关于关键信息基础设施(信息系统清单,关键词优化)

关键信息基础设施关涉国家安全和人民生产生活，是国之重器，历来是安全保障重中之重。

比如去年6月1日施行的《网络安全法》首次立法对其保护。

再比如后来《关键信息基础设施安全保护条例（征求意见稿）》更是明确了其具体工作要求。

一、关键信息基础设施的定义及范围

对于何为关键信息基础设施，《网络安全法》、《安全保护条例》以及《操作指南》中都是采用了“特定行业范围+严重危害后果”的方式来进行定义，因此在定义的同时，也会明确涉及一些特定的行业：

从上表可以看出，《网络安全法》所直接提及的行业范围相对较少，而在《安全保护条例》和《操作指南》中则更为丰富具体，其中有同时都明确提及的，也有仅单独提及的。我们认为，凡是在任何一份规范性文件中有所提及且一旦发生网络安全事件，可能造成严重后果的都应属于CII的范畴。企业可以根据上表的内容初步评估所属的网络系统是否属于CII。

二、关键信息基础设施的识别规则

虽然对CII有了初步的定义，但是该如何具体的识别CII，仍然需要进一步细化的规则进行指引。因此，《安全保护条例》第19条为下一步细则规范的出台进行了授权并做出了一些原则性的规定。

具体来说，《安全保护条例》第19条第1款明确了“国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南”，同时第2款和第3款规定“国家行业主管或监管部门按照关键信息基础设施识别指南，组织识别本行业、本领域的关键信息基础设施，并按程序报送识别结果。关键信息基础设施识别认定过程中，应当充分发挥有关专家作用，提高关键信息基础设施识别认定的准确性、合理性和科学性”。在后续的“关键信息基础设施识别指南”尚未出台的情况下，《操作指南》中的确定的CII确定规则在目前就成为最有参考价值的一项标准。

《操作指南》中提出了CII确定的三步法，一是确定关键业务，二是确定支撑关键业务的信息系统或工业控制系统，三是根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。

《操作指南》中对三步法的操作又有具体的指引：

◆对于确定关键业务，《操作指南》明确了需结合本地区、本部门、本行业的实际来梳理关键业务，并做了示例。以“电信与互联网”为例，关键业务就应包括域名解析服务、数据中心云服务、语音数据互联网基础网络及枢纽等业务。

◆ 对于确定支撑关键业务的信息系统或工业控制系统，则应当根据关键业务，逐一梳理出支撑关键业务运行或关键业务相关的信息系统或工业控制系统，形成候选关键信息基础设施清单。比如火电企业的发电机组控制系统、管理信息系统。

◆对于认定关键基础设施的量化标准，《操作指南》则列举了网站类、平台类和生产业务类三种具体情况的相应量化标准。比如对于平台类，规定注册用户超过1000万、活跃用户超过100万或者日交易额超过1000万的，就可认定为CII；对于生产业务类，规模超过1500个标准机架的数据中心、地市级以上政府面向公众服务的业务系统，也都可认定为CII。

三、关键信息基础设施运营者的安全保护义务及法律责任

《网络安全法》中对关键信息基础设施作出特别的规定，对于企业而言，最为重要的就是要了解关键信息基础设施运营者（CIIO）的安全保护义务。

具体的安全保护义务和相应的法律责任梳理如下：

四、典型的关键信息基础设施范例

关键信息基础设施可能包含但不局限于下列系统：

电网公司的核心业务系统，大型发电企业的网站群平台、调度数据网、生产控制系统等；

通信运营商的传送网、通信网、信令网、云平台、核心业务系统等；

大型金融机构总部及省级的核心业务系统、支付系统、网上银行系统、网站系统、手机银行系统、生产网络等；国家部委的核心应用系统、电子政务外网、门户网站、省级单位的核心应用系统、大型媒体的门户网站、大型企业的物联网平台、数据管理系统、生产工控系统等。

到底自己的系统是不是关键信息基础设施，请多看几次关键信息基础设施的定义后再做确定。（不作为标准答案，仅供参考