《关键信息基础设施安全保护条例》来了,保障数据安全是关键

2021-08-18 16:41

8月17日,国务院正式公布《关键信息基础设施安全保护条例》,并将于2021年9月1日起,与《数据安全法》双法并施,这是继《网络安全法》《数据安全法》颁布后又一配套落地的重要法规,为下一步加强关键信息基础设施安全保护工作提供了必要法治保障。


 1629276469902236.png


关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统等。《关键信息基础设施保护条例》对关键信息基础设施认定、运营者责任义务、保障和促进、法律责任等进行了明确,构建了关键信息基础设施安全保护的整体框架,对涉及国家安全、国计民生、公共利益的关键信息基础设施在网络安全等级保护制度的基础上实行重点保护。

 

关键信息基础设施安全合规要点解读

 

《关键信息基础设施保护条例》对关键信息基础设施运营者的合规工作重点提出了以下五点要求:

 

1.运营者应当建立健全网络安全管理、评价考核制度,组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估。

 

解析:建立健全网络安全管理制度,依法履行相关安全保护义务,明确责任部门和负责人,依法依规落实网络安全监测、数据安全风险评估等要求。

 

2.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并报送情况。

 

解析:对关键信息基础设施安全性和可能存在的风险进行检测评估,也是《网络安全法》中的具体要求,对关键信息基础设施内部的重要数据进行风险评估将成为一种常态化的合规需求。

 

3.关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应及时向保护工作部门、公安机关报告。

 

解析:网络攻击是关键信息基础设施运营者面临的共同挑战,发生重大网络安全事件要采取负责任的行为,增进自身网络安全,采取主动防御,并及时上报,避免攻击威胁升级。

 

4.发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。

 

解析:进一步强化、落实关键信息基础设施运营者主体责任,同时规定了国家网信部门、公安机关依据各自职责依法加强关键信息基础设施安全保护。

 

5.运营者未对关键信息基础设施每年至少进行一次网络安全检测和风险评估,未对发现的安全问题及时整改,或者未按照保护工作部门要求报送情况的,责令改正,给予警告;拒不改正将处10万元以上100万元以下罚款。

 

解析:任何组织和个人一旦未落实关键信息基础设施安全保护条例,或将面临法律法规的严惩。

 

助推关键信息基础设施安全能力建设

 

我国网络安全和信息化事业蓬勃发展,数据泄露、黑客攻击威胁也在不断上升,事故隐患易发多发,针对关键信息基础设施薄弱环节的网络攻击也随之增加。闪捷信息依托多年数据安全实践经验,以及成熟、完备的数据安全产品体系,专业的安全服务专家团队,基于关键信息基础设施安全保护要求,已经为政府、电力、能源、金融、运营商等多个行业的关键信息基础设施运营单位提供了覆盖数据全生命周期的纵深防御能力,为具备关键信息基础设施的运营单位,实现“事前预防、事中控制、事后审计”,打造全流程数据安全治理体系架构:

 

事前预防

通过数据库防火墙,帮助关键信息基础设施运营者发现和过滤数据库的违规访问和攻击行为,提升整体安全防护能力,通过数据库协议分析与访问控制技术,以及内置的数据库安全漏洞库,能够实时发现、识别、阻断针对数据库的安全威胁,实现数据库访问行为控制、高危操作阻断、可疑行为审计,为关键信息基础设施运营者业务稳定和数据安全保驾护航。

 

事中控制

通过数据防泄露,从终端、网络、存储三个维度,融合内容识别、行为监控、过程加密、数据溯源等技术帮助运营者构建内部数据安全防护体系,为使用全IT环境内资源时带来的泄露风险、数据安全问题提供防护措施,流程化管理机制,为关键信息基础设施数据资产在落地、使用、共享三大环节中提供防护手段。

 

事后审计

通过数据库审计,实现对数据库访问行为的全程监控、高危操作的实时告警和安全事件的审计追溯,帮助关键信息基础设施运营者提升数据库运行监控的透明度,降低人工审计成本,真正实现数据库全业务运行可视化、日常操作可监控、危险操作可控制、访问行为可审计、安全事件可追溯。

 

关键信息基础设施安全事关国家网络安全和数据安全,日益成为国家网络空间安全能力建设的核心和关键。闪捷信息将继续致力于核心技术研发创新,为关键信息基础设施运营单位提供体系化的数据安全防御架构,为国家信息系统和关键信息基础设施安全保驾护航,推动国家网络空间安全核心能力建设,筑牢国家网络空间安全的屏障。

 

关于闪捷信息:

闪捷信息(Secsmart)是一家专注数据安全的高新技术企业,在业界率先将人工智能、量子加密技术成功应用于数据安全领域,创新性提出“零信任”动态数据安全治理以及“云管端”立体化数据安全解决方案,产品范围涉及数据安全治理、数据加密、数据脱敏、数据库审计、数据库防火墙、数据防泄漏、大数据安全、云数据安全等,已广泛应用于政府、电力、金融、运营商、医疗、教育等行业。