解讀：

本條規(guī)定了負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門組織開展關(guān)鍵信息基時(shí)確保了網(wǎng)如設(shè)施安全保護(hù)、監(jiān)督和指導(dǎo)等工作。一是行業(yè)主管部門要組織制定并實(shí)施本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃，監(jiān)督、指導(dǎo)本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，落實(shí)主管責(zé)任。二是國家網(wǎng)信、公安、保密、密碼、安全等部部門，按照法律賦予的職責(zé)，根據(jù)任務(wù)分工，分別組織制定并實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)劃行下列統(tǒng)籌協(xié)調(diào)，監(jiān)督檢查指導(dǎo)行業(yè)主管部門、網(wǎng)絡(luò)運(yùn)營者落實(shí)安全規(guī)劃，開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)各項(xiàng)工作，落實(shí)責(zé)任制，加強(qiáng)考核和督辦。

解讀：

本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的功能性能要求和“三同步”要求。重要行業(yè)部門建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施時(shí)，著重考慮兩個(gè)要素：一個(gè)是功能、性能要求；另一個(gè)是安全要求。建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施投資較大，在規(guī)劃設(shè)計(jì)階段，要充分論證，以滿足業(yè)務(wù)需求，保證業(yè)務(wù)的連續(xù)性和穩(wěn)定性。同時(shí)，關(guān)鍵信息基礎(chǔ)設(shè)施在規(guī)劃設(shè)計(jì)階段，一定要同步規(guī)劃、同步設(shè)計(jì)安全技術(shù)措施和管理措施，安全保護(hù)設(shè)施與信息化設(shè)施同步建設(shè)、同步使用，確保關(guān)鍵信息基礎(chǔ)設(shè)施的功能、性能能正常發(fā)揮。為了保證該項(xiàng)規(guī)定的落實(shí)，業(yè)務(wù)部門和信息化部門在制定網(wǎng)絡(luò)、系統(tǒng)建設(shè)方案時(shí)，一定要確定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)等級，根據(jù)其安全等級，按照國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)同步制定安全建設(shè)方案，聘請專家進(jìn)行評審，方案通過后方可進(jìn)行建設(shè)、運(yùn)行。關(guān)鍵信息基礎(chǔ)設(shè)施在上線之前，還要進(jìn)行源代碼檢測、等級測評、風(fēng)險(xiǎn)評估，確保網(wǎng)絡(luò)系統(tǒng)運(yùn)行安全和數(shù)據(jù)、信息安全。

解讀：

本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)落實(shí)的重點(diǎn)措施。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者除落實(shí)本法第二十一條規(guī)定的措施外，還要落實(shí)幾項(xiàng)重點(diǎn)措施。

一是建立完善領(lǐng)導(dǎo)體系，成立專門的網(wǎng)絡(luò)安全管理機(jī)構(gòu)，明確專門負(fù)責(zé)網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)，確保政令暢通。

二是對負(fù)責(zé)人、管理員、運(yùn)維人員等關(guān)鍵崗位人員進(jìn)行背景審查，確保關(guān)鍵崗位、部門的人員可靠。

三是建設(shè)或利用合作單位培訓(xùn)、訓(xùn)練環(huán)境，采取網(wǎng)上網(wǎng)下等多種形式對關(guān)鍵崗位人員、從業(yè)人員進(jìn)行意識教育、網(wǎng)絡(luò)安全技術(shù)培訓(xùn)及攻防對抗演練，提高網(wǎng)絡(luò)安全業(yè)務(wù)能力和實(shí)戰(zhàn)能力。四是對有關(guān)崗位人員進(jìn)行分級分類管理，分類考核，將考核成績納人年終考評。五是對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份，包括同城、異地方式及冷備、熱備方式，保證系統(tǒng)運(yùn)行安全、數(shù)據(jù)和信息安全。六是制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，備建隊(duì)伍、裝備，建立與有關(guān)部門、企業(yè)的配合機(jī)制，并定期進(jìn)行演練，以檢驗(yàn)預(yù)案的有效性和針對性。六是落實(shí)《國家安全法》《反恐怖主義法》《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等法律、行政法規(guī)規(guī)定的其他義務(wù)。

解讀：

本條規(guī)定了非常態(tài)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國家安全審查機(jī)制。2015年出臺的《國家安全法》確立了國家安全審查制度。在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，如果影響國家安全，用戶按照世界貿(mào)易組織規(guī)則，可以按照國家安全例外原則，對采購的產(chǎn)品和服務(wù)進(jìn)行限制。關(guān)鍵信息基礎(chǔ)設(shè)施安全涉及國家安全，因此，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營若網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，對可能影響國家安全的，應(yīng)當(dāng)由國家網(wǎng)信部門會同國務(wù)院門組織開展國家安全審查，審查通過的，方可采購。本條規(guī)定了國家安全審查機(jī)制是非常態(tài)化的，只有在可能影響國家安全的特殊情況下才能啟啟動，不是對網(wǎng)絡(luò)產(chǎn)品和服務(wù)開展的常態(tài)的網(wǎng)絡(luò)安全認(rèn)證和檢測。

