《网络安全法》解读系列之四--关键信息基础设施安全要求
本系列针对关键信息基础设施安全条款和法律责任加以解读。这部分条款,提出了关键信息基础设施的范围,明确了与网络安全等级保护制度的关系,规定了关键信息基础设施保护的主要内容,以及在数据留存和提供方面的要求。
【第三十一条】
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
解读
本条款定义了关键信息基础设施的范围,强调了必须落实网络安全等级保护制度,并进行重点保护。国务院将制定相应的关键信息基础设施安全保护办法。【第三十二条】
按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。
解读
本条款说明了要制定关键信息基础设施安全规划,和谁来负责制定规划。
【第三十三条】
建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
解读:
本条款说明了如何建设关键信息基础设施,强调了安全技术实施的三同步原则。
适用法律责任:【第五十九条】
【第三十四条】
除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
解读:
本条款规定了关键信息基础设施的保护要求高于第二十一条的网络安全等级保护制度要求;同时强调了背景审查、教育培训和考核、容灾备份、应急预案和演练。
适用法律责任:【第五十九条】
【第三十五条】
关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
解读
本条款规定了采购网络产品和服务的非常态的国家安全审查要求。
适用法律责任:【第六十五条】
【第三十六条】
关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
解读
本条款的核心是明确外包服务安全,强调签订安全保密协议。
适用法律责任:【第五十九条】
【第三十七条】
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
解读
本条款是关键信息基础设施的一项核心条款,其关键是个人信息和重要数据境内存储和对数据跨境提供的专门要求;目标是解决个人信息和重要数据的数据安全问题,而对重要数据的解读虽然目前还没有明确的分类,相信未来会有相应的规定出台。
适用法律责任:【第六十六条】
【第三十八条】
关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
解读
本条款的关键词是等级测评,风险评估,渗透测试。
适用法律责任:【第五十九条】
【第三十九条】
国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。解读
本条款规定了国家网信部门关于承担统筹协调的工作要求。
具体法律责任条款
【第五十九条】网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络
安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
【第六十五条】关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
【第六十六条】关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
附件1 关键信息基础设施确定指南 (试行) 一、什么是关键信息基础设施 关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。 关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。 二、如何确定关键信息基础设施 关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
(一)确定本地区、本部门、本行业的关键业务。 可参考下表,结合本地区、本部门、本行业实际梳理关键业务。
(二)确定关键业务相关的信息系统或工业控制系统。 根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。 (三)认定关键信息基础设施。 对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。 A.网站类 符合以下条件之一的,可认定为关键信息基础设施: 1. 县级(含)以上党政机关网站。 2. 重点新闻网站。 3. 日均访问量超过100万人次的网站。 4. 一旦发生网络安全事故,可能造成以下影响之一的: (1)影响超过100万人工作、生活; (2)影响单个地市级行政区30%以上人口的工作、生活;
