并報公安部備案。
開展關鍵信息基礎設施安全保護工作的十個總體要求
關鍵信息基礎設施保護工作部門和運營者應按照《網絡安全法》《關鍵信息基礎設施安全保護條例》等法律法規要求,組織開展關鍵信息基礎設施安全保護工作。
落實網絡安全等級保護制度2.0要求。
保護工作部門和運營者應按照《網絡安全法》《關鍵信息基礎設施安全保護條例》要求,認真落實國家網絡安全等級保護制度,依據《網絡安全等級保護基本要求》《網絡安全等級保護安全設計技術要求》《網絡安全等級保護測評要求》等國家標準,開展網絡安全技術設計、網絡安全建設整改和等級測評,健全完善網絡安全管理制度,構建關鍵信息基礎設施綜合防御體系,不斷提升關鍵信息基礎設施安全保護能力。
落實關鍵信息基礎設施安全保護責任。
保護工作部門要明確一名領導班子成員分管關鍵信息基礎設施安全保護工作,并確定承擔具體工作的司局級單位。保護工作部門、運營者要嚴格落實《黨委(黨組)網絡安全工作責任制實施辦法》,主要負責人對關鍵信息基礎設施安全保護負總責,并明確一名領導班子成員作為首席網絡安全官分管安全保護工作,設置專門網絡安全管理機構。同時,要建立健全網絡安全管理和評價考核制度,加強網絡安全統籌規劃和貫徹實施。
強化關鍵信息基礎設施的供應鏈安全。
保護工作部門和運營者要高度重視關鍵信息基礎設施涉及的信息技術產品和服務等供應鏈安全。運營單位應優先采購安全可信的網絡產品和服務,并對關鍵信息基礎設施設計、建設、運行、維護等服務環節加強安全管理。運營單位采購網絡產品和服務,應按照有關規定與網絡產品和服務提供者簽訂安全保密協議,并對其責任義務履行情況進行監督。
加強重要數據安全保護。
運營者要全面梳理掌握本單位重要數據底數和安全保護狀況,對重要系統和數據庫進行容災備份,并采取國產密碼保護、可信計算等關鍵技術防護措施,切實保護數據在采集、存儲、傳輸、應用、銷毀等環節的安全,確保其全生命周期的安全。
積極配合公安機關開展網絡攻防演習和網絡安全執法檢查。
按照中央要求和法律賦予的職責任務,公安機關每年組織開展“護網行動”網絡攻防實戰演習、網絡安全執法檢查、技術檢測和滲透測試,組織開展網絡安全專項整治行動。保護工作部門、運營者應積極配合公安機關開展有關工作,不斷提升攻防對抗能力以及與公安機關的協同配合能力,提高國家整體應對網絡戰威脅能力。
建立健全關鍵信息基礎設施案事件報告和應急處置機制。
運營者應不斷健全完善網絡安全應急預案,定期組織應急演練。保護工作部門、運營者與公安機關應建立網絡安全案事件報告制度和應急處置機制,關鍵信息基礎設施一旦發生網絡安全案事件或者發現重大網絡安全威脅,運營者應第一時間向受理備案的公安機關報告,保護現場和證據,開展應急處置,協助配合公安機關開展調查處置和偵查打擊。
加強實時監測和信息通報預警機制建設,落實常態化措施。
保護工作部門應在國家網絡與信息安全信息通報中心指導下,建立健全本行業、本領域網絡安全信息通報預警制度。運營者應建設網絡安全應急指揮中心,落實7x24小時值班值守機制,利用網絡安全態勢感知平臺,大力開展網絡安全實時監測、威脅情報、通報預警、應急處置、指揮調度等工作,大力提升網絡安全突發事件的應對能力。
建立網絡安全態勢感知平臺。
保護工作部門、運營者應按照公安部要求,建設本行業、本領域網絡安全態勢感知平臺,并與公安部平臺對接,形成縱橫聯通、協同作戰的立體化國家關鍵信息基礎設施安全保衛大系統,構建國家關鍵信息基礎設施安全綜合防御體系。
大力加強高端人才培養,選好用好特殊人才。
公安部通過組織開展演習和比武競賽,發現了一批高端人才并通報給有關保護工作部門、運營者。有關單位和部門應建立特殊人才發現、選拔、使用機制,與公安機關密切配合,通過培訓和訓練,提升網絡安全人才的實戰化能力。
保障經費和人員投入。
運營者應配備足夠的專門人員,設置網絡安全專項經費,保障關鍵信息基礎設施開展等級測評、風險評估、攻防演練、安全建設整改、安全保護平臺建設、教育培訓等的經費投入,加強信息化手段建設,提高技術管網能力。