《关键信息基础设施安全保护条例》政策吹风会中值得关注的三点内容

8月24日,国务院新闻办公室在北京举行国务院政策例行吹风会,邀请了相关部门领导介绍了《关键信息基础设施安全保护条例》有关情况,并答了现场记者的提问。

吹风会内容比较丰富,我通读下来认真学习了一下,觉得其中有三个关键内容值得关注。

一是建立关键信息基础设施认定机制,持续组织开展关键信息基础设施认定工作

关键信息基础设施认定是进行关键信息基础设施安全保护的基础和前提,相信很快会有关键信息基础设施认定的指南细则,以及详细的关键信息基础设施认定的程序和规范出台。并且会选取部分行业进行试点,估计到今年年底或明年上半年,就要组织认定报备提交资料了。

关于关键信息基础设施认定需要关注的是:1)是否以信息系统为单位进行认定,还是以业务为导向涵盖所有支撑业务的系统;2)如果以信息系统为单位,与等级保护定级的关系如何;3)等级保护中已经有报备信息,如何发挥已有信息的价值。

二是《关键信息基础设施安全保护条例》与网络安全法及其它相关立法的关系

在网络安全法确立的制度框架下,《关键信息基础设施安全保护条例》进一步细化了关键信息基础设施安全保护的具体制度要求。在制度设计和条款内容上需要做好与《数据安全法》《个人信息保护法》《保守国家秘密法》《计算机信息系统安全保护条例》等相关法律法规的衔接和协调。

目前网络安全、数据安全、个人信息保护相关的法律、法规以及行业发文已经非常多了,这些法律法规之间的关系,各个条款之间的兼容性,还需要进一步进行整体的规划与梳理。各个法律法规关系清晰了,才能进行有效的兼顾彼此,为制度的落实以及监管检查提供便利。

三是网络安全检查检测统筹协调,避免不必要的检查和交叉检查、重复检查

随着安全法律法规越来越多,安全检查也必然会随之增多,对于关键信息基础设施运营者来讲迎审成本是比较高的。这样很容易出现检查内容重复性大,检查内容宽泛但不深入,浪费了大量的人力物力,但发现问题效果却很有限。

不同法律法规检查条款进行融合,所有监管机构统一使用一套检查标准,检查结果能够互相认可是未来的趋势。这方面美国很早就把各机构的检查标准进行了融合,国内银行业曾经以信息科技风险管理为主线,进行过监管检查条款与检查标准的融合,也取得了一定的效果。

扩展  ·  本文相关链接

· 等级保护的发展以及在关键信息基础设施行业推广

· 《关键信息基础设施安全保护条例》发布,后续准备梳理与总结的系列关键点

· 针对滴滴被安全审查事件,我想表达的几个风险管理观点

(0)

相关推荐