2021年4月27日，國務院第133次常務會議通過了《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》），并于2021年9月1日起施行。已經有很多文章對《條例》做了深入解讀。本文就不再針對條例進行解讀，只對用戶關心的《條例》發布后等保工作該如何開展進行分析。

等保系統中哪些屬于關鍵信息基礎設施？

《條例》第二條明確對關鍵信息基礎設施做出了定義：“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等”屬于關鍵信息基礎設施。

根據《GB/T 22240-2020 信息安全技術 網絡安全等級保護定級指南》，網絡設施、信息系統等一旦遭到破壞，喪失功能或者數據泄露，對國計民生和公共利益造成嚴重危害的系統應定為三級，對國家安全造成嚴重危害的系統應該定為四級。由此可見，關鍵信息基礎設施一般應定為三級或者四級，或者說應該在等保三級或四級系統中識別關鍵信息基礎設施。

當然，關鍵信息基礎設施保護監管部門應結合本行業、本領域實際情況，制定關鍵信息基礎設施的認定規則，報國務院公安部門備案，并根據認定規則，組織本行業、本領域的關鍵信息基礎設施認定。也就是說，各行各業要根據《條例》要求梳理目前已定級與未定級系統，識別出哪些屬于關鍵信息基礎設施，并報國務院公安部門備案。

《條例》發布后等保工作是否需要調整？

《條例》規定，關鍵信息基礎設施應在網絡安全等級保護制度的基礎上，實行重點保護。也就是說，等保該做的還是正常做（根據等保要求被認定為三級或三級以上的系統至少需要每年進行一次等級保護測評工作）?！稐l例》同時要求，對關鍵信息基礎設施每年進行網絡安全檢測和風險評估。所以，除了進行等級保護測評還需要進行安全檢測和風險評估，這里的安全檢測和風險評估應該是同一項工作，我們可以把它統稱為安全評估。具體如何進行，相關部門正在制定評估標準，標準發布后將依據標準進行評估。

同時，《條例》中還對關鍵信息基礎設施中的密碼使用和管理提出了要求，應當遵守相關法律、行政法規的規定。按照《商用密碼應用安全性評估管理辦法（試行）》，涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位應當健全密碼保障體系，實施商用密碼應用安全性評估。故今后被認定為關鍵信息基礎設施，需要同時開展等保測評、密評與關鍵信息基礎設施安全評估。

中國金融認證中心（CFCA）是一家以綜合網絡安全服務為核心的科技企業，擁有國家認可的“網絡安全等級保護測評機構推薦證書”，屬于國家密碼管理局《商用密碼應用安全性評估試點機構目錄》試點企業，可開展等保測評、密評等一系列安全服務。多年來，服務客戶覆蓋能源、交通、水利、金融等重要基礎設施行業，助力客戶滿足國家網絡安全要求，全面提升網絡安全防護能力。

責任編輯：韓希宇