关键信息基础设施的概念及关键性 目前,国家关键信息基础设施已经被视为国家的重要战略资源,以立法形式保护关键基础设施和关键信息基础设施的安全,已经成为当今世界各国网络空间安全制度建设的核心内容和基本实践。开展在针对国家关键信息基础设施开展的研究中,首当其冲的理清关键基础设施(CI)和关键信息基础设施 (CII)的关系问题。在对CII的研究中发现,国际社会虽然对 CI有着基本的共识,但对CII的认知存在较大的分歧。近十年来,随着信息通信技术的进一步发展,越来越多的基础设施接入互联网,CII涵盖的范围也随之不断扩大。 1.国际社会CI与CII的相关概念 (1)关键基础设施相关概念 国际社会上,国家关键基础设施(CI)的概念由来已久,这些设施的关键性在于关系国计民生,为社会提供不可缺少的产品和服务。 1.美国2001年《爱国者法案》认为,CI是指关系到美国生死存亡的,无论是物理还是虚拟的系统和资产,这些系统和资产的功能丧失或遭到破坏,会对国家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响。 2.欧洲委员会于2004年10月20日发布的通告《打击恐怖主义活动,加强CI保护》中针对CI作出了定义,明确CI是指如果被破坏或摧毁,会对公民的健康、安全、稳定或经济福祉或成员国政府的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产。CI横跨经济的诸多部门和重要政府服务。 4.德国的CI保护的主要理念是政府和社会在总体上严重依赖基础设施的安全运转,在基础设施中,凡是其故障会导致供应短缺或给大部分人口造成灾难性后果的元素都被定义为关键的。德国在其《信息基础设施保护国家计划》中对信息基础设施的定义为:给定基础设施中 IT部分的总和。 5.荷兰明确规定,对于社会不可或缺的,其损坏速度造成全国性紧急状 态,或者会在更长时间内对社会产生不良影响的基础设施,为CI 0 6.英国将关键国家基础设施(CNI )界定为由不间断向国家提供基本服务来说不可
电力信息系统信息安全关键技术应用 发表时间:2017-07-17T11:55:04.250Z 来源:《电力设备》2017年第8期作者:杨雅徐麦[导读] 电力系统日趋复杂,网络信息技术在电力系统中的应用很大程度上解决了电力系统的一些难题,实现了电力系统的信息化和智能化管理,但是电力信息系统的安全问题也影响电力系统的安全性和可靠性,影响电力系统的安全稳定运行。 (1.国网湖北省电力公司黄石供电公司信息通信分公司信息运检班,湖北省 435000;2.国网湖北省电力公司黄石供电公司信息通信分公司网络控制室,湖北省 435000)摘要:电力系统是我国基础设施建设的重要支撑,随着我国电网规模的扩大,电力系统日趋复杂,网络信息技术在电力系统中的应用很大程度上解决了电力系统的一些难题,实现了电力系统的信息化和智能化管理,但是电力信息系统的安全问题也影响电力系统的安全性和可靠性,影响电力系统的安全稳定运行。电力信息系统在遇到黑客攻击、病毒入侵或其他安全危险时会直接导致电力信息系统故障甚至 崩溃,所以必须提高电力信息系统信息安全管理水平,确保电力系统稳定正常运行。 关键词:电力信息系统;信息安全;关键技术前言:信息技术在电力系统的应用使电力系统逐步走向信息化管理,加强了各部门之间的沟通,让电力系统的工作效率得到明显提升。但信息技术在电力系统中的应用也给电力系统带来一系列信息安全问题,需要相关工作人员尽快掌握信息安全存储的技术方法,以适应电力系统的信息化管理工作。 1.我国电力信息系统信息安全现状 我国地域广阔,电压等级多,所以电力系统稳控范围庞大而且复杂,电力系统的安全稳定运行对保障人民生活和国家经济建设起着至关重要的作用。随着互联网+技术的发展,电力系统逐渐实现信息化,对信息化的集成程度越来越高,促进了电力系统的现代化发展。但是由于电力信息系统存在信息安全风险,比如说(2015年12月23日乌克兰电力系统遭受攻击事件)直接影响电力系统的安全性和可靠性,要想确保电力信息系统安全稳定,必须采取有效技术措施控制信息系统安全风险。电力信息系统涉及到的电力的生产、输电、配电过程都通过电力信息系统进行控制管理。近年来我国电力企业开始重视电力信息系统信息安全问题的管控,但是在实际运行中仍然存在很多问题亟待解决,而且电力信息系统信息安全问题并没有像电信企业那样受到普遍重视,缺乏针对性的技术和策略,在实际运用当中实用性不强,风险管理不到位,影响我国电力系统的稳定运行。综合我国电力信息系统信息安全管理工作现状分析,主要存在以下几个方面的问题: 1)电力信息系统自身存在缺陷,电力企业建立的电力信息系统管理制度不健全,电力信息系统管理缺乏规范性和科学性,所以电力信息系统信息安全不断融入到互联网+时代难以得到有效的保障。 2)部分电力企业信息安全意识不强,没有认识到电力信息系统信息安全管理工作的重要性,所以没有建立技术先进且完备的信息安全防护系统,也没有充分重视信息安全防护技术的研究和应用,只是在电力信息系统中安装了杀毒软件、防火墙等基础信息防护措施,难以保证电力信息系统的安全性。 3)面对对发电、输电、配电的稳控安全威胁(例如通过恶意代码直接对变电站系统的程序界面进行控制,通过恶意代码伪造和篡改指令来控制电力设备),电力企业不能够根据信息技术的发展及时升级信息安全防护系统,造成电力信息系统面临安全威胁,难以保证电力系统的安全稳定运行。 2.电力信息安全存储技术 2.1防火墙技术 防火墙技术是信息安全存储的主要技术,已经得到广泛应用。电力企业应在内部局域网和外部网络均设置防火墙,使一切信息传递都经过防火墙的监测。合理设置防火墙的方位方式,根据具体情况开通访问模式,拒绝未被许可的信息链接。 2.2身份鉴别技术 身份鉴别技术可对系统用户进行识别,规定不同用户的操作权限。识别的方式是口令输入,操作简捷,适用性广泛。电力企业应为所有操作人员设置独立的口令密码,便于身份识别和安全管理。身份鉴别应在操作权过程中实时进行,确保使用者进行权限范围内的安全操作。 2.3入侵监测技术 入侵监测技术是防止黑客入侵的有效技术手段,通过分布式监测架构实现大范围系统监测,当黑客入侵是及时发出警报,并对入侵行为作出反应,是防范来自外网攻击的警戒系统。 