关键信息基础设施.pptxVIP

关键信息基础设施公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等领域设施目录监督管理设施定义0201认定规则履行的安全保护义务：0304运营者络安全审查0605目录保护条例络安全审查的范围0807国家标准09基本信息关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要络设施、信息系统等。 2021年4月27日，《关键信息基础设施安全保护条例》经国务院第133次常务会议通过，自2021年9月1日起施行。 2022年11月，《信息安全技术关键信息基础设施安全保护要求》（GB/T -2022）国家标准发布。 设施定义设施定义关键信息基础设施定义：面向公众提供络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统；这些系统、服务、络和基础设施要么提供基本商品和服务，要么构成其他关键基础设施的基础平台。它们被视为重要的信息基础设施，因为它们的中断或破坏将对重要的社会功能产生严重影响。这些系统一旦发生络安全事故，会影响重要行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失 ?。监督管理监督管理在国家信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。 ?认定规则认定规则制定认定规则应当主要考虑下列因素：（一）络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；（二）络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；（三）对其他行业和领域的关联性影响。 ?履行的安全保护义务：履行的安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定络安全事件应急预案，并定期进行演练；（五）采取数据分类、重要数据备份和加密等措施；（六）制定内部安全管理制度和操作规程，确定络安全负责人，落实络安全保护责任；（七）采取防范计算机病毒和络攻击、络侵入等危害络安全行为的技术措施；（八）采取监测、记录络运行状态、络安全事件的技术措施，并按照规定留存相关的络日志不少于六个月；（九）法律、行政法规规定的其他义务 ?。运营者运营者关键信息基础设施运营者（CIIO）的认定，需要通过国家信部门与国务院电信主管部门公安部门等部门指定的关键信息基础设施识别指南。国家行业主管或监管部门按照关键信息基础设施识别指南，识别本行业本领域的关键信息基础设施。运行、管理的络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，违反络安全法，可能严重危害国家安全、国计民生、公共利益的，属于关键信息基础设施，应当纳入保护范围。络安全审查络安全审查络产品和服务的供应商是否需要申报络安全审查。答案是：不需要。但是，向CII运营者提供络产品和服务的公司，有配合络安全审查的义务，包括签订含有络安全审查内容的采购文件、协议、合同，提供材料和补充材料等。 ?供应商向CII运营者销售络产品和服务时，应注意采购文件、协议、拟签订的合同等需要考虑络安全审查的要求，包括：(1)承诺不利用提供产品和服务的便利条件非法获取用户数据;(2)不得非法控制和操纵用户设备;(3)无正当理由不得中断产品供应或必要的技术支持服务，等等。CIIO结合预判指南提出对国家安全的风险评估，络安全审查工作机制成员单位还可以主动对络产品和服务发起主动审查。通常安全审查在45个工作日内完成，复杂情况延长15天。络安全审查的范围络安全审查的范围属于审查范围的络产品和服务是指核心络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的络产品和服务。保护条例保护条例关键信息基础设施安全保护条例 ?第一章　总　　则第一条　为了保障关键信息基础设施安全，维护络安全，根据《中华人民共和国络安全法》，制定本条例。第二条　本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要络设施、信息系统等。第三条　在国家信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施