2021年4月27日，國務院第133次常務會議通過了《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》），并于2021年9月1日起施行。已經(jīng)有很多文章對《條例》做了深入解讀。本文就不再針對條例進行解讀，只對用戶關心的《條例》發(fā)布后等保工作該如何開展進行分析。

等保系統(tǒng)中哪些屬于關鍵信息基礎設施？

《條例》第二條明確對關鍵信息基礎設施做出了定義：“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡設施、信息系統(tǒng)等”屬于關鍵信息基礎設施。

根據(jù)《GB/T 22240-2020 信息安全技術 網(wǎng)絡安全等級保護定級指南》，網(wǎng)絡設施、信息系統(tǒng)等一旦遭到破壞，喪失功能或者數(shù)據(jù)泄露，對國計民生和公共利益造成嚴重危害的系統(tǒng)應定為三級，對國家安全造成嚴重危害的系統(tǒng)應該定為四級。由此可見，關鍵信息基礎設施一般應定為三級或者四級，或者說應該在等保三級或四級系統(tǒng)中識別關鍵信息基礎設施。

當然，關鍵信息基礎設施保護監(jiān)管部門應結合本行業(yè)、本領域?qū)嶋H情況，制定關鍵信息基礎設施的認定規(guī)則，報國務院公安部門備案，并根據(jù)認定規(guī)則，組織本行業(yè)、本領域的關鍵信息基礎設施認定。也就是說，各行各業(yè)要根據(jù)《條例》要求梳理目前已定級與未定級系統(tǒng)，識別出哪些屬于關鍵信息基礎設施，并報國務院公安部門備案。

《條例》發(fā)布后等保工作是否需要調(diào)整？

《條例》規(guī)定，關鍵信息基礎設施應在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。也就是說，等保該做的還是正常做（根據(jù)等保要求被認定為三級或三級以上的系統(tǒng)至少需要每年進行一次等級保護測評工作）。《條例》同時要求，對關鍵信息基礎設施每年進行網(wǎng)絡安全檢測和風險評估。所以，除了進行等級保護測評還需要進行安全檢測和風險評估，這里的安全檢測和風險評估應該是同一項工作，我們可以把它統(tǒng)稱為安全評估。具體如何進行，相關部門正在制定評估標準，標準發(fā)布后將依據(jù)標準進行評估。

同時，《條例》中還對關鍵信息基礎設施中的密碼使用和管理提出了要求，應當遵守相關法律、行政法規(guī)的規(guī)定。按照《商用密碼應用安全性評估管理辦法（試行）》，涉及國家安全和社會公共利益的重要領域網(wǎng)絡和信息系統(tǒng)的建設、使用、管理單位應當健全密碼保障體系，實施商用密碼應用安全性評估。故今后被認定為關鍵信息基礎設施，需要同時開展等保測評、密評與關鍵信息基礎設施安全評估。

中國金融認證中心（CFCA）是一家以綜合網(wǎng)絡安全服務為核心的科技企業(yè)，擁有國家認可的“網(wǎng)絡安全等級保護測評機構推薦證書”，屬于國家密碼管理局《商用密碼應用安全性評估試點機構目錄》試點企業(yè)，可開展等保測評、密評等一系列安全服務。多年來，服務客戶覆蓋能源、交通、水利、金融等重要基礎設施行業(yè)，助力客戶滿足國家網(wǎng)絡安全要求，全面提升網(wǎng)絡安全防護能力。


編輯：薛姣