2.4加密技术 网络数据传播具有很高的安全风险,容易被“窃听”,造成信息泄露。数据加密技术是保证数据传播过程中安全性的有利手段。信息发出方通过特定的加密方式将信息流转变成乱码,及时信息被截取,也能保证信息内容不会泄露。信息接收方在接到信息后在依照对应的解密方法对信息进行还原,完成信息的最终传播。 2.5病毒查杀技术 一些网络数据带有病毒代码,在传播过程中会给系统带来危害,电力企业需要建立完备的病毒查杀系统,在数据传播的全过程是实时监控,及时找到并清除病毒代码,保证系统的正常运行。病毒查杀系统应具备升级功能,以适应对新型病毒的查杀任务。 3.电网信息安全管理 3.1保障网络安全 在现在的网络信息时代,黑客攻破网关进入某个内部主机后,便可以随便攻击局域网内的其他主机。电力调度信息网作为电力生产的重要平台,对网络的可靠性,安全性有着非常严格的要求。因为它承载了电力调度管理系统、电力市场交易、语音和视频等大数据量业务,网络的性能和业务连续性有很高的保障要求,防火墙体系必须是科学严密的,但是传统的网关防御只能防范外部攻击,不能防范来自内部的攻击。信息安全是一个整体,根据木桶效应,薄弱的任何一点都会降低整体安全防御力,进而影响电力系统的正常运营。所以终端安全体系建设也同样非常重要。在关键位置装入入侵检测系统、安全监控系统、采取入侵防护、病毒防护、服务器核心防护,专用安全隔离装置,专用数字证书等防护措施对其重点防范。 3.2物理安全
关键信息基础设施安全保护条例 (征求意见稿) 第一章总则 第一条为了保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,制定本条例。 第二条在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。 第三条关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。 第四条国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。 国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。 县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。 第五条关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。 第六条关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。 第七条任何个人和组织发现危害关键信息基础设施安全的行为,有权向网信、电信、公安等部门以及行业主管或监管部门举报。 收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。 有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。 第二章支持与保障
第八条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动。 第九条国家制定产业、财税、金融、人才等政策,支持关键信息基础设施安全相关的技术、产品、服务创新,推广安全可信的网络产品和服务,培养和选拔网络安全人才,提高关键信息基础设施的安全水平。 第十条国家建立和完善网络安全标准体系,利用标准指导、规范关键信息基础设施安全保护工作。 第十一条地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,加大投入,开展工作绩效考核评价。 第十二条国家鼓励政府部门、运营者、科研机构、网络安全服务机构、行业组织、网络产品和服务提供者开展关键信息基础设施安全合作。 第十三条国家行业主管或监管部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保护工作的机构和人员,编制并组织实施本行业、本领域的网络安全规划,建立健全工作经费保障机制并督促落实。 第十四条能源、电信、交通等行业应当为关键信息基础设施网络安全事件应急处置与网络功能恢复提供电力供应、网络通信、交通运输等方面的重点保障和支持。 第十五条公安机关等部门依法侦查打击针对和利用关键信息基础设施实施的违法犯罪活动。 第十六条任何个人和组织不得从事下列危害关键信息基础设施的活动和行为: (一)攻击、侵入、干扰、破坏关键信息基础设施; (二)非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施安全的技术资料等信息; (三)未经授权对关键信息基础设施开展渗透性、攻击性扫描探测; (四)明知他人从事危害关键信息基础设施安全的活动,仍然为其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助; (五)其他危害关键信息基础设施的活动和行为。 第十七条国家立足开放环境维护网络安全,积极开展关键信息基础设施安全领域的国际交流与合作。 第三章关键信息基础设施范围
