关键 信息 基础 设施 安全 保护 条例
第一 章 总 则
第一 条 为了 保障 关键 信息 基础 设施 安全 , 维护 网络 安全 , 根据 《中华人民共和国 网络 安全 法》 , 制定 本 条例。
第二 条 本 条例 所称 关键 信息 基础 设施 , 是 指 公共 通信 和 信息 服务 、 能源 、 交通 、 水利 、 金融 、 公共 服务 、 电子 政务 、 国防 科技 工业 等 重要 行业 和 领域 的 , 以及 其他 一旦 破坏、 丧失 功能 或者 数据 泄露 , 可能 严重 危害 国家 安全 、 国计民生 、 公共 利益 的 重要 网络 设施 、 信息 系统 等。
第三 条 在 国家 网 信 部门 统筹 协调 下 , 国务院 公安 部门 负责 指导 监督 关键 信息 基础 设施 安全 保护 工作。 国务院 电信 主管 部门 和 其他 有关部门 依照 本 条例 和 有关 法律 、 行政 法规 的 规定 , 在 职责 范围内 负责 关键 信息 基础 设施 安全 保护 和 监督 管理 工作。
省级 人民政府 有关部门 依据 各自 职责 对 关键 信息 基础 设施 实施 安全 保护 和 监督 管理。
第四 条 关键 信息 基础 设施 安全 保护 坚持 综合 协调 、 分工 负责 、 依法 保护 , 强化 和 落实 关键 信息 基础 设施 运营 者 (以下 简称 运营 者) 主体 责任 , 充分 发挥 政府 及 社会 各 方面 的 作用 , 保护 ,信息 基础 设施 安全。
第五 条 国家 对 关键 信息 基础 设施 实行 重点 保护 , 采取 措施 , 监测 、 防御 、 处置 来源于 中华人民共和国 境内 外 的 网络 风险 和 威胁 , 保护 关键 信息 基础 设施 免受 攻击 、 侵入 、 干扰 和 破坏 ,依法 惩治 危害 关键 信息 基础 设施 安全 的 违法 犯罪 活动。
任何 个人 和 组织 不得 实施 非法 侵入 、 干扰 、 破坏 关键 信息 基础 设施 的 活动 , 不得 危害 关键 信息 基础 设施 安全。
第六 条 运营 者 依照 本 条例 和 有关 法律 、 行政 法规 的 规定 以及 国家 标准 的 强制性 要求 , 在 网络 安全 等级 的 的 基础 上 , 采取 技术 保护 措施 和 其他 必要 措施 应对 网络 安全 事件 , 网络 攻击 攻击和 违法 犯罪 活动 , 保障 关键 信息 基础 设施 安全 稳定 运行 , 维护 数据 的 完整性 、 保密 性 和 可用性。
第七 条 对 在 关键 信息 基础 设施 安全 保护 工作 中 取得 显著 成绩 或者 作出 突出 的 的 单位 和 个人 , 按照 国家 有关 规定 给予 表彰。
第二 章 关键 信息 基础 设施 认定
第八 条 本 条例 第二 条 涉及 的 重要 行业 和 领域 的 主管 部门 、 监督 管理 部门 是 负责 关键 信息 基础 设施 安全 保护 工作 的 部门 (以下 简称 保护 工作 部门)。
第九条 保护 工作 部门 结合 本 行业 、 本 领域 实际 , 制定 关键 信息 基础 设施 认定 规则 , 并报 国务院 公安 部门 备案。
制定 认定 规则 应当 主要 考虑 下列 因素 :
(一) 网络 设施 、 信息 系统 等 对于 本 行业 、 本 领域 关键 核心 业务 的 重要 程度 ;
(二) 网络 设施 、 信息 系统 等 一旦 遭到 破坏 、 丧失 功能 或者 数据 泄露 可能 带来 的 危害 程度 ;
(三) 对 其他 行业 和 领域 的 关联 性 影响。
第十 条 保护 工作 部门 根据 认定 规则 负责 组织 认定 本 行业 、 本 领域 的 关键 信息 设施 , 及时 将 认定 结果 通知 运营 者 , 并 通报 国务院 公安 部门。
第十一条 关键 信息 基础 设施 发生 较大 变化 , 可能 影响 其 认定 结果 的 , 运营 者 应当 及时 将 相关 情况 报告 保护 工作 部门。 保护 工作 部门 自 收到 报告 之 日 起 3 个 月 内 完成 重新 认定将 认定 结果 通知 运营 者 , 并 通报 国务院 公安 部门。
