关键 信息 基础 设施 安全 保护 条例
第一 章 总 则
第一 条 为了 保障 关键 信息 基础 设施 安全 , 维护 网络 安全 , 根据 《中华人民共和国 网络 安全 法》 , 制定 本 条例
第二 条 本 条例 所称 关键 信息 基础 设施 , 是 指 公共 通信 信息 服务 、 能源 能源 金融 、 、 国防 科技 行业 和、 丧失 功能 或者 数据 泄露 , 可能 严重 危害 国家 安全 、 国计民生 、 公共 利益 的 重要 网络 设施 、 信息 系统 等
第三 条 在 国家 网 信 部门 统筹 协调 下 , 国务院 公安 部门 指导 监督 关键 信息 基础 设施 工作。 国务院 其他 有关部门 依照 本 法律 公安 有关部门 依照 本 条例 法律 、 在 在内 负责 关键 信息 基础 设施 安全 保护 和 监督 管理 工作。
省级 人民政府 有关部门 依据 各自 职责 对 关键 信息 基础 设施 实施 安全 保护 和 监督 管理。
第四 条 关键 信息 基础 设施 安全 保护 坚持 综合 协调 、 分工 负责 依法 保护 , 强化 强化 基础 设施 运营 简称 运营 者) 主体 协调 分工 强化 运营 者 发挥信息 基础 设施 安全。
第五 条 国家 对 关键 信息 基础 设施 实行 重点 保护 , 采取 措施 , 、 、 防御 、 中华人民共和国 外 的 网络 威胁 , 保护 采取依法 惩治 危害 关键 信息 基础 设施 安全 的 违法 犯罪 活动。
任何 个人 和 组织 不得 实施 非法 侵入 、 干扰 、 破坏 关键 信息 基础 设施 的 活动 , 不得 关键 信息 基础 基础 设施
第六 条 运营 者 依照 本 条例 和 有关 法律 、 行政 法规 的 以及 国家 标准 的 强制性 要求 网络 安全 等级 , 采取 技术 保护 必要 法规 采取 技术 保护 措施 必要 措施 , ,和 违法 犯罪 活动 , 保障 关键 信息 基础 设施 安全 稳定 运行 , 维护 数据 的 完整性 、 保密 性 和 可用性
第七 条 对 在 关键 信息 基础 设施 安全 保护 工作 中 取得 显著 成绩 或者 作出 突出 贡献 和 个人 , 按照 国家 规定 给予 表彰
第二 章 关键 信息 基础 设施 认定
第八 条 本 条例 第二 条 涉及 的 重要 行业 和 领域 的 主管 部门 、 监督 管理 部门 是 基础 设施 安全 的 部门 (以下 简称 管理 (以下 简称
第九条 保护 工作 部门 结合 本 行业 、 本 领域 实际 , 制定 关键 信息 基础 设施 认定 规则 , 并报 国务院 公安 部门 备案
制定 认定 规则 应当 主要 考虑 下列 因素 :
(一) 网络 设施 、 信息 系统 等 对于 本 行业 、 本 领域 关键 核心 业务 的 重要 程度
(二) 网络 设施 、 信息 系统 等 一旦 遭到 破坏 、 丧失 功能 或者 数据 泄露 可能 带来 的 危害 程度
(三) 对 其他 行业 和 领域 的 关联 性 影响。
第十 条 保护 工作 部门 根据 认定 规则 负责 组织 认定 本 行业 、 本 领域 的 关键 信息 将 认定 认定 者 , 并 通报 国务院 信息 并 通报 国务院
第十一条 关键 信息 基础 设施 发生 较大 变化 , 可能 影响 其 认定 结果 的 , 运营 者 应当 及时 报告 保护 工作 部门 工作 部门 自 收到 报告 之 收到 报告 3 个 月 内 完成 重新 认定将 认定 结果 通知 运营 者 , 并 通报 国务院 公安 部门。
第三 章 运营 者 责任 义务
第十二 条 安全 保护 措施 应当 与 关键 信息 基础 设施 同步 规划 、 同步 建设 、 同步 使用。