电力系统信息安全关键技术的研究 摘要:近年来,电力系统信息安全的关键技术问题得到了业内的广泛关注,研 究其相关课题有着重要意义。本文首先对相关内容做了概述,分析了几种主要的 电力通信方式,并结合相关实践经验,分别从加密技术等多个角度与方面就电力 系统信息安全的关键技术展开了研究,阐述了个人对此的几点看法与认识,望有 助于相关工作的实践。 关键词:电力系统;信息安全;关键技术;研究 1 前言 作为电力系统应用中的一项重要方面,对其信息安全的研究占据着极为关键 的地位。该项课题的研究,将会更好地提升对电力系统信息安全关键技术的分析 与掌控力度,从而通过合理化的措施与途径,进一步优化电力系统应用的最终整 体效果。 2 概述 随着我国电力事业的快速发展,电力系统信息化发展是社会不断发展的必然 趋势,因此,注重电力系统的信息安全,充分发挥网络技术和信息技术的作用, 才能真正保障电力系统中各种信息的安全,最终促进我国电力企业整体效益不断 增长。在高科技技术不断发展的过程中,信息技术的应用存在着各种不定因素, 大大提高电力系统信息安全风险,是当前无法避免的问题。因此,根据电力企业 的实际发展需求,制定与各区域电力系统自身特点相符的信息安全管理策略,严 格按照国家相关规定执行和操作,可以促进电力系统信息安全体系不断完善,最 终保障电力企业的整体效益。从整体利益出发,制定系统的安全防护管理机制, 把防护工作落实到日常工作的点滴,保证整个电力系统的信息安全。 3 几种主要的电力通信方式 3.1 电力线载波通信 电力线载波通信是指利用高压电力线、中压电力线或低压配电线(380/220V 用户线)作为信息传输媒介进行语音或数据传输的一种特殊通信方式。它通过把 网络信号调制到电线上,利用现有电线来解决网络布线问题。利用这一通信方式 具有很多优势,如安全性高、速率快、稳定性强、操作简单、节能环保等,因而 被广泛应用。 3.2 微波中断通信 微波中断通信是指使用波长在一定范围内的电磁波—微波进行通信的一种通 信方式。它不像电力线载波通信一样需要电线作为介质,它不需要借用任何固体 介质,当两点间直线距离内无障碍时就可以使用微波传送。利用微波进行通信具 有容量大、质量好、传输距离远的特点,因此也是一种重要通信手段。其主要缺 点是一次投资大,电路传输有衰减,远距离通信需要增设中继站,当地形复杂时,选站困难。 3.3 电力专线通信 电力专线由多根相互绝缘的导体,按一定的方式绞合而成的线束,其外面包 有密闭的外护套,必要时还有外护层进行保护。然后,根据实际需求直接通到用 户场所,根据用户的需求而设定带宽。这一通信方式安全性、稳定性高,但不适 合太原距离的通信。 3.4 光纤通信 光纤通信是指利用光波作为载波来传送信息,以光纤作为传输介质实现信息
编订:__________________ 单位:__________________ 时间:__________________ 关键信息基础设施安全保 护条例 Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-8673-41 关键信息基础设施安全保护条例 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 第一章总则 第一条为了保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,制定本条例。 第二条在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。 第三条关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。 第四条国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。 国家网信部门负责统筹协调关键信息基础设施安
全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。 县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。 第五条关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。 第六条关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。 第七条任何个人和组织发现危害关键信息基础设施安全的行为,有权向网信、电信、公安等部门以及行业主管或监管部门举报。 收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
国家标准《信息安全技术关键信息基础设施安全检 查评估指南》编制说明 一、工作简况 1.1任务来源 根据《中华人民共和国网络安全法》要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。 为了落实网络安全法要求,规范关键信息基础设施检测评估相关方法、流程,全国信息安全标准化技术委员会于2016年立项《信息安全技术关键信息基础设施安全检查评估指南》国家标准,2016年7月,中央网信办网络安全协调局下达《<信息安全技术关键信息基础设施安全检查评估指南>国家标准制定》委托任务书,委托中国互联网络信息中心开展该标准的研制工作,并将本项目标识为WG7 组重点标准。 《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所(更名为国家工业信息安全发展研究中心)等单位共同参与起草。 1.2主要工作过程 2017年1月至3月,《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所等单位共同参与讨论,讨论研究指南的编制,并形成标准讨论稿,向中央网信办领导汇报标准编制进展,并向全国信息安全标准化技术委员会提交项目申请。 2017年4月,标准通过全国信息安全标准化技术委员会WG7组会议讨论。
