信息基础设施网络安全检查动员会

1. 《网络安全法》解读系列之四——关键信息基础设施安全要求

【第三十一条】
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
解读
本条款定义了关键信息基础设施的范围，强调了必须落实网络安全等级保护制度，并进行重点保护。国务院将制定相应的关键信息基础设施安全保护办法。
【第三十二条】

按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。
解读
本条款说明了要制定关键信息基础设施安全规划，和谁来负责制定规划。

2. 网络安全等级保护与信息安全等级保护有什么区别

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

企业办理网络安全等级保护备案的原因：

1.建立有效的网络安全防御体系（让客户的系统真正具有安全防御的能力）

2. 完成信息系统等级保护公安备案（取得备案证明） ，顺利通过网络安全等级保护测评（取得测评报告）

3 满足相关部门的合规性要求（包括国家的政策，法律法规的要求，还有上级部门的要求，还有甲方客户的要求等）

4. 系统过了等保，一定程度上可以提高企业投标锁标的能力，为投标加分

网络安全等级保护分五个级别：

3. 关键信息基础设施的运营者违反网络安全法第三十七条规定，处多少罚款

关键信息基础设施的运营者违反网络安全法第三十七条规定处五万元以上五十万元以下罚款。

根据《中华人民共和国网络安全法》：

第六十六条关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的。

由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

(3)信息基础设施网络安全检查动员会扩展阅读

《中华人民共和国网络安全法》中规定：

第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

4. 2021年网络安全审查需要多久

通常情况下，网络安全审查在45个工作日内完成，情况复杂的会延长15个工作日。进入特别审查程序的审查项目，可能还需要45个工作日或者更长。根据《办法》要求，补充提供材料的时间不计入审查时限。

根据《办法》，网络安全审查办公室设在国家互联网信息办公室。具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下，承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。

网络安全审查主要审查内容

网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险，包括：产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；产品和服务供应中断对关键信息基础设施业务连续性的危。

产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；产品和服务提供者遵守中国法律、行政法规、部门规章情况；其他可能危害关键信息基础设施安全和国家安全的因素。

以上内容参考网络-网络安全审查办法

5. 关键信息基础设施安全保护条例

关键信息基础设施安全保护条例是为了保障关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络安全法》制定的。关键信息基础设施安全直接关系到国家安全、国计民生和公共利益，关键信息基础设施的安全保护成为维护国家网络安全的重中之重。
网络安全标准是保障国家关键信息基础设施的重要技术要素。从关键信息基础设施的识别认定、安全防护、检查评估、监测预警、应急处置等各个方面，都离不开标准的规范和引领。
关键信息基础设施相关标准为各行业各领域关键信息基础设施识别提供指导，为提高运营者自身安全防护能力和水平提供技术支撑，为规范开展安全检查与评估提供标准依据，为统筹协调相关领域信息共享、监测预警、应急处置、考核评价等提供方法指引，为保障关键信息基础设施全生命周期安全提供标准化支撑。网络安全标准化工作为筑牢关键信息基础设施安全屏障，维护国家网络安全发挥越来越重要的作用。
《中华人民共和国网络安全法》第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：
（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；
（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；
（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；
（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第三十四条 除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：
（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；
（二）定期对从业人员进行网络安全教育、技术培训和技能考核；
（三）对重要系统和数据库进行容灾备份；
（四）制定网络安全事件应急预案，并定期进行演练；
（五）法律、行政法规规定的其他义务。

6. 网络安全检查内容有哪些

1、系统安全

运行系统安全即保证信息处理和传输系统的安全，侧重于保证系统正常运行。避免因为系统的崩演和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于电磁泄翻，产生信息泄露，干扰他人或受他人干扰。

2、网络的安全

网络上系统信息的安全，包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计。安全问题跟踩。计算机病毒防治，数据加密等。

3、信息传播安全

网络上信息传播安全，即信息传播后果的安全，包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果，避免公用网络上大云自由传翰的信息失控。