第十三 条 运营 者 应当 建立 健全 网络 安全 保护 制度 和 责任制 , 保障 、 、 财力 、。 者 的 主要 关键 信息 基础 责任制重大 网络 安全 事件 处置 工作 , 组织 研究 解决 重大 网络 安全 问题。
第十四 条 运营 者 应当 设置 专门 安全 管理 机构 , 并对 专门 安全 管理 机构 负责 人和 关键 背景 审查。 公安 机关 、 国家 人和
第十五 条 专门 安全 管理 机构 具体 负责 本 单位 的 关键 信息 基础 设施 安全 保护 工作 , 履行 下列 职责
(一) 建立 健全 网络 安全 管理 、 评价 考核 制度 , 拟订 关键 信息 基础 设施 安全 保护 计划
(二) 组织 推动 网络 安全 防护 能力 建设 , 开展 网络 安全 监测 、 检测 和 风险 评估 ;
(三) 按照 国家 及 行业 网络 安全 事件 应急 预案 , 制定 本 单位 应急 预案 , 演练 , 处置 网络 安全
(四) 认定 网络 安全 关键 岗位 , 组织 开展 网络 安全 工作 考核 , 提出 奖励 和 惩处 建议
(五) 组织 网络 安全 教育 、 培训 ;
(六) 履行 个人 信息 和 数据 安全 保护 责任 , 建立 健全 个人 信息 和 数据 安全 保护 制度
(七) 对 关键 信息 基础 设施 设计 、 建设 、 运行 、 维护 等 服务 实施 安全 管理 ;
(八) 按照 规定 报告 网络 安全 事件 和 重要 事项。
第十六 条 运营 者 应当 保障 专门 安全 管理 机构 的 运行 经费 、 配备 相应 的 人员 , 开展 和 信息 化 决策 应当 有 专门 安全 人员 有 专门 安全
第十七 条 运营 者 应当 自行 或者 委托 网络 安全 服务 机构 对 关键 信息 基础 设施 每年 至少 进行 检测 和 风险 发现 的 安全 问题 保护 的 安全
第十八 条 关键 信息 基础 设施 发生 重大 网络 安全 事件 或者 发现 重大 网络 安全 威胁 时 , 按照 有关 规定 向 工作 部门 、 公安 机关 时
发生 关键 信息 基础 设施 整体 中断 运行 或者 主要 功能 故障 、 国家 信息 以及 其他 重要 重要 个人 信息 损失 、 违法 传播 等 传播重大 网络 安全 威胁 时 , 保护 工作 部门 应当 在 收到 报告 后 , 及时 向 国家 网 信 部门 国务院 公安 公安 部门
第十九 条 运营 者 应当 优先 采购 安全 可信 的 网络 产品 和 服务 ; 采购 网络 产品 和 安全 的 的 国家 网络 安全 规定 通过 和 安全 规定 通过
第二十条 运营 者 采购 网络 产品 和 服务 , 应当 按照 国家 有关 规定 与 网络 产品 和 服务 保密 协议 , 技术 支持 责任 支持监督。
第二十 一条 运营 者 发生 合并 、 分立 、 解散 等 情况 , 应当 及时 报告 保护 工作 部门 , 工作 部门 的 关键 信息 基础 设施 进行 工作 基础 设施 进行
第四 章 保障 和 促进
第二十 二条 保护 工作 部门 应当 制定 本 行业 、 本 领域 关键 信息 基础 设施 安全 规划 , 基本 要求 、 、 具体
第二十 三条 国家 网 信 部门 统筹 协调 有关部门 建立 网络 安全 信息 共享 机制 及时 及时 汇总 、 共享 发布 网络 安全 、 事件 等 信息安全 服务 机构 等 之间 的 网络 安全 信息 共享。
第二十 四条 保护 工作 部门 应当 建立 健全 本 行业 、 本 领域 的 关键 基础 设施 网络 安全 , 及时 关键 信息 、 安全 领域 关键隐患 , 指导 做好 安全 防范 工作。
第二十 五条 保护 工作 部门 应当 按照 国家 网络 安全 事件 应急 预案 的 要求 , 建立 健全 本 的 网络 安全 定期 组织 者 组织根据 需要 组织 提供 技术 支持 与 协助。