第三 章 运营 者 责任 义务
第十二 条 安全 保护 措施 应当 与 关键 信息 基础 设施 同步 规划 、 同步 建设 、 同步 使用。
第十三 条 运营 者 应当 建立 健全 网络 安全 保护 制度 和 责任制 , 保障 人力 、 财力 、 物力 投入。 运营 者 的 主要 负责 对 对 关键 信息 基础 设施 安全 保护 负总责 , 领导 关键 信息 基础 设施 安全 保护 和重大 网络 安全 事件 处置 工作 , 组织 研究 解决 重大 网络 安全 问题。
第十四 条 运营 者 应当 设置 专门 安全 管理 机构 , 并对 专门 安全 管理 机构 负责 人和 关键 岗位 人员 进行 安全 背景 审查。 审查 时 , 公安 机关 、 国家 安全 机关 应当 予以 协助。
第十五 条 专门 安全 管理 机构 具体 负责 本 单位 的 关键 信息 基础 设施 安全 保护 工作 , 履行 下列 职责 :
(一) 建立 健全 网络 安全 管理 、 评价 考核 制度 , 拟订 关键 信息 基础 设施 安全 保护 计划 ;
(二) 组织 推动 网络 安全 防护 能力 建设 , 开展 网络 安全 监测 、 检测 和 风险 评估 ;
(三) 按照 国家 及 行业 网络 安全 事件 应急 预案 , 制定 本 单位 应急 预案 , 定期 开展 应急 演练 , 处置 网络 安全 事件 ;
(四) 认定 网络 安全 关键 岗位 , 组织 开展 网络 安全 工作 考核 , 提出 奖励 和 惩处 建议 ;
(五) 组织 网络 安全 教育 、 培训 ;
(六) 履行 个人 信息 和 数据 安全 保护 责任 , 建立 健全 个人 信息 和 数据 安全 保护 制度 ;
(七) 对 关键 信息 基础 设施 设计 、 建设 、 运行 、 维护 等 服务 实施 安全 管理 ;
(八) 按照 规定 报告 网络 安全 事件 和 重要 事项。
第十六 条 运营 者 应当 保障 专门 安全 管理 机构 的 运行 经费 、 配备 相应 的 人员 , 开展 与 网络 安全 和 信息 化 有关 的 决策 应当 有 专门 安全 管理 机构 人员 参与。
第十七 条 运营 者 应当 自行 或者 委托 网络 安全 服务 机构 对 关键 信息 基础 设施 每年 至少 进行 一次 网络 安全 检测 和 风险 评估 , 对 发现 的 安全 问题 及时 整改 , 并 按照 保护 工作 部门 要求 报送 情况。
第十八 条 关键 信息 基础 设施 发生 重大 网络 安全 事件 或者 发现 重大 网络 安全 威胁 时 , 运营 者 应当 按照 有关 规定 向 保护 工作 部门 、 公安 机关 报告。
发生 关键 信息 基础 设施 整体 中断 运行 或者 主要 功能 故障 、 国家 基础 信息 以及 其他 重要 数据 泄露 、 较大 规模 个人 信息 泄露 、 造成 较大 经济 损失 、 违法 信息 较大 范围 传播 等 特别 重大 网络 安全 事件 或者 发现 特别重大 网络 安全 威胁 时 , 保护 工作 部门 应当 在 收到 报告 后 , 及时 向 国家 网 信 部门 、 国务院 公安 部门 报告。
第十九 条 运营 者 应当 优先 采购 安全 可信 的 网络 产品 和 服务 ; 采购 网络 产品 和 服务 可能 影响 国家 安全 的 , 按照 按照 国家 网络 安全 规定 通过 安全 审查。
第二十条 运营 者 采购 网络 产品 和 服务 , 应当 按照 国家 有关 规定 与 网络 产品 和 服务 提供 者 签订 安全 保密 协议 , 明确 提供 者 的 技术 支持 和 安全 保密 义务 与 责任 , 并对 义务 与 责任 履行 情况 进行监督。
第二十 一条 运营 者 发生 合并 、 分立 、 解散 等 情况 , 应当 及时 报告 保护 工作 部门 , 并 按照 保护 工作 部门 的 要求 对 关键 信息 基础 设施 进行 处置 , 确保 安全。
第四 章 保障 和 促进