关键信息基础设施安全保护应把握几个要点 (来源:《中国信息安全》2017年第8期,作者:闫晓丽) 关键信息基础设施是国家的重要资产,《网络安全法》明确规定要对其实行重点保护。为落实法律要求,2017年7月10日,国家互联网信息办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》,划定了关键信息基础设施的保护范围,明确了各相关部门的安全保护职责,规定了安全保护的基本制度。对关键信息基础设施进行安全保护是各国通行的做法,美欧很早就建立了相关制度,采取了一系列措施,形成了一定的做法和经验。当前,我国正加快构建关键信息基础设施安全保护体系,应把握好几个要点。 一、界定关键信息基础设施概念 这是对关键信息基础设施进行安全保护的前提。国际上有关键基础设施和关键信息基础设施两个概念。关键基础设施是指对国家至关重要的系统和资产,一旦遭受破坏或毁灭,将对国家安全、经济命脉、公民的健康安全等造成严重损害,如2001年美国《爱国者法》和2004年欧盟《保护关键基础设施打击恐怖主义》的规定。关键信息基础设施是指对关键基础设施自身至关重要或者其运行必不可少的信息通信系统,这些系统处理、接收、存储电子信息,如2011年美国国土安全部《安全网络未来蓝图:国土安全企业网络安全战略》和2005年《欧盟关键基础设施保护项目绿皮书》的规定。近年来,随着信息技术的普及和广泛应用,关键基础设施保护重点从物理保护转向网络安全保护,关键基础设施和关键信息基础设施之间的界限日益模糊。我国《关键信息基础设施安全保护条例(征求意见稿)》采用关键信息基础设施的概念,是符合这一趋势的。 二、明确关键信息基础设施具体范畴
关键信息基础设施网络安全检查总结报 告XX 关键信息基础设施网络安全检查总结报告XX 根据**市网络与信息安全协调小组印发《**市20**年网络与信息安全检查方案》要求,结合实际,认真对我市信息系统安 全进行了检查,现将检查情况报告如下: 一、网络与信息安全状况总体评价 今年来,市、局高度重视信息安全工作,把信息安全 工作列入重要议事日程,为规范信息公开工作,落实好信息 安全的相关规定,成立了信息安全工作领导小组,落实了管 理机构,由专门的信息化公室负责信息安全的日常管理工作, 明确了信息安全的主管领导、分管领导和具体管理人员。 相继建立健全了日常信息管理、信息安全防护管理等 相关工作制度,加强了信息安全教育工作,信息安全工作领 导小组定期或不定期地对我市信息安全工作进行检查,对查 找出的问题及时进行整改,进一步规范了信息安全工作,确 保了信息安全工作的有效开展,全市信息安全工作取得了新 进展。 二、20**年网络与信息安全主要工作情况 (一)加强领导,明确职责,抓好网络与信息安全组织 管理工作。为规范、加强信息安全工作,市领导高度重视, 把该项工作列为重点工作任务,成立了由主管市长为组长,
分管信息工作的局级领导为副组长,各相关市直单位为成员 的信息安全工作领导小组。做到了分工明确,责任到人,形 成了主管领导负总责,具体管理人负主责,分级管理,一级 抓一级,层层抓落实的领导体制和工作机制,切实把信息安 全工作落到实处。 (二)做好网络与信息安全日常管理工作。根据工作实 际,我局建立健全了信息系统安全状况自查制度、信息系统 安全责任制、计算机及网络保密管理等相关制度,使信息安 全工作进一步规范化和制度化。 (三)落实好网络与信息安全防护管理。健全完善了非 涉密计算机保密管理制度、非涉密移动储存介质保密等管理 制度。在计算机上安装了防火墙,同时配置安装了专业杀毒 软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密 等方面的有效性。网络终端没有违规上国际互联网及其他的 信息网的现象,单位未安装无线网络等无线设备,并安装了 针对移动存储设备的专业杀毒软件。 (四)制定信息安全应急管理机制。结合实际,我市初 步建立应急预案,建立了电子公文和信息报送办理制度(试行)和电子公文和信息报送岗位责任制,严格文件的收发, 完善了清点、修理、编号、签收制度;信息管理员及时对系统和软件进行更新,对重要文件、信息资源做到及时备份, 数据恢复。
全面解读《网络安全法》(二)课程90分 一、单选 ( 共 4 小题,总分: 40 分) (正确)1. 开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的(),是信息安全保障工作中国家意志的体现。 A.基本制度 B.基本策略 C.基本方法 D.根本保障 (正确)2. 《网络安全法》增加了网络运营者必须履行()的内容。 A.网络安全保护义务 B.政府和社会公众的监督 C.社会责任 D.法律法规 (正确)3. 《网络安全法》规定,国家实行网络安全()保护制度。 A.等级 B.标准 C.规范 D.技术 (正确)4. 《网络安全法》指出,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于()。
A.一年 B.五个月 C.六个月 D.十八个月 二、多选 ( 共 2 小题,总分: 20 分) 1. 《网络安全法》中关于网络信息安全的亮点体现在()。 A.合法、正当、必要原则 B.明确原则和知情同意原则 C.明确公民个人信息的删除权和更正权制度 D.公民个人信息、隐私和商业秘密的保密制度 (正确)2. 为了明确关键信息基础设施安全保护的责任,《网络安全法》从()两大层面,明确了对关键信息基础设施安全保护的法律义务与责任。 A.政府 B.国家 C.关键信息基础设施运营者 D.社会 (以下瞎选)三、判断 ( 共 4 小题,总分: 40 分) 1. 网络空间的竞争,归根结底是人才的竞争。 正确