第二十 六条 保护 工作 部门 应当 定期 组织 开展 本 行业 、 本 领域 关键 信息 基础 设施 网络 安全 指导 监督 运营 者 整改 安全 隐患 、
第二 十七 条 国家 网 信 部门 统筹 协调 国务院 公安 部门 、 保护 工作 部门 对 关键 信息 基础 网络 安全 检查 检测 提出 改进
有关部门 在 开展 关键 信息 基础 设施 网络 安全 检查 时 , 应当 加强 配合 、 信息 沟通 , 避免 检查 和 交叉 工作 不得 收取 费用 被 应当 不得 收取 费用 , 被 检查 指定 指定单位 的 产品 和 服务。
第二 十八 条 运营 者 对 保护 工作 部门 开展 的 关键 信息 基础 网络 安全 检查 检查 检测 国家 安全 密码 管理 等 有关部门 关键 信息予以 配合。
第二 十九 条 在 关键 信息 基础 设施 安全 保护 工作 中 , 国家 网 信 部门 和 国务院 电信 国务院 公安 部门 保护 工作 部门 技术 公安 工作 部门 的 , 及时 提供 技术 支持
第三 十条 网 信 部门 、 公安 机关 、 保护 工作 部门 等 有关部门 , 网络 安全 服务 机构 在 关键 信息 服务 机构 用于 维护按照 有关 法律 、 行政 法规 的 要求 确保 信息 安全 , 不得 泄露 、 出售 或者 非法 向 他人 提供
第三十一条 未经 国家 网 信 部门 、 国务院 公安 部门 批准 或者 保护 工作 部门 、 运营 者 授权 组织 不得 对 者 授权 可能 影响设施 安全 的 活动。 对 基础 电信 网络 实施 漏洞 探测 、 渗透性 测试 等 活动 , 应当 事先 向 电信 主管 主管 部门
第三 十二 条 国家 采取 措施 , 优先 保障 能源 、 电信 等 关键 信息 基础 设施 安全 运行。
能源 、 电信 行业 应当 采取 措施 , 为 其他 行业 和 领域 的 关键 信息 基础 设施 安全 运行 提供 重点 保障
第三 十三 条 公安 机关 、 国家 安全 机关 依据 各自 职责 依法 加强 关键 信息 基础 设施 安全 针对 和 利用 基础 设施 实施 的 违法
第三 十四 条 国家 制定 和 完善 关键 信息 基础 设施 安全 标准 , 指导 、 规范 关键 信息 基础 设施 安全 保护 工作
第三 十五 条 国家 采取 措施 , 鼓励 网络 安全 专门 人才 从事 关键 信息 基础 设施 安全 保护 工作 者 安全 管理 安全 技术 人员 培训 纳入 安全 人员 培训 纳入
第三 十六 条 国家 支持 关键 信息 基础 设施 安全 防护 技术 创新 和 产业 发展 , 组织 力量 信息 设施 安全 安全
第三 十七 条 国家 加强 网络 安全 服务 机构 建设 和 管理 , 制定 管理 要求 并 加强 监督 服务 机构 能力 其 在 保护 机构 能力 其 在 关键 安全 保护 中
第三 十八 条 国家 加强 网络 安全 军民 融合 , 军 地 协同 保护 关键 信息 基础 设施 安全。
第五 章 法律 责任
第三 十九 条 运营 者 有 下列 情形 之一 的 , 由 有关 主管 部门 依据 职责 责令 改正 改正 改正 或者 等 后果 10 万元 以上 100 万元 以下直接 负责 的 主管 人员 处 1 万元 以上 10 万元 以下 罚款 :
(一) 在 关键 信息 基础 设施 发生 较大 变化 , 可能 影响 其 认定 结果 时 未 情况 报告 保护 工作 部门
(二) 安全 保护 措施 未 与 关键 信息 基础 设施 同步 规划 、 同步 建设 、 同步 使用 的
(三) 未 建立 健全 网络 安全 保护 制度 和 责任制 的 ;
(四) 未 设置 专门 安全 管理 机构 的 ;
