近期《关键信息基础设施安全保护条例征求意见稿》终于发出，业内也是期盼已久，虽是意见稿，但是也可以从中看出一些门路来，今天不得不等简单总结了十个比较重要的关键要点，供大家学习。

1、关键信息基础设施在网络安全等级保护制度基础上，实行重点保护。（第6条，明确了在等保基础上进行重点保护）

2、地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划，加大投入，开展工作绩效考核评价。（第9、11条，明确了国家制定相关政策支持关键信息基础设施安全保护工作的推进，再也不担心经费的事了）

3、国家行业主管或监管部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保护工作的机构和人员，编制并组织实施本行业、本领域的网络安全规划，建立健全工作经费保障机制并督促落实。（第13条，明确了各行业主管单位负责本行业的安全管理工作，并落实工作经费）

4、公安机关等部门依法侦查打击针对和利用关键信息基础设施实施的违法犯罪活动。（第15条，明确了公安机关牵头打击针对关键信息基础设施违法犯罪活动）

5、任何个人和组织不得从事下列危害关键信息基础设施的活动和行为：

    （一）攻击、侵入、干扰、破坏关键信息基础设施；

    （二）非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施安全的技术资料等信息；

    （三）未经授权对关键信息基础设施开展渗透性、攻击性扫描探测；

    （四）明知他人从事危害关键信息基础设施安全的活动，仍然为其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助；

    （五）其他危害关键信息基础设施的活动和行为。

（第16条，需要注意的是不能在未经授权的情况下对关键信息基础设施开展渗透性、攻击性扫描探测，平时想练练手或者一些监管单位的一些远程扫描及渗透行为需要规范，对应的处罚条款是：个人违反本条例第十六条规定，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款；构成犯罪的，依法追究刑事责任。搞渗透的一不小心就要被拘留了）

6、下列单位应当纳入关键信息基础设施保护范围：

    （一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

    （二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

    （三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

    （四）广播电台、电视台、通讯社等新闻单位；

（五）其他重点单位。

（第18条，明确了关键信息基础设施保护范围，各用户单位各自对照下）

7、 运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人，负责建立健全网络安全责任制并组织落实，对本单位关键信息基础设施安全保护工作全面负责。（第22条，明确了安全保护工作第一责任人，运营者主要负责人看看单位谁能称得上呢）

8、运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障关键信息基础设施免受干扰、破坏或者未经授权的访问，防止网络数据泄漏或者被窃取、篡改：

    （一）制定内部安全管理制度和操作规程，严格身份认证和权限管理；

    （二）采取技术措施，防范计算机病毒和网络攻击、网络侵入等危害网络安全行为；

    （三）采取技术措施，监测、记录网络运行状态、网络安全事件，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密认证等措施。

（五）设置专门网络安全管理机构和网络安全管理负责人，并对该负责人和关键岗位人员进行安全背景审查；

    （六）定期对从业人员进行网络安全教育、技术培训和技能考核；

    （七）对重要系统和数据库进行容灾备份，及时对系统漏洞等安全风险采取补救措施；

    （八）制定网络安全事件应急预案并定期进行演练；

    （九）法律、行政法规规定的其他义务。

（第23、24条明确了运营者的网络安全义务，对照下没有做的赶紧去做）

9、运营者应当建立健全关键信息基础设施安全检测评估制度，关键信息基础设施上线运行前或者发生重大变化时应当进行安全检测评估。运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行一次检测评估，对发现的问题及时进行整改，并将有关情况报国家行业主管或监管部门。（第28条明确了运营者每年对关键信息基础设施需要进行一次安全检测评估）

10、 运营者采购网络产品和服务，可能影响国家安全的，应当按照网络产品和服务安全审查办法的要求，通过网络安全审查，并与提供者签订安全保密协议。运营者应当对外包开发的系统、软件，接受捐赠的网络产品，在其上线应用前进行安全检测。（第31、32条明确了对影响国家安全的系统采购的产品及服务需要通过网络安全审查，外包开发的系统需要进行上线前安全检测，0元中标的项目切记上线前要进行安全检测）

最后简单概述下如果没有按照关键信息基础设施安全保护条例开展工作，面临的处罚方式主要要：1、由上级主管单位责令改正，给予警告；2、对单位进行相关罚款；3、对直接负责的主管人员和其他直接责任人员进行罚款；4、对直接负责的主管人员和其他直接负责人员依法给予处分；5、发生重大网络安全事件，经调查确定为责任事故的，除应当查明运营单位责任并依法予以追究外，还应查明相关网络安全服务机构及有关部门的责任，对有失职、渎职及其他违法行为的，依法追究责任。整体来说处罚的条款比较多且具体，操作性强，各个单位、各安全责任人需及时履行自己的网络安全义务，及时开展网络安全工作，降低信息系统的被攻击风险，提高信息系统的安全防护能力，网络安全工作需要未雨绸缪，不要等到发生重大网络安全事件后再去补救，那样会很被动。

以上内容来源于微信号：等级保护测评