错误 2. 省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。 正确 错误 3. 近年来,个人信息保护方面的问题十分突出。 正确 错误 4. 2016年11月7日,《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议通过,将于2017年6月1日起施行。 正确 错误
编号:SM-ZD-88431 关键信息基础设施安全保 护条例 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
关键信息基础设施安全保护条例 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 第一章总则 第一条为了保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,制定本条例。 第二条在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。 第三条关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。 第四条国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。 国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责
国家标准《信息安全技术关键信息基础设施安全控制措施》(征求意见稿)编制说明 一、工作简况 1.1 任务来源 当前,我国关键信息基础设施面临的网络安全形势严峻复杂,网络安全防控能力薄弱,难以有效应对网络攻击,《网络安全法》《国家网络空间安全战略》等提出建立关键信息基础设施安全保护制度。根据国务院的要求,国家网信部门已会同有关部门起草了《关键信息基础设施安全保护条例》,目前正在征求意见。该条例明确了关键信息基础设施的具体范围,并提出了进一步的安全保护要求。但是,用于指导具体保护工作的标准体系尚不完善,亟需配套标准支撑。此外,我国正在推进全国关键信息基础设施网络安全检查工作,关键信息基础设施运营者等也需要相关技术标准作为指导。 基于对《网络安全法》及相关法律法规要求的细化落实,围绕上述目标,结合目前已经开展的关键信息基础设施网络安全保护,全国信息安全标准化委员会组织开展了系列标准的制定,包括《信息安全技术关键信息基础设施网络安全框架》《信息安全技术关键信息基础设施网络安全保护基本要求》《信息安全技术关键信息基础设施安全控制措施》《信息安全技术关键信息基础设施安全检查评估指南》《信息安全技术关键信息基础设施安全保障指标体系》等。其中,本标准作为《信息安全技术关键信息基础设施网络安全保护基本要求》的配套标准,根据要求提出相应控制措施,运营者开展安全保护工作时可在该标准中选取适用的控制措施。 2017年4月,本标准在全国信息安全标准化技术委员会第一次工作组“会议周”期间通过立项,由中国信息安全研究院有限公司牵头负责。2017年10月,在全国信息安全标准化技术委员会第二次工作组“会议周”进行汇报并通过会议决议可以进入征求意见阶段,建议将标题修改为《信息安全技术关键信息基础设施安全控制措施》。会后,编制组根据标准周答辩专家意见对标准草案进分修
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 关键信息基础设施安全保护条 例(新编版) Safety management is an important part of production management. Safety and production are in the implementation process
关键信息基础设施安全保护条例(新编版) 第一章总则 第一条为了保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,制定本条例。 第二条在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。 第三条关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。 第四条国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。 国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、
国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。 县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。 第五条关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。 第六条关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。 第七条任何个人和组织发现危害关键信息基础设施安全的行为,有权向网信、电信、公安等部门以及行业主管或监管部门举报。 收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。 有关部门应当对举报人的相关信息予以保密,保护举报人的合