4、信息内容安全

网络上信息内容的安全侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。其本质是保护用户的利益和隐私。

维护网络安全的工具有VIEID、数字证书、数字签名和基于本地或云端的杀毒软体等构成。

7. 新疆维吾尔自治区关键信息基础设施安全保护条例

第一条为了保障自治区关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络安全法》、国务院《关键信息基础设施安全保护条例》和有关法律、法规，结合自治区实际，制定本条例。第二条本条例适用于自治区行政区域内关键信息基础设施的安全保护和监督管理工作。第三条自治区关键信息基础设施安全保护和监督管理工作坚持党的领导，遵循综合协调、分工负责、依法保护、共同保护的原则。第四条自治区网络安全和信息化委员会统一领导全区关键信息基础设施安全保护工作，州（市、地）、县（市、区）网络安全和信息化委员会领导本行政区域内关键信息基础设施安全保护工作。第五条网信部门作为网络安全和信息化委员会的办事机构，负责统筹协调通信、公安、国家安全、工业和信息化、保密、密码管理等有关部门建立健全关键信息基础设施安全保护工作机制，建立完善关键信息基础设施安全保护工作体系，提高安全风险监测和防范、处置能力。第六条公安机关负责指导监督关键信息基础设施安全保护工作。通信、国家安全、保密、密码管理等部门依照有关法律、法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。第七条关键信息基础设施涉及的重要行业和领域的主管部门、监督管理部门（以下简称保护工作部门）指导和监督本行业、本领域关键信息基础设施安全保护工作。第八条关键信息基础设施运营者（以下简称运营者）应当依照有关法律、法规和本条例的规定以及有关标准的要求，保障关键信息基础设施安全稳定运行。第九条关键信息基础设施保护工作实行部门责任制和运营者主体责任制，并纳入年度网络安全工作责任制考核。第十条关键信息基础设施安全保护工作执行网络安全等级保护制度、重点保护制度和安全审查制度，监测、防御、处置来源于境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏。第十一条支持高等院校、职业学校等教育培训机构和企业开展网络安全相关教育培训；采取措施吸引和鼓励网络安全专门人才从事关键信息基础设施安全保护工作；将运营者安全管理培训、技术人员培训纳入继续教育体系。第十二条支持网络安全研究机构、网络安全服务机构建设和发展，鼓励网络安全服务机构开展关键信息基础设施规划设计、建设实施、运行维护、安全咨询、安全防护、安全检查、风险评估和应急响应等技术服务。第十三条网络安全服务机构应当按照相关法律、法规和行业标准提供客观、公正的风险评估服务，并对其出具的网络安全风险评估报告承担相应的法律责任。第十四条网信部门应当会同公安机关加强网络安全服务机构的建设和管理，提升网络安全服务机构能力水平，发挥其在关键信息基础设施安全保护中的作用。第十五条自治区应当健全完善网络安全军民融合工作机制，推动军地协同保护关键信息基础设施安全。第十六条关键信息基础设施发生网络安全事件或者发现网络安全威胁时，运营者应当按照有关规定向网信部门、保护工作部门和公安机关报告。

发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时，保护工作部门应当在收到报告后，及时向国家网信部门、国务院公安部门报告。第十七条网信部门会同通信、公安、工业和信息化、保密、密码管理等有关部门建立网络安全信息共享机制，及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息，定期召开联席会议，促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。第十八条网信部门会同通信、公安、工业和信息化等有关部门建立健全关键信息基础设施安全监测和信息通报工作制度，加强网络安全技术能力建设，及时发现、预警和通报网络安全威胁和隐患。

保护工作部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，指导运营者开展网络安全防护能力建设，及时掌握本行业、本领域关键信息基础设施运行状况和安全风险，对安全监测信息进行研判，向相关运营者通报安全风险和相关工作信息。

8. 国家网信部门应当统筹协助有关部门对关键信息基础设施和安全保护采取下列什么

国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：
（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；
（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；
（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；
（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。

9. 我国信息安全管理的现状、问题及其对策

我国信息安全管理的现状、问题及其对策

摘要：信息安全是国家安全的基础和关键。在信息安全保障的三大要素(人员、技术、管理)中，管理要素的地位和作用越来越受到重视。理解并重视管理对信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。本文分析了信息安全管理的现状，并着重讨论了加强信息安全管理的策略。
关键词：信息安全；管理；现状；策略

信息安全管理是随着信息和信息安金的发展而发展的。在信息社会中，一方面信息已经成为人类的重要资产，在政治、经济、军事、教育、科技、生活等方面发挥着重要作用，另一方面由于计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。由于信息具有易传播、易扩散、易损毁的特点，信息资产比传统的实物资产更加脆弱，更容易受到损害，这样将使组织在业务运作过程巾面临巨大的风险。这种风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节和漏洞， 以及大量存在于组织内外的各种威胁， 因此对信启、系统需要加以严格管理和妥善保护，信息安全管理也随之产生。

