法定运营者责任——数据中心安全不再是“商务”需求
- 2021/8/27 7:02:34 作者: 来源:中国IDC圈
-
数据中心属于信息系统的一部分,也将纳入《关键信息基础设施安全保护条例》管理的范围之内。
近日,《关键信息基础设施安全保护条例》(以下简称《条例》)公布,并将于9月1日起正式实施。《条例》在8月17日公布后,先由司法部、网信办、工业和信息化部、公安部等四部门负责人于18日就《条例》问题进行了答记者问,又于8月24日由国新办举行了政策吹风会,由以上部门发言人现场就记者提问进行了解答。短短7天进行了两次解答,相关部门对《条例》颁发和执行的重视程度可见一斑。
相关负责人指出,《条例》的出台进一步完善了我国网络安全法律的体系,在细化《中华人民共和国网络安全法》有关规定的基础上,将实践证明比较成熟的一些做法上升为法规制度。
数据中心是不是关键信息基础设施?
何为关键信息基础设施?
《条例》第二条阐明:本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
显然,数据中心属于以上所指信息系统的一部分,也将纳入《条例》管理的范围之内。不过并不是所有数据中心都会列为关键信息基础设施,具体到哪些数据中心会被纳入其中,《条例》第九条对认定做出了详细的说明:保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。
制定认定规则应当主要考虑下列因素:
(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
(三)对其他行业和领域的关联性影响。
一旦某数据中心设施被列为关键信息基础设施,该设施的安全管理就需要按照《条例》来管理、执行。同时,该数据中心设施的运营者也将负担起相关的责任。
压实运营者主体责任
数据中心向来重视安全管理,不过以往的安全管理往往出于商务上的需求。比如金融IDC的安全性就远超一般的互联网应用IDC,可以说安全程度与客户重视程度相关,与合同金额相关,是一种双方约定的责任。
《条例》颁布后,一旦数据中心被认定为关键信息基础设施,那么该数据中心的安全保障就不再是简单的商务约定,而是事关国家安全的法律责任。
《条例》第四条要求,关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。
第六条进一步要求,运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
而在《条例》第三章,则用了整整一章篇幅来详细阐明关键信息基础设施运营者的主体责任和义务。
有义务、有责任、有监督
《条例》第三章,对关键信息基础设施运营者的责任义务作出了详细规定。《条例》要求安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。运营者应当建立健全网络安全保护制度和责任制、设置专门安全管理机构、进行的定期的检查与风险评估等,并且在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。
工业和信息化部网络安全管理局局长隋静在回答记者相关提问时表示,工信部近年来认真贯彻落实《网络安全法》,陆续出台了近20项规范性文件,颁布实施了300余项网络与信息安全标准。下一步,工信部将认真贯彻落实《条例》,进一步细化明确本行业本领域关键信息基础设施运营者的主体责任,围绕完善行业监管机制、健全技术能力体系、加强监督检查、强化网络安全产业支撑等方面,督促运营者切实落实责任要求。
对于具体的实施,隋静提出了4个工作重点:
一是完善安全监督管理机制。我们将加快修订《通信网络安全防护管理办法》,扎实做好行业政策体系与条例的衔接和落实。健全行业网络安全标准体系,制定出台行业关键信息基础设施安全保护系列标准,并推动落地。持续推进行业关键信息基础设施识别认定。
二是健全安全技术能力体系。组织建设和运行行业关键信息基础设施网络安全防护、数据安全保护、监测预警和应急处置等技术措施,构建完善安全监测和事件处置机制,促进提升安全风险协同防范能力。
三是加强行业安全监督检查。监督管理行业关键信息基础设施运营者落实安全主体责任,完善行业关键信息基础设施网络安全监督检查机制,深入开展行业关键信息基础设施安全防护检查检测,督促整改网络安全问题隐患。
四是强化网络安全产业支撑,开展网络安全技术应用试点示范,支持面向关键信息基础设施的安全技术创新应用。提升网络安全产品和服务供给水平,举办多层次网络安全技能竞赛,强化人才队伍支撑保障。
相对应的,如果运营者没有尽到责任,《条例》在第五章法律责任中也详细阐述了各类违反条例行为将会受到的惩罚。《条例》表明,根据不同的行为及后果,运营者可能被处以少则1万元,多则100万元的罚款。情节严重的,将被依法追究相应法律责任。
“条例特别强调运营者的主体责任,这是基础、是关键。”国家网信办副主任盛荣华表示,关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。保障关键信息基础设施安全,对于维护国家网络安全、网络空间主权和国家安全,保障经济社会健康发展,维护公共利益和公民合法权益都具有十分重大的意义。
编辑:Harris
数据中心属于信息系统的一部分,也将纳入《关键信息基础设施安全保护条例》管理的范围之内。