适用场景
在中国境内设有运营实体、提供网络服务、处理大量用户数据或重要行业数据的出海企业,尤其涉及能源、金融、交通、医疗、教育、公共事业、云服务、大数据、国防科技、重工、化工、食品医药等领域的企业,应在业务规划、日常运营及技术架构设计阶段,重点关注并落实CII安全保护要求。
核心要点
1. CII识别与范围界定
关键信息基础设施(CII)是指一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统。其识别标准结合行业属性和潜在危害后果,涵盖政府、公共通信、能源、金融、交通、水利、医疗、教育、社会保障、环境保护、公共事业等多个关键领域,并特别强调了大规模云服务、大数据提供商、国防科技、重工、化工、食品医药等新增行业。
2. 运营者核心安全保护义务
CII运营者需全面落实网络安全等级保护制度,建立健全内部安全管理制度和操作规程,采取身份认证、权限管理、数据分类、重要数据备份与加密等技术措施。同时,必须设立专门的网络安全管理机构和人员,定期进行安全教育培训和技能评估,并制定应急预案并定期演练。
3. 网络产品与服务采购合规
CII运营者在采购可能影响国家安全的网络产品和服务时,必须通过安全审查,并与供应商签订安全保密协议。对于第三方开发系统、软件或捐赠的网络产品,上线前需进行安全测试。一旦发现安全缺陷或漏洞,应及时采取措施消除风险,并按规定向相关部门报告重大风险。
4. 数据与运维本地化要求
CII运营者在中国境内收集和产生的个人信息及重要数据,原则上应存储在中国境内。此外,关键信息基础设施的运行维护也应在中国境内进行。若确因业务需要进行境外远程维护,需向国家行业主管部门和公安部门报告。
实务建议
- 自我评估与识别: 参照CII识别指南,对企业在中国境内的网络设施和信息系统进行全面评估,判断是否属于CII范畴,并及时与行业主管部门沟通确认。
- 建立健全管理体系: 依据网络安全等级保护制度和CII保护要求,建立完善的内部安全管理制度、技术防护体系和应急响应机制。
- 强化人员能力建设: 确保网络安全管理岗位配备具备相应资质的专业技术人员,并为全体员工提供持续的网络安全教育和技能培训。
- 严格供应链安全管理: 对所有网络产品和服务供应商进行严格的安全审查,确保其符合国家强制性要求,并签订明确的安全保密协议。
- 落实数据本地化与运维要求: 确保个人信息和重要数据存储在中国境内。如需境外远程运维,务必提前履行报告义务并获得批准。
- 定期安全检测与评估: 每年至少进行一次CII安全检测和风险评估,并在系统上线或发生重大变更前进行安全测试。
风险提示
- 忽视CII范围扩大: 误认为CII仅限于传统关键行业,未意识到云服务、大数据、特定制造业等新兴或传统行业已被纳入,导致合规盲区。
- 数据出境与运维违规: 未严格遵守数据本地化存储和运维本地化要求,或未按规定履行境外远程维护的报告审批程序,面临高额罚款和业务中断风险。
- 第三方风险管理不足: 对采购的网络产品和服务,以及第三方开发或捐赠的系统缺乏充分的安全审查和测试,引入潜在安全漏洞。
- 应急响应能力不足: 未定期进行安全应急演练,导致在发生网络安全事件时无法有效应对,造成更大损失。
- 责任主体不明确: 未设立专门的网络安全管理机构和人员,或相关人员缺乏资质和培训,导致责任落实不到位。