1、国内信息安全管理现状
1．1在国家宏观信息安全管理方面的问题
(1)法律法规问题。健全的信息安 法律法规体系是确保国家信息安全的基础，是信息安全的第一道防线。我国已建立了法律、行政法规与部门规章及规范性文件等三个层面的有关信息安全的法律法规体系，对组织与个人的信息安全行为提出了安全要求。但是我国的法律法规体系还存在缺陷，一是现有的法律法规存在不完善的地方，如法律法规之间有内容重复交叉， 同一行为有多个行政处罚主体，有的规章与行政法规相互抵触，处罚幅度不�6�8一致；二是法律法规建设跟不上信息技术发展的需要，这主要涉及网络规划与建设、网络管理与经营、网络安全、数据的法律保护、电子资金划转的法律认证、计算机犯罪、刑事立法、计算机证据的法律效力等方面的法律法规缺乏。
(2)管理问题。管理包括三个层次的内容：组织建设、制度建设和人员意识。组织建设是指有关信息安全管理机构的建设。信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容，因此只靠一个机构是无法解决这些问题的。在各信息安全管理机构之问，要有明确的分工，以避免“政出多门”和“政策拉车”现象的发生。需要建立切实可行的规章制度，即进行制度建设，以保证信息安全。如对人的管理，需要解决多人负责、责仔到人的问题，任期有限的问题，职责分离的问题，最小权限的问题等。有了组织机构和相应的制度，还需要领导的高度重视和群防群治，即强化人员的安全意识，这需要信息安全意识的教育和培训，以及对信息安伞问题的高度重视。
(3)国家信息基础设施建设问题。目前构成我国信息基础设施的网络、硬件、软件等产品几乎完全是建立在外国的核心信息技术之上的。关于国家信息基础设施方面存在的问题已引起国家的高度重视。如“十五”期问，国家863计划和科技攻关的重要项目就有“信息安全与电子政务”和“金融信息化”两个有关信息安全的研究项目；2002年1月1日开始实施的《电信业务经营许可证管理办法》明确要求：电信产品软件商不能在软件上预留“后门”，外国供货商不能远程登录中国电信商的操作系统，高级 管系统要用国内可靠机构开发的软件产品。
1．2我国在微观信息安全管理方面存在的问题主要表现
(1)缺乏信息安全意识与明确的信息安全方针。大多数组织的最高管理层对信息资产所面临威胁的严重性认识不足，或者仅局限于IT方面的安全，没有形成一个合理的信息安拿方针来指导组织的信息安全管理工作，这表现为缺乏完整的信息安全管理制度，缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训，现有的安全规章组织未必能严格实施等。
(2)重视安全技术，轻视安全管理。目前组织普遍采用现代通信、计算机和网络技术来构建信息系统，以提高组织效碍暑与竞争能力，但相应的管理措施不到位，如系统的运行、维护和开发等岗位不清，职责不分，存在一人身兼数职现象。
(3)安全管理缺乏系统管理的思想。大多数组织现有的安全管理模式仍是传统的管理方法，出现了问题才去想补救的办法，是一种就事论事、静态的管理，不是建立在安全风险评估基础上的动态的持续改进管理方法。

2、国外信息安全管理现状
国际上信息安全管理近几年的发展主要包括以下几个方面。
(1)制订信息安全发展战略和计划。制订发展战略和计划是发达国家一贯的作法。美、俄、日国家都已经或正在制订自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展。
(2)加强信息安全立法，实现统一和规范管理。以法律的形式规定和规范信息安全工作是有效实施安全措施的最有力保证。制订网络信息安全规则的先锋是各大门户网站，美国的雅虎和美国在线等网站都在实践中形成了一套自己的信息安全管理办法。2000年1O月5日美参议院通过了《互联网网络完备性及关键设备保护法案》。2000年9月，俄罗斯实施了关于网络信息安全的法律。
(3)步入标准化与系统化管理时代。随着2O世纪8O年代IS09000质量管理标准的出现及随后在全世界的推广应用，系统管理的思想在其他管理领域也被借鉴与采用，信息安全管理也同样在2O世纪9O年代步入了标准化与系统化管理的时代。1995年英国率先推出了BS7799信息安全管理标准，该标准于2000年被国际标准化组织认可为国际标准ISO／IEC17799。现在该标准已引起许多国家与地区的重视，在一些国家已经被推广与应用；组织贯彻实施该标准可以对信息安全风险进行全面系统的管理，从而实现组织信息安全。与此同时，其他国家以及组织也提出了很多与信息安全管理相关的标准。