《网络安全法》解读系列之四--关键信息基础设施安全要求 本系列针对关键信息基础设施安全条款和法律责任加以解读。这部分条款,提出了关键信息基础设施的范围,明确了与网络安全等级保护制度的关系,规定了关键信息基础设施保护的主要内容,以及在数据留存和提供方面的要求。 【第三十一条】 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。解读 本条款定义了关键信息基础设施的范围,强调了必须落实网络安全等级保护制度,并进行重点保护。国务院将制定相应的关键信息基础设施安全保护办法。 【第三十二条】 按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。 解读 本条款说明了要制定关键信息基础设施安全规划,和谁来负责制定规划。
【第三十三条】 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。 解读: 本条款说明了如何建设关键信息基础设施,强调了安全技术实施的三同步原则。 适用法律责任:【第五十九条】 【第三十四条】 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务: (一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查; (二)定期对从业人员进行网络安全教育、技术培训和技能考核; (三)对重要系统和数据库进行容灾备份; (四)制定网络安全事件应急预案,并定期进行演练; (五)法律、行政法规规定的其他义务。 解读: 本条款规定了关键信息基础设施的保护要求高于第二十一条的网络安全等级保护制度要求;同时强调了背景审查、教育培训和考核、容灾备份、应急预案和演练。 适用法律责任:【第五十九条】 【第三十五条】 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
《网络安全法》解读系列之三 —网络产品与安全服务商 这部分安全条款,规定了网络产品和安全服务提供者的安全义务、个人信息保护义务、网络关键设备和网络安全专用产品的安全认证和安全检测制度、网络安全服务活动规范。 这里要提醒我们的产品提供商和服务商同行们,以及同学们,要重视本法中规定的相关安全义务和法律责任,大家是做安全的,安全意识和守法意识一定要很好才行呀。 【第二十二条】网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。 网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。 解读:本条款规定了网络产品和服务商需要履行的义务之一;要符合国标的强制性要求,特别强调不得设置恶意程序,和执行双告知特别是要向有关主管部门报告,不得随意终止提供安全服务。这里还提出了对用户信息收集的相关要求,具体用户信息的含义,请参考前面的重要概念中的解释。 适用法律责任:【第六十条】、【第六十四条】 【第六十条】违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:(一)设置恶意程序的; (二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的; (三)擅自终止为其产品、服务提供安全维护的。 【第六十四条】网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
关键信息基础设施确定指南 (试行) 一、什么是关键信息基础设施 关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。 关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。 二、如何确定关键信息基础设施 关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。 (一)确定本地区、本部门、本行业的关键业务。 可参考下表,结合本地区、本部门、本行业实际梳理关
键业务。
(二)确定关键业务相关的信息系统或工业控制系统。 根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。 (三)认定关键信息基础设施。 对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。 A.网站类 符合以下条件之一的,可认定为关键信息基础设施: 1. 县级(含)以上党政机关网站。 2. 重点新闻网站。 3. 日均访问量超过100万人次的网站。 4. 一旦发生网络安全事故,可能造成以下影响之一的: (1)影响超过100万人工作、生活; (2)影响单个地市级行政区30%以上人口的工作、生活; (3)造成超过100万人个人信息泄露; (4)造成大量机构、企业敏感信息泄露;