第二十 二条 保护 工作 部门 应当 制定 本 行业 、 本 领域 关键 信息 基础 设施 安全 规划 , 明确 保护 目标 、 基本 要求 、 工作 任务 、 具体 措施。
第二十 三条 国家 网 信 部门 统筹 协调 有关部门 建立 网络 安全 信息 共享 机制 , 及时 汇总 、 研判 、 共享 、 发布 网络 安全 威胁 、 漏洞 、 事件 等 信息 , 促进 有关部门 、 保护 工作 部门 、 运营 者 以及 网络安全 服务 机构 等 之间 的 网络 安全 信息 共享。
第二十 四条 保护 工作 部门 应当 建立 健全 本 行业 、 本 领域 的 关键 信息 基础 设施 网络 安全 监测 预警 制度 , 及时 掌握 本 行业 、 本 领域 关键 信息 基础 设施 运行 状况 、 安全 态势 预警 通报 网络 , 和隐患 , 指导 做好 安全 防范 工作。
第二十 五条 保护 工作 部门 应当 按照 国家 网络 安全 事件 应急 预案 的 要求 , 建立 健全 本 行业 、 本 领域 的 网络 事件 应急 预案 , 定期 组织 应急 演练 ; 指导 运营 者 做好 网络 安全 事件 应对 处置 , 并根据 需要 组织 提供 技术 支持 与 协助。
第二十 六条 保护 工作 部门 应当 定期 组织 开展 本 行业 、 本 领域 关键 信息 基础 设施 网络 安全 检查 检测 , 指导 监督 运营 者 及时 整改 安全 隐患 、 完善 安全措施。
第二 十七 条 国家 网 信 部门 统筹 协调 国务院 公安 部门 、 保护 工作 部门 对 关键 信息 基础 设施 进行 网络 安全 检查 检测 , 提出 改进 措施。
有关部门 在 开展 关键 信息 基础 设施 网络 安全 检查 时 , 应当 加强 协同 配合 、 信息 沟通 , 避免 不必要 的 检查 和 交叉 重复 检查。 检查 工作 不得 收取 费用 , 不得 要求 被 检查 单位 购买 指定 品牌 或者 指定 、 销售单位 的 产品 和 服务。
第二 十八 条 运营 者 对 保护 工作 部门 开展 的 关键 信息 基础 设施 网络 安全 检查 检测 工作 , 以及 公安 、 国家 安全 、 保密 行政管理 、 密码 管理 等 有关部门 依法 开展 的 关键 信息 基础 设施 网络 安全 检查 工作 应当予以 配合。
第二 十九 条 在 关键 信息 基础 设施 安全 保护 工作 中 , 国家 网 信 部门 和 国务院 电信 主管 部门 、 国务院 公安 部门 等 应当 根据 保护 工作 部门 的 需要 , 及时 提供 技术 支持 和 协助。
第三 十条 网 信 部门 、 公安 机关 、 保护 工作 部门 等 有关部门 , 网络 安全 服务 机构 及其 工作 人员 对于 在 关键 信息 基础 设施 安全 保护 工作 中 获取 的 信息 , 只能 用于 维护 网络 安全 , 并 严格按照 有关 法律 、 行政 法规 的 要求 确保 信息 安全 , 不得 泄露 、 出售 或者 非法 向 他人 提供。
第三十一条 未经 国家 网 信 部门 、 国务院 公安 部门 批准 或者 保护 工作 部门 、 运营 者 授权 , 任何 个人 和 组织 不得 对 关键 信息 基础 设施 实施 漏洞 探测 、 渗透性 测试 等 可能 影响 或者 危害 关键 信息 基础设施 安全 的 活动。 对 基础 电信 网络 实施 漏洞 探测 、 渗透性 测试 等 活动 , 应当 事先 向 国务院 电信 主管 部门 报告。
第三 十二 条 国家 采取 措施 , 优先 保障 能源 、 电信 等 关键 信息 基础 设施 安全 运行。
能源 、 电信 行业 应当 采取 措施 , 为 其他 行业 和 领域 的 关键 信息 基础 设施 安全 运行 提供 重点 保障。
第三 十三 条 公安 机关 、 国家 安全 机关 依据 各自 职责 依法 加强 关键 信息 基础 设施 安全 保卫 , 防范 打击 针对 和 利用 关键 信息 基础 设施 实施 的 违法 犯罪 活动。