3、加强信息安全管理的策略
随着国民经济和社会信息化进程的全面加快，信息安全管理工作面临着越来越严峻的形势和挑战。从总体上看，当前，我国的信息安全管理工作尚处于起步阶段，基础薄弱，水平不高，存在许多亟待解决的问题，我们要以全局性的眼光，加强信息安全的组织管理工作。
(1)建立集中统一、分工协作、各司其职的信息安全管理机制。信息安伞保障的关键在于组织领导，要从根本上加强我国的信息安全保障工作，必须建立全国集中统一、分工协作、各司其职的信息安全管理机制。一是国家应建立能够协调维护各种安全利益的综合职能机构，成立有高度权威的国家信息安全委员会，作为国务院信息化领导小组的常设委员会， 以改变目前在维护国家信息安全中各部门条块分割、职责不清、多头管理、协调不力和政出多门的现状；二是各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系，按照“谁主管、谁负责”的原则，共同履行信息安全管理的职责；三是尽早建立省、市两级比较完善的信息安全领导管理体系， 以便积极调动各种资源主动配合和协调信息安全保障工作，形成纵横结合的信息安全协调与信息共享机制； 四是充分调动政府、企业和个人的积极性，实现有机联动，形成合力，共同构筑国家信息安全保障体系；五是健全和完善信息安全责任体系，要求各部门、各单位明确信息安全工作负责人，配备相应的信息安全员，把信息安全责任真正落实到人。
(2)加强信息安全法制建设，为信息安全管理提供执法依据。作为信息安全保障体系的重要部分，相关法律法规和标准体系的建设已经势在必行。下一步，应着力建立健全信息安全法律法规体系；同时，要注重和加强信息安全执法队伍的建设；各信息安全职能部门的执法活动必须严格按照法律规定的权限和程序进行，正确行使权力和履行职责，保护企业和公民的合法权益，打击网络违法犯罪；各有关主管部门和运营单位要积极支持执法机关工作，履行应尽的义务；社会团体、企业和个人要认真履行法律规定的信息安全责任和义务，在信息网络环境中依法开展活动。
(3)采取有效措施，积极推进信息安全等级保护工作的顺利开展。实行信息安全等级保护是国家解决信息安全保护问题的基本政策。信息安全等级保护是信息系统的社会价值和经济价值保护的客观要求，即按信息的敏感和重要程度、系统应用性质和资严价值、部门重要程度，分级采取科学、合理的保护措施；对于涉及国计民生的国家关键信息基础设施应分级加以重点保护；适度保护，效费合理，避免盲目和浪费。国家实行信息安全等级保护，必须从总体战略角度考虑，把握关键环节，建立长效保护机制。当前，信息安全等级保护的试点工作已积累了一定的经验，为推动信息安全等级保护工作的伞面开展，应着力做好以下几个方面的工作：明确信息系统等级保护各方责任；制定各项信息安全等级保护管理制度；制定、完善信息安全等级保护管理规范和技术标准体系；依托社会技术力量，组建技术支撑体系；研制开发信息安全等级保护备案、检测、评估信息系统和技术
工具；加强宣传、培训工作等等。
(4)努力探索，创立新形势下的信息网络违法犯罪防范打击体系。近年来，我国在打击网络违法犯罪方面做了大量的工作，也取得了很火的成绩，但是随着信息技术的不断发展，网络违法犯罪的形式更加多样化，技术手段更加先进，这就要求我们不断建立健全信息网络违法犯罪防范打击体系， 以执法职能部门为主体，动员社会各方力量，运用网络技术手段在信息网络领域建立系统、完整、有机衔接的预防、控制、侦查、惩处信息网络违法犯罪的行政执法和刑事执法体系，提高对信息网络违法犯罪的防范、控制和侦查、打击能力。重点要做好以下四方面机制建设：一是全社会防范控制机制。二是统一指挥、快速反应的侦查机制。三是有关部门、单位的支持、配合机制。四是公检法三机关的协调、协作机制。