关键信息基础设施 一、简单介绍 目前,国家关键信息基础设施已经被视为国家的重要战略资源,以立法形式保护关键基础设施和关键信息基础设施的安全,已经成为当今世界各国网络空间安全制度建设的核心容和基本实践。开展在针对国家关键信息基础设施开展的研究中,首当其冲的理清关键基础设施(CI)和关键信息基础设施(CII)的关系问题。在对CII的研究中发现,国际社会虽然对CI 有着基本的共识,但对CII的认知存在较大的分歧。近十年来,随着信息通信技术的进一步发展,越来越多的基础设施接入互联网,CII涵盖的围也随之不断扩大。 二、关键基础设施相关概念 国际社会上,国家关键基础设施(CI)的概念由来已久,这些设施的关键性在于关系国计民生,为社会提供不可缺少的产品和服务。 1.国际社会CI相关概念 a. 美国2001年《爱国者法案》认为,CI是指关系到美国生死存亡的,无论是物理还是虚拟的系统和资产,这些系统和资产的功能丧失或遭到破坏,会对国
家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响。 b. 欧洲委员会于2004年10月20日发布的通告《打击恐怖主义活动,加强CI保护》中针对CI作出了定义,明确CI是指如果被破坏或摧毁,会对公民的健康、安全、稳定或经济福祉或成员国政府的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产。CI横跨经济的诸多部门和重要政府服务。 c. 德国的CI保护的主要理念是政府和社会在总体上严重依赖基础设施的安全运转,在基础设施中,凡是其故障会导致供应短缺或给大部分人口造成灾难性后果的元素都被定义为关键的。德国在其《信息基础设施保护国家计划》中对信息基础设施的定义为:给定基础设施中IT部分的总和。 d. 荷兰明确规定,对于社会不可或缺的,其损坏速度造成全国性紧急状态,或者会在更长时间对社会产生不良影响的基础设施,为CI。 e. 英国将关键国家基础设施(CNI)界定为由不间断向国家提供基本服务来说不可或缺的关键元素组成的国家基础设施。没有这些元素,就不能提供基本服务,英国将遭受严重的经济损害、巨大的社会破坏乃至严重的生命威胁。
最新整理关键信息基础设施安全保护条例 第一章总则 第一条为了保障关键信息基础设施安全,根据《中华人民共和国wang 络安全法》,制定本条例。 第二条在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。 第三条关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。 第四条国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。 国家wang信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关wang络安全保护和监督管理工作。 县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。 第五条关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任,履行wang络安全保护义务,接受政府和社会监督,承担社会责任。 国家鼓励关键信息基础设施以外的wang络运营者自愿参与关键信息基础设施保护体系。 第六条关键信息基础设施在wang络安全等级保护制度基础上,实行重点保护。 第七条任何个人和组织发现危害关键信息基础设施安全的行为,有权向wang信、电信、公安等部门以及行业主管或监管部门举报。 收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时
移送有权处理的部门。 有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。 第二章支持与保障 第八条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的wang络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治wang络违法犯罪活动。 第九条国家制定产业、财税、金融、人才等政策,支持关键信息基础设施安全相关的技术、产品、服务创新,推广安全可信的wang络产品和服务,培养和选拔wang络安全人才,提高关键信息基础设施的安全水平。 第十条国家建立和完善wang络安全标准体系,利用标准指导、规范关键信息基础设施安全保护工作。 第十一条地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,加大投入,开展工作绩效考核评价。 第十二条国家鼓励政府部门、运营者、科研机构、wang络安全服务机构、行业组织、wang络产品和服务提供者开展关键信息基础设施安全合作。 第十三条国家行业主管或监管部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保护工作的机构和人员,编制并组织实施本行业、本领域的wang络安全规划,建立健全工作经费保障机制并督促落实。 第十四条能源、电信、交通等行业应当为关键信息基础设施wang络安全事件应急处置与wang络功能恢复提供电力供应、wang络通信、交通运输等方面的重点保障和支持。 第十五条公安机关等部门依法侦查打击针对和利用关键信息基础设施实施的违法犯罪活动。 第十六条任何个人和组织不得从事下列危害关键信息基础设施的活动和行为: (一)攻击、侵入、干扰、破坏关键信息基础设施; (二)非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施安全的技术资料等信息;