适用场景
所有在中国境内有运营实体、业务涉及关键行业或对国家安全、公共利益有重大影响的中国出海企业,无论处于哪个发展阶段,都应关注并评估其信息系统是否可能被认定为关键信息基础设施(CII),并据此履行相应的网络安全保护义务。
核心要点
1. CII的识别范围与流程
CII的识别采用“行业领域+危害后果”的非穷尽列举方式,涵盖公共通信、能源、交通、水利、金融等关键行业。识别过程通常包括确定关键业务、支撑该业务的信息系统,并评估系统故障对关键业务的依赖程度及可能造成的损失。行业主管部门将负责具体的识别工作。
2. 多部门协同的监管体系
中国建立了以国家网信部门牵头,公安、国安、保密、密码等部门及各行业主管部门共同参与的CII安全保护监管体系。国家网信部门负责统筹协调,各行业主管部门则负责组织本行业的CII识别和安全保护工作。
3. CII运营者的安全管理与人员要求
CII运营者需设立专门的安全管理机构,并任命一名安全管理负责人,对该负责人及关键岗位人员进行背景审查。法规还引入了“主要负责人”对CII安全保护工作负总责的制度,并要求网络安全关键岗位的专业技术人员持证上岗。
4. CII运营者的核心安全保护义务
CII运营者必须依据网络安全等级保护制度和国家标准,履行多项强制性安全保护义务。这包括制定规章制度、组织技能评估和培训、进行安全检测和应急演练、实施数据分类分级管理、重要数据本地存储等。
5. 网络产品和服务的安全合规要求
CII运营者使用的网络产品和服务有额外规定,如外包系统、软件和捐赠产品需进行安全测试。此外,CII的运维原则上应在境内进行,若确需境外远程维护,需向相关主管部门报告,这可能对跨国公司的业务模式产生影响。
实务建议
- 企业应主动对照CII识别标准,对自身信息系统进行初步评估,判断是否可能被认定为CII,并提前做好合规准备。
- 尽快建立健全内部网络安全管理体系,设立专门机构,任命并明确安全管理负责人职责,确保关键岗位人员符合资质要求。
- 全面梳理并优化现有信息安全制度和技术防护措施,确保符合国家网络安全等级保护制度和相关强制性标准。
- 在采购网络关键设备和网络安全专用产品时,务必选择已通过安全认证或安全审查的产品,并对可能影响国家安全的网络产品和服务申请安全审查。
- 对于涉及CII的境外远程维护,应充分了解并严格遵守报告义务,评估其对现有业务模式的影响,并制定相应的合规方案。
风险提示
- CII运营者的“主要负责人”和“安全管理负责人”可能因网络安全事件分别承担法律责任,企业需明确职责划分并加强内部协同。
- CII的境外远程维护受到严格限制,若无业务必要性或未履行报告义务,可能面临合规风险,对跨国企业的全球化运营带来挑战。
- 未能按照强制性要求和国家标准履行CII安全保护义务,将面临行政处罚、罚款,甚至可能追究相关责任人的法律责任。