第三 十四 条 国家 制定 和 完善 关键 信息 基础 设施 安全 标准 , 指导 、 规范 关键 信息 基础 设施 安全 保护 工作。
第三 十五 条 国家 采取 措施 , 鼓励 网络 安全 专门 人才 从事 关键 信息 基础 设施 安全 保护 工作 ; 将 运营 者 安全 管理 人员 、 安全 技术 人员 培训 纳入 国家 继续 教育 体系。
第三 十六 条 国家 支持 关键 信息 基础 设施 安全 防护 技术 创新 和 产业 发展 , 组织 力量 实施 关键 信息 基础 设施 安全 技术 攻关。
第三 十七 条 国家 加强 网络 安全 服务 机构 建设 和 管理 , 制定 管理 要求 并 加强 监督 指导 , 不断 提升 服务 机构 能力 水平 , 充分 发挥 其 在 关键 信息 基础 设施 安全 保护 中 的 作用。
第三 十八 条 国家 加强 网络 安全 军民 融合 , 军 地 协同 保护 关键 信息 基础 设施 安全。
第五 章 法律 责任
第三 十九 条 运营 者 有 下列 情形 之一 的 , 由 主管 部门 依据 职责 责令 改正 , 给予 警告 ; 拒不 改正 或者 导致 危害 网络 安全 等 后果 的 , 处 10 万元 以上 100 万元 以下 罚款 , 对直接 负责 的 主管 人员 处 1 万元 以上 10 万元 以下 罚款 :
(一) 在 关键 信息 基础 设施 发生 较大 变化 , 可能 影响 其 认定 结果 时 未 及时 将 相关 情况 报告 保护 工作 部门 的 ;
(二) 安全 保护 措施 未 与 关键 信息 基础 设施 同步 规划 、 同步 建设 、 同步 使用 的 ;
(三) 未 建立 健全 网络 安全 保护 制度 和 责任制 的 ;
(四) 未 设置 专门 安全 管理 机构 的 ;
(五) 未 对 专门 安全 管理 机构 负责 人和 关键 岗位 人员 进行 安全 背景 审查 的 ;
(六) 开展 与 网络 安全 和 信息 化 有关 的 决策 没有 专门 安全 管理 机构 人员 参与 的 ;
(七) 专门 安全 管理 机构 未 履行 本 条例 第十五 条 规定 的 职责 的 ;
(八) 未 对 关键 信息 基础 设施 每年 至少 进行 一次 网络 安全 检测 和 风险 评估 , 未 对 发现 的 安全 问题 及时 整改 , 或者 未 按照 保护 工作 部门 要求 报送 情况 的 ;
(九) 采购 网络 产品 和 服务 , 未 按照 国家 有关 规定 与 网络 产品 和 服务 提供 者 签订 安全 保密 协议 的 ;
(十) 发生 合并 、 分立 、 解散 等 情况 , 未 及时 报告 保护 工作 部门 , 或者 未 按照 保护 工作 部门 的 要求 对 关键 信息 基础 设施 进行 处置 的。
第四 十条 运营 者 在 关键 信息 基础 设施 发生 重大 网络 安全 事件 或者 发现 重大 网络 安全 威胁 时 , 未 按照 有关 规定 向 保护 工作 部门 、 公安 机关 报告 的 , 由 保护 工作 部门 、 公安 机关 依据 职责 改正给予 警告 ; 拒不 改正 或者 导致 危害 网络 安全 等 后果 的 , 处 10 万元 以上 100 万元 以下 罚款 , 对 直接 负责 的 主管 人员 处 1 万元 以上 10 万元 以下 罚款。
第四十一条 运营 者 采购 可能 影响 国家 安全 的 网络 产品 和 服务 , 未 按照 国家 网络 安全 规定 进行 安全 审查 的 , 由 国家 网 信 部门 等 有关 主管 部门 依据 职责 责令 改正 , 处 采购 金额 1 倍 以上 10倍 以下 罚款 , 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 处 1 万元 以上 10 万元 以下 罚款。
