“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。”在此基础上，国务院依据《中华人民共和国网络安全法》制定《关键信息基础设施安全保护条例》（下称“条例”），《条例》的出台一定意义上为关键信息基础设施运营者提供了方向性规定，但具体实操性标准等还需各部门或者国家标准待具体规定。本文仅就《条例》对《网络安全法》细化规则进行对比和解读，以便为大家实务操作提供参考。

　　一、对关键信息基础设施的认定

　　《条例》明确了关键信息基础设施的定义，是“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。《条例》从定义、主体、认定依据三个方面对关键信息基础设施进行的规定，具体为：

　　（一）定义

　　从《条例》的规定中我们可以看出，“关键信息基础设施是重要行业和领域的重要网络设施、信息系统等，或者其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”，从定义上看，不仅是重要行业和领域，一般的行业和领域，只要其重要的网络设施、信息系统一旦遭到破坏，可能严重危害三大利益的，也可以被认定为关键信息基础设施。这里面需要注意的是不管是重要行业和领域，还是一般行业和领域，被认定为关键信息基础设施的均为重要的网络设施、信息系统，而非一般的网络设施、信息系统。

　　（二）认定依据方面

　　《条例》将行业和领域的主管部门、监督管理部门认定为保护工作部门，而保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。这里需要说明的是《条例》第三条授予公安部门负责指导监督关键信息基础设施安全保护工作，也属于保护工作部门。各行业、领域的认定规则按照规定公安部门是可以参与的，但公安部门参与制定的规则是否会涉及自己给自己备案。本文认为，《条例》第九条的保护工作部门并不包括公安部门，否则会存在自己给自己备案的情形，既是裁判又是运动员。

　　《条例》规定了认定关键信息基础设施的认定规则，主要考虑以下三个方面“（一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；（三）对其他行业和领域的关联性影响。”虽然该认定规则为保护工作部门考虑的依据，我们认为企业也可以将此作为自己合规的参考规则，今后各行业主管部门也将出台行业内细化的认定规则。

　　二、运营者的义务

　　《条例》主要规定了运营者的六项义务，主要为：

　　（一）安全保护措施的同步

　　运营者对关键信息基础设施采取的安全保护措施应当与其同步规划、同步建设、同步使用。这是《网络安全法》第三十三条的要求，主要是针对未建和在建的关键信息基础设施；针对已建成的关键信息基础设施也应当参照《条例》的规定进行合规整改。

　　（二）网络安全保护制度

　　《网络安全法》规定 “一把手负责制”，建立健全网络安全保护制度和责任制，保障该领域的人力、财力、物力投入。《条例》第十三条规定明确“运营者的主要负责人对关键信息基础设施安全保护负总责”，“主要负责人”是指一把手，还是专门安全管理机构的负责人？是需要探讨的，我们认为应当是专门安全管理机构的负责人，因为该部门主要负责公司的关键信息基础设施的安全保护工作。

　　（三）设立专门安全管理机构

　　运营者应当设置专门安全管理机构，并对机构负责人和关键岗位人员进行安全背景审查。专门安全管理机构参与本单位与网络安全和信息化有关的决策，同时负责履行《网络安全法》第三十四条规定的和《条例》第十五条细化的网络安全保护职责，具体包括：

　　建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；

　　组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；

　　按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；

　　认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议；

　　组织网络安全教育、培训；

　　履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；

　　对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；

　　按照规定报告网络安全事件和重要事项。

　　（四）安全检测和风险评估

　　运营者每年应当对关键信息基础设施进行至少一次网络安全检测和风险评估，可以自行进行也可以委托网络安全服务机构进行。发现的安全问题要及时整改，结果应按要求报送有关部门。这里需要说明的是每年至少一次网络安全检测和风险评估，亦即网络安全检测和风险评估各一次，并非“或”的关系。

　　（五）及时报告

　　运营者应当在关键信息基础设施发生重大网络安全事件或者发现“重大网络安全威胁时”，按规定向保护工作部门和公安机关报告。运营者发生合并、分立、解散等情况，也应当及时上报并按照有关部门要求处置关键信息基础设施，确保安全。

　　（六）采购产品或服务

　　运营者应当“优先采购”“安全可信”的网络产品和服务；什么样的产品和服务才算是安全可信？“优先采购”是否涉嫌违反上位法《招投标法》的采购精神？可能影响国家安全的，还要应当按《网络安全审查办法》的规定通过安全审查。该规定同样可见于《网络安全法》第三十五条、第三十六条。而可能影响国家安全的采购活动，在安全审查结果尚未定论，建议企业应当设置附条件生效的条款，以便国家安全审查不通过给企业带来不必要的损失。

　　三、有关部门的职责

　　《条例》明确了国家各部门关键信息基础设施保护工作的分工，规定国家网信部门负责统筹协调，国务院公安部门负责指导监督，各行业、领域主管部门负责职责范围内的安全保护和监督管理工作，省级政府有关部门依职责实施安全保护和监督管理。《条例》主要从以下四个方面确定了有关部门的职责：

　　（一）信息方面的职责

　　国家建立网络安全信息共享机制，并于第三十条规定国家机关及网络安全服务机构在工作中获取的信息只能用于维护网络安全，不得泄露、出售或者非法向他人提供。

　　（二）预防方面的职责

　　保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度和网络安全事件应急预案，定期组织应急演练和检查检测。

　　（三）检查方面的禁止事项

　　有关部门应当避免不必要的检查和交叉重复检查，检查不得收费，不得要求运营者购买指定的产品或服务。

　　（四）优先保障的行业

　　国家优先保障能源、电信行业的关键信息基础设施安全，能源、电信行业应当为其他行业的关键信息基础设施安全提供保障。

　　四、漏洞探测、渗透性测试批准与授权

　　《条例》第三十一条规定，未经国家网信部门、公安部门批准或者保护工作部门、运营者授权，任何组织和个人不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关其安全的活动。对基础电信网络进行此类活动的，还要事先向国务院电信主管部门报告。为何国家网信部门、公安部门是批准，而保护工作部门、运营者是授权？两者之间是“或”的关系，也就意味着二选一的关系。上文中提到公安部门也属于保护工作部门，网信办属于统筹协调部门，但也存在部分监督管理职权，是否也属于保护工作部门。我们认为，国家网信部门、公安部门和行业监督或主管部门均属于保护工作部门，《条例》第三十一条保护工作部门授权主要还是行业主管部门，否则则本身就存在冲突，无法实操。另外，行业主管部门作为保护工作部门授权如何解释，期待实操层面更进一步的明确。