解讀：

本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、服務(wù)商在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)的安全責(zé)任和義務(wù)，防范外包服務(wù)安全，關(guān)注供應(yīng)鏈安全。產(chǎn)品和服務(wù)是關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)、運(yùn)維中的重要內(nèi)容，是供應(yīng)鏈安全的核心，而供應(yīng)鏈安全又是容易被用戶疏忽的網(wǎng)絡(luò)安全的重要內(nèi)容。因此，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)要采購符合國家有關(guān)規(guī)定的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，慎重選擇提供者；二要與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議，明確其安全保密責(zé)任和義務(wù)；三要采取有效措施，監(jiān)督網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者落實(shí)安全保密責(zé)任和義務(wù)。

解讀：

本條規(guī)定了對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的數(shù)據(jù)留存和提供的要求。大數(shù)據(jù)涉及國家安全的方方面面，其廣泛應(yīng)用帶來的安全挑戰(zhàn)日漸凸顯，應(yīng)切實(shí)采取措施，加強(qiáng)對關(guān)鍵信息基礎(chǔ)設(shè)施和大數(shù)據(jù)安全的監(jiān)管和防護(hù)。國家將出臺關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)對外提供的安全評估辦法，有關(guān)部門將對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的數(shù)據(jù)留存和提供進(jìn)行監(jiān)督、檢査，以確保重要數(shù)據(jù)安全符合國家法律法規(guī)和有關(guān)標(biāo)準(zhǔn)要求。數(shù)據(jù)保護(hù)的主要環(huán)節(jié)包括數(shù)據(jù)采集、存儲、處理、應(yīng)用、流動、提供和銷毀。大數(shù)據(jù)的基本特征是體量大、種類多、聚合快、價(jià)值高，受到破壞、泄露或篡改會對國家安全、社會秩序或公共利益造成嚴(yán)重影響，因此，大數(shù)據(jù)安全保護(hù)的原則是以數(shù)據(jù)為核心，以數(shù)據(jù)保護(hù)環(huán)節(jié)為主線，落實(shí)不同安全保護(hù)等級的數(shù)據(jù)在保護(hù)環(huán)節(jié)中的基本要求。

在我國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)進(jìn)行安全評估。個(gè)人信息出境，應(yīng)向個(gè)人信息主體說明數(shù)據(jù)出境的目的、范圍、內(nèi)容、接受方及接收方所在的國家或地區(qū)，并經(jīng)其同意。行業(yè)主管部門負(fù)責(zé)本行業(yè)數(shù)據(jù)出境安全評估工作，定期組織開展本行業(yè)數(shù)據(jù)出境安全檢查。

網(wǎng)絡(luò)運(yùn)營者應(yīng)在數(shù)據(jù)出境前，自行組織對數(shù)據(jù)出境進(jìn)行安全評估，并對評估結(jié)果負(fù)責(zé)。數(shù)據(jù)出境安全評估應(yīng)重點(diǎn)評估以下內(nèi)容：數(shù)據(jù)據(jù)出境的必要性；涉及個(gè)人信息情況，包括個(gè)人信息的數(shù)量、范圍、類型、敏感程度，以及個(gè)人信息主體是否同意其個(gè)人信息出境等；涉及重要數(shù)據(jù)情況，包括重要數(shù)據(jù)的數(shù)量、范圍、類型及其敏感程度等；數(shù)據(jù)接收方的安全保護(hù)措施、能力和水平，以及所在國家和地區(qū)的網(wǎng)絡(luò)安全環(huán)境等；數(shù)據(jù)出境及再轉(zhuǎn)移后被泄露、毀損、篡改、濫用等風(fēng)險(xiǎn)；數(shù)據(jù)出境及出境數(shù)據(jù)匯聚可能對國家安全、社會公共利益、個(gè)人合法利益帶來的風(fēng)險(xiǎn)。

解讀：

本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者開展安全檢測評估的規(guī)定。安全檢測評估活動主要包括等級測評、風(fēng)險(xiǎn)評估、滲透測試等第三方檢測機(jī)構(gòu)的技術(shù)服務(wù)活動。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者開展檢測評估，分為兩種方式。一種方式是自行檢測評估，利用自己的技術(shù)力量開展，屬于自評估性質(zhì)；另一種方式是委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開展評估，是按照國家有關(guān)要求實(shí)施。對于后一種方式，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者要按照國家網(wǎng)絡(luò)安全等級保護(hù)制度要求，聘請符合有關(guān)要求的第三方測評機(jī)構(gòu)，對第三級以上網(wǎng)絡(luò)系統(tǒng)，每年開展一次等級測評、風(fēng)險(xiǎn)評估工作。這兩種方式不能混淆，不能相互替代，都要開展。

解讀：

本條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)采取的措施。國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門積極支持，網(wǎng)絡(luò)安全職能部門、行業(yè)主管部門、信息安全企業(yè)等充分發(fā)揮作用，形成合力，支持關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者對關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取安全監(jiān)測、通報(bào)預(yù)警、態(tài)勢感知、風(fēng)險(xiǎn)評估、應(yīng)急演練、信息共享、應(yīng)急處置等措施，建立關(guān)鍵信息基礎(chǔ)設(shè)施綜合防御體系，提高綜合防御能力。