第四 十二 条 运营 者 对 保护 工作 部门 开展 的 关键 信息 基础 设施 网络 安全 检查 检测 工作 , 以及 公安 、 国家 安全 、 保密 行政管理 、 密码 管理 等 有关部门 依法 开展 的 关键 信息 基础 设施 网络 安全 检查 不 不予 配合 的 , 由 有关 主管 部门 责令 改正 ; 拒不 改正 的 , 处 5 万元 以上 50 万元 以下 罚款 , 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 处 1 万元 以上 10 万元 以下 罚款 ; 情节严重 的 , 依法 追究 相应 法律 责任。
第四十三条 实施非法侵入、干扰、破坏关键信息基础设施,危害其安全的活动尚不构成犯罪的,依照《中华人民共和国网络安全法》有关规定,由公安机关没收违法所得,处5日以下拘留,可以并处5万元以上50万元以下罚款;情节较重的,处5日以上15日以下拘留,可以并处10万元以上100万元以下罚款。
单位 有 前款 行为 的 , 由 公安 机关 没收 违法 所得 , 处 10 万元 以上 100 万元 以下 罚款 , 并对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 依照 前款 规定 处罚。
违反 本 条例 第五 条 第二款 和 第三十一条 规定 , 受到 治安 管理 处罚 的 人员 , 5 年内 不得 从事 网络 安全 管理 和 网络 运营 关键 岗位 的 工作 ; 受到 刑事 处罚 的 人员 , 终身 不得 从事 网络 安全管理 和 网络 运营 关键 岗位 的 工作。
第四 十四 条 网 信 部门 、 公安 机关 、 保护 工作 部门 和 其他 有关部门 及其 工作 人员 未 履行 关键 信息 基础 设施 安全 保护 和 监督 管理 职责 或者 玩忽职守 、 滥用职权 、 徇私舞弊 的 , 依法 对 直接 负责的 主管 人员 和 其他 直接 责任 人员 给予 处分。
第四 十五 条 公安 机关 、 保护 工作 部门 和 其他 有关部门 在 开展 关键 信息 基础 设施 网络 安全 检查 工作 中 收取 费用 , 或者 要求 被 检查 单位 购买 指定 品牌 或者 指定 生产 、 销售 单位 的 产品 和 服务 的 由其 上级 机关 责令 改正 , 退还 收取 的 费用 ; 情节 严重 的 , 依法 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 给予 处分。
第四 十六 条 网 信 部门 、 公安 机关 、 保护 工作 部门 等 有关部门 、 网络 安全 服务 机构 及其 工作 人员 将 在 关键 信息 基础 设施 安全 保护 工作 中 获取 的 信息 用于 其他 用途 或者 泄露 、 出售 、非法 向 他人 提供 的 , 依法 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 给予 处分。
第四 十七 条 关键 信息 基础 设施 发生 重大 和 特别 重大 网络 安全 事件 , 经 调查 确定 为 责任 事故 的 , 除 应当 查明 运营 者 责任 并 依法 予以 追究 外 , 还应 查明 相关 网络 安全 服务 机构 及 有关部门 的 责任 , 对 有 失职 、 渎职 及 其他 违法行为 的 , 依法 追究 责任。
第四 十八 条 电子 政务 关键 信息 基础 设施 的 运营 者 不 履行 本 条例 规定 的 网络 安全 保护 义务 的 , 依照 《中华人民共和国 网络 安全 法》 有关 规定 予以 处理。
第四 十九 条 违反 本 条例 规定 , 给 他人 造成 损害 的 , 依法 承担 民事责任。
违反 本 条例 规定 , 构成 违反 治安 管理 行为 的 , 依法 给予 治安 管理 处罚 ; 构成 犯罪 的 , 依法 追究 刑事责任。
第六 章 附 则
第五 十条 存储 、 处理 涉及 国家 秘密 信息 的 关键 信息 基础 设施 的 安全 保护 , 还 应当 遵守 保密 法律 、 行政 法规 的 规定。
关键 信息 基础 设施 中 的 密码 使用 和 管理 , 还 应当 遵守 相关 法律 、 行政 法规 的 规定。
第五十一条 本 条例 自 2021 年 9 月 1 日 起 施行。