三、执证上岗制度及教育培训要求
《保护条例》第二十三条、第二十四条规定的CIIO安全保护义务,与《网安法》的要求基本一致,规定了CIIO须(一)设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份,及时对系统漏洞等安全风险采取补救措施;(四)制定网络安全事件应急预案并定期进行演练;(五)法律、行政法规规定的其他义务。
值得注意的是,《保护条例》第二十六条规定运营者网络安全关键岗位专业技术人员实行执证上岗制度。执证上岗具体规定由国务院人力资源社会保障部门会同国家网信部门等部门制定。
另外,《保护条例》第二十七条也对《网安法》中就提到的网络安全教育进行了细化,规定运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于1个工作日,关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。
据此,可能属于CIIO的数据信息企业应关注相关部门关于执证上岗的具体规定,并注意保留从业人员及关键岗位专业技术人员的培训记录。
结语
由于《保护条例》在CIIO范围界定上的不确定性,在识别指南及各行业领域CII名录发布之前,CII的具体范围仍未明确。但政府机关和各重要公用事业单位,国内各大媒体、互联网公司以及重要的存储及处理数据关系国家安全、国计民生、公共利益的云服务、大数据企业等已极大可能落入CII范围,建议广大CIIO,尤其是可能属于CIIO的数据信息企业,尽快依据《保护条例》及《网安法》的要求建立、调整网络安全保护制度,比对CIIO的各项网络安全保护义务进行整改,并严密关注后续立法执法及具体规定动向。
作者吴丹君律师、王渝伟律师均为首席数据官联盟专家组成员。