一、分享环节
《关键信息基础设施安全保护条例》(简称《关保》)从征求意见稿到现在已经有2-3年时间,并将在2021年9月1日正式落地实行。条例规定与征求意见稿发生了变化,对国家基础设施安全保护起到提纲挈领的作用。条例涉及到责权划分,由各个行业的主管部门制定本行业的保护条例,公安部门发挥监督作用。从市场来看,由运营者的角度出发,根据关键信息基础设施建设运营生命周期的顺序,可以从认定、规划、机构设置、检测评估、管理体系、监测预警、应急演练和教育培训八个方面进行分析和解读。
1. 关键信息基础设施认定:运营商和能源行业会成为行业监管的重要聚焦点。行业监管部门是认定关键信息基础设施规则的主要制定者,在认定行业基础设施之后,运营者根据本行业的保护工作部门制定的相关规则,在分类的基础上进行关键基础设施的确定,完成《关键信息基础设施登记表》,上交保护工作部门。
2. 网络安全建设规划:运营者建设规划要满足前瞻性的要求。建设所采购的安全产品和服务,要满足《网络产品和服务安全审查办法》规定,对其中关系国家安全的网络和信息系统采购的重要网络产品和服务(信创类、国产化),应配合保护工作部门开展网络安全审查工作,并按规定与网络产品和服务供应商签订安全保密协议;密码使用和管理,也应按照国家要求配合相关部门对可能影响国家安全的密码产品和相关服务进行安全审查。
3. 安全管理机构设置:要求运营者建立健全网络安全责任制,由本单位主要负责人担任最高领导,对关键信息基础设施安全保护负总责。应设置专门安全管理机构,并保障人员和经费的投入,将组织的网络安全职责从信息化职责中剥离出来,通过履行相应职责,负责本单位的关键信息基础设施安全保护工作。安全管理机构的主要人员应参与本单位网络安全和信息化有关的决策。
4. 网络安全检测评估:运营者应每年至少一次的网络安全检测和风险评估,完成安全风险处置闭环,评估对象包括运行环境、人员、制度等方面,安全检测工作包括安全配置基线检查、安全漏洞扫描、安全渗透测试等,并根据关键信息基础设施类型(如:大数据、工业控制、云计算、移动互联、物联网),增加专项技术检测。
5. 网络安全管理体系建设:运营者应建立健全网络安全保护制度,形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。建立健全网络安全评价考核制度,履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度,符合数据安全法、个人信息安全规范等国家相关法律法规和标准要求。
6. 网络安全防护和监测预警:运营者应采购相应网络安全设备在专业人员的管理下,开展相关工作,对平台进行安全防护监测预警。监测到突发安全事件时,在应急处置安全事件期间及事件处置结束后应及时向本行业保护工作部门报告。
7. 网络安全应急预案与演练:运营者应定期选定若干应急场景,组织开展应急演练工作,演练过程需留下记录,包括演练工作方案、过程文档、照片、签到表等演练记录,在演练结束后进行复盘和总结,通过演练检验预案的可行性并针对性完善。
8. 网络安全教育和培训:运营者的安全管理机构应负责组织网络安全教育和人员培训,培训内容包括网络安全相关制度和规定、网络安全基础知识、网络安全保护技术、网络安全风险意识、岗位操作规程等。此外,还需要提供人员管理措施。
以上八个方面,运营者如果未能落实相关条例,有明确处罚运作方式。
条例对市场的影响:给行业的监管者和运营者提供了更大的空间,针对自身的行业特点,和相关基础设施建设安全保护的要求,制定本行业的保护条例。以运营商、能源行业为例,其针对运营商网络、物联网,会有更加落地的行业保护需求,对市场而言会有很大的扩展空间。对运营者自身而言,对没有满足保护条例措施者会有明确的处罚措施,对条例落地起到强有力的支撑。
二、互动环节
Q:《关保》相对《等保》(《网络安全等级保护条例》)而言,是否有较大边际变化?大安全市场何时出现明显改善?
A:第一,《关保》条例出台针对国计民生与危害国家和公共利益的网络设施和信息系统,属于《等保》在二三级所覆盖的范围,而在《关保》中针对基础设施的认定提的更加明确,利好市场,倾向性也更明确。第二,关键基础设施保护协调和分工的权力下放到每个行业,有利于发挥行业特点,提出更有针对性和时效性的方案。关键基础设施建设过程中,数据安全,个人信息保护和信创类,保密性产品安全在协议中都有提及,对市场推动力度比原来更大。当然,市场还需要一定启动时间,可能在明年会有更积极的变化。
Q:《关保》负责主体,推动力度和重视程度是否有变化?
