标题:关键信息基础设施运营者的自行责任与网络安全法的规定
一、引言
随着信息技术的飞速发展,关键信息基础设施在国家经济、社会和安全中发挥着至关重要的作用,网络安全法的出台,为关键信息基础设施的安全保护提供了法律依据,本文将根据网络安全法的规定,探讨关键信息基础设施的运营者应当多久自行进行安全评估、采取安全措施以及报告安全事件等问题。
二、网络安全法对关键信息基础设施运营者的要求
网络安全法第三十一条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,因业务连续性要求高、数据处理量大、新技术应用多、网络环境复杂等因素,影响或者可能影响国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护,关键信息基础设施的具体范围和安全保护办法由国务院制定。”
第三十四条规定:“除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份;(四)制定网络安全事件应急预案,并定期进行演练;(五)法律、行政法规规定的其他义务。”
三、关键信息基础设施运营者应当多久自行进行安全评估
根据网络安全法第二十条的规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构每年至少进行一次网络安全检测评估,网络安全检测评估应当包括网络安全技术措施、网络安全管理措施、网络安全事件应急处置等方面的内容。
网络安全检测评估应当遵循客观、公正、科学的原则,使用符合国家有关规定的检测评估工具和方法,网络安全服务机构应当具备相应的资质和能力,按照国家有关规定和标准开展检测评估工作。
四、关键信息基础设施运营者应当多久自行采取安全措施
根据网络安全法第二十一条的规定,关键信息基础设施的运营者应当自行制定网络安全事件应急预案,定期进行演练,并按照国家有关规定向有关主管部门报告网络安全事件的应急处置情况。
网络安全事件应急预案应当包括应急处置的组织机构、职责分工、应急响应程序、应急处置措施等内容,网络安全事件应急预案应当根据网络安全事件的特点和规律,定期进行修订和完善。
五、关键信息基础设施运营者应当多久自行报告安全事件
根据网络安全法第五十九条的规定,网络安全事件发生的风险增大时,网络运营者应当按照规定向有关主管部门报告,网络安全事件发生后,网络运营者应当立即采取措施,组织开展应急救援和处置工作,并按照规定向有关主管部门报告网络安全事件的基本情况、可能造成的危害、已经采取的措施等情况。
网络安全事件的报告应当及时、准确、完整,不得迟报、谎报、瞒报,有关主管部门接到网络安全事件报告后,应当按照规定及时进行处置,并将处置情况向社会公布。
六、结论
网络安全法的出台,为关键信息基础设施的安全保护提供了法律依据,关键信息基础设施的运营者应当认真履行网络安全法规定的安全保护义务,自行或者委托网络安全服务机构每年至少进行一次网络安全检测评估,自行制定网络安全事件应急预案,定期进行演练,并按照国家有关规定向有关主管部门报告网络安全事件的应急处置情况,只有这样,才能有效保障关键信息基础设施的安全,维护国家安全、国计民生和公共利益。
评论列表