《关键信息基础设施保护条例》有望年内出台

由中央网信办和公安部共同制定的《关键信息基础设施保护条例》已上报国务院，有望年内出台。

据了解，国家关键信息基础设施包括公共通信，广播电视、能源、金融、交通、水利、卫生、社会保障等17个领域。《关键信息基础设施保护条例》对关系到国家安全、国计民生、公共利益的关键信息基础设施在网络安全等级保护制度的基础上实行重点保护。

工信部此前印发的《电信和互联网行业提升网络数据安全保护能力专项行动方案》也要求建立行业网络数据安全保障体系，制定15项以上行业网络数据安全标准规范。
 

根据《网络安全法》及《关键信息基础设施安全保护条例（征求意见稿）》（以下简称“条例”）总结以下几点以供参考。
注：关键信息基础设施以下简称“关基”。
一、“关基”在网络安全等级保护制度的基础上，实行重点保护。“关基”需要及时开展网络安全等级保护工作且系统等级不低于三级，这是基础。
二、建立健全“关基”安全检测评估制度，“关基”上线运行前或者发生重大变化时需要进行安全检测评估。每年对“关基”至少进行一次检测评估，对发现的问题及时进行整改。
三、完善内部安全管理制度和操作规程，设置专门网络安全管理机构和网络安全管理负责人，并对负责人和关键岗位人员进行安全背景审查；定期对从业人员进行网络安全教育、技术培训和技能考核。
四、采取技术措施，防范计算机病毒和网络攻击、网络侵入等危害网络安全行为。即拥有网络版杀毒软件、防毒墙、IPS、WAF、防火墙、堡垒机、数据库防火墙等防护类设备，具备一定的技术措施保障其安全。
五、采取技术措施，监测、记录网络运行状态、网络安全事件，并按照规定留存相关的网络日志不少于六个月。
没有日志审计设备的用户需抓紧配好，不然很难留存不少于6个月的日志量。如果资金充足，也可以通过集中管理中心或者SOC平台等相关产品满足要求。
六、采取数据分类、重要数据备份和加密认证等措施，对重要系统和数据库进行容灾备份；有条件的可以做异地应用容灾备份，确保核心数据及应用的安全。
七、制定网络安全事件应急预案并定期进行演练。
八、及时对系统漏洞等安全风险采取补救措施。
 
近年来，我国关键信息基础设施运营者对信息安全的重视程度日益提高，信息安全漏洞的平均修复周期已经从2016年时的35天缩短到了现在的16天。即便如此，我国信息安全形势仍旧十分严峻，信息安全保护水平仍需提高。

作为深耕数据安全领域十余年的优炫软件，专注于数据安全类产品的研发、管理和挖掘，并提供操作系统安全、数据库安全、边界防护、云安全、运维安全、业务安全六大核心数据保护产品和解决方案，客户遍及政府、金融、军工、教育、医疗、能源等领域，拥有丰富行业经验和实践案例。秉承“优炫，让数据更安全”的品牌精神，凭借优秀的研发技术和专业的产品服务，优炫软件受到了客户的广泛好评。