A:这涉及主管部门之间管控责任的问题。在信息安全方面,根据党委负责制和《关保》条例,是在监管部门和公安之间进行分工;从推动力度来看,是由单位内党的一把手进行推进,推动力度和重视程度比原来更高,使得相关措施落地更加有效。
Q:《关保》条例实施的预算链条如何?
A:预算来自重要行业和领域的上级主管部门和各级政府部门。预算申请拨备的机制,比原先条例中其它监管部分的渠道更加有效。政府向上级政府申请,行业向上级行业主管部门申请,把行业的规范和监管下放到相关主管部门,从监管角度而言更加直接和有效。
Q:条例中“优先采购安全可信的网络产品和服务”,该产品可否理解为信创?信创和国产化在其中的比例如何?
A:可以,根据《网络产品和服务安全审查办法》,采购关系国家安全的网络和信息系统的重要网络产品和服务需要安全审核,保证供应链的安全要求,因此供应链保障类产品更适合使用,这里涉及到信创。国家已经出台几期关于信创的目录,随着半导体技术的提高,信创产品本身的可用性和兼容性会提高,这方面的提高计划在3年内完成,《关保》条例出台后,这方面的计划完成速度在个别方面有望提高。
Q:《关保》正式执行带来的市场增量空间?具体增速如何?
A:公共通讯、信息服务方面,主管部门是工信部,目前运营商原本每年5%的投入,未来的规划是每年要有10%进行信息安全的投入,公共基础设施信息服务这方面的基础设施这方面的发展空间会有较大增长。在能源方面,很多基础设施没有完全建成,并不完善,国家能源局会将提出相关要求,促进行业增长。具体而言,不同的行业会有不同规模的增长。除运营商之外,其它行业由于目前投入的基数低,可能增长空间更大。
Q:国产替代进度如何?
A:目前采购的所有产品和服务都应该遵循《网络安全产品和服务安全审查办法》,在信创和安全产品方面,对行业有很强推动作用,国产化替代在信息安全等方面的要求和可能性非常高。
Q:哪些产品拉动更大?哪些企业拉动更大?
A:对4类安全产品有较大推动作用:1)信息保护和数据安全相关的安全产品;2)网络安全服务和管理审核办法相关的信创类安全产品;3)密码类的安全产品;4)网络安全管理和态势感知类产品,行业监管部门和客户内部会建立一套满足本行业要求且向上承接监管部门的系统,以满足条例规定要求,推动网络安全管理和态势感知市场拓展。
企业方面,可以关注数据安全,态势感知头部企业;此外,能源交通方面,涉及工业互联网的安全监控和保护措施,也会在条例的落地后会得到推进,预计明年有很多相关项目落地。
Q:比较《关保》和《等保》(《网络安全等级保护条例》),哪个对安全行业影响更大?《关保》对安全和信创哪个更利好?
A:《关保》条例和《网络安全等级保护条例》不矛盾,《关保》重要前提是在监管方面,权力下放给行业监管部门,行业属性和落地性要求更强,对行业落地推动性和针对性更强。《关保》条例是总的关键信息基础设施安全保护规定,明确了之前提出的信创要求。
Q:互联网公司数据监管保护,如何落地?互联网公司是否和安全公司有合作?
A:公共服务和通信行业,属于工信部管理范围,没有明确管控和要求;数据方面,网络安全审核办法中有相对明确规定,具体落地的审核规定还在等待明确的监管要求,这方面可能对未来数据交换共享、出入路径提出相关的要求。《关保》条例不完全针对互联网公司。从互联网公司来看,大型互联网企业会自研安全产品,某些技术(加密技术)可能会用到第三方产品,中小型互联网公司会采购外部产品帮助他们满足行业合规要求。交换和共享方面还要等待具体条款,个人隐私、数据交换等方面还没有具体条例。互联网行业数据量大,数据类型多,更可能通过第三方交易所,由政府引导进行数据交易和共享。
Q:《关保》背景下,是否做大客户整体解决方案的公司受益更明显?
A:《关保》涉及行业主要是大型央企和政府机构,对业务倾向于大型企业的政府的公司更有利。总体看利好安全行业的龙头公司。