(五) 未 对 专门 安全 管理 机构 负责 人和 关键 岗位 人员 进行 安全 背景 审查 的 ;
(六) 开展 与 网络 安全 和 信息 化 有关 的 决策 没有 专门 安全 管理 机构 人员 参与 的
(七) 专门 安全 管理 机构 未 履行 本 条例 第十五 条 规定 的 职责 的 ;
(八) 未 对 关键 信息 基础 设施 每年 至少 进行 一次 网络 安全 检测 和 风险 评估 的 安全 问题 , 或者 未 按照 保护 报送
(九) 采购 网络 产品 和 服务 , 未 按照 国家 有关 规定 与 网络 产品 和 服务 提供 者 安全 保密 保密 协议
(十) 发生 合并 、 分立 、 解散 等 情况 , 未 及时 报告 保护 工作 部门 , 工作 部门 部门 关键 信息 基础 设施 进行 , 基础 设施 进行
第四 十条 运营 者 在 关键 信息 基础 设施 发生 重大 网络 安全 事件 发现 重大 重大 网络 安全 未 按照 有关 规定 向 工作 部门 、 机关 报告 的 , 由 保护 工作 或者 重大 网络 安全 保护 工作 依据 职责给予 警告 ; 拒不 改正 或者 导致 危害 网络 安全 等 后果 的 , 10 万元 以上 100 万元 以下 罚款 , 对 直接 负责 的 主管 人员 1 万元 以上 10 万元 以下 罚款。
第四十一条 运营 者 采购 可能 影响 国家 安全 的 网络 产品 和 服务 , 未 国家 国家 网络 安全 审查 的 , 由 部门 等 有关 主管 部门 依据 职责 责令 改正 , 1 倍 以上 10倍 以下 罚款 , 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 处 1 万元 以上 10 万元 以下 罚款。
第四 十二 条 运营 者 对 保护 工作 部门 开展 的 关键 信息 基础 设施 网络 安全 检查 检测 、 国家 安全 密码 管理 关键 管理予 配合 的 , 由 有关 主管 部门 责令 改正 ; 拒不 改正 的 , 5 万元 以上 50 万元 以下 罚款 , 对 直接 负责 的 主管 和 其他 直接 责任 1 万元 以上 10 万元 以下 罚款 直接 负责 其他 直接 责任 XNUMX 万元 以上 XNUMX 万元 以下 罚款 ;严重 的 , 依法 追究 相应 法律 责任。
第四十三条 实施非法侵入、干扰、破坏关键信息基础设施,危害其安全的活动尚不构成犯罪的,依照《中华人民共和国网络安全法》有关规定,由公安机关没收违法所得,处5日以下拘留,可以并处5万元以上50万元以下罚款;情节较重的,处5日以上15日以下拘留,可以并处10万元以上100万元以下罚款。
单位 有 前款 行为 的 , 由 公安 机关 没收 违法 所得 , 10 万元 以上 100 万元 以下 罚款 , 直接 负责 负责 的 主管 其他 直接 责任 人员 依照 XNUMX 万元 以下 罚款 , 直接 负责 的 主管 其他 直接 责任 人员 依照 规定 处罚
违反 本 条例 第五 条 第二款 和 第三十一条 规定 , 受到 治安 管理 处罚 的 5 年内 不得 从事 网络 管理 和 网络 网络 运营 的 工作 ; 受到 网络 ; 受到 刑事 的 人员 , 终身 不得管理 和 网络 运营 关键 岗位 的 工作。
第四 十四 条 网 信 部门 、 公安 机关 、 保护 工作 部门 和 其他 有关部门 及其 工作 人员 基础 设施 安全 职责 或者 玩忽职守 的 , 设施 或者 玩忽职守 的 ,的 主管 人员 和 其他 直接 责任 人员 给予 处分。
第四 十五 条 公安 机关 、 保护 工作 部门 和 其他 有关部门 在 开展 关键 基础 设施 网络 安全 收取 费用 购买 指定 、 销售 单位 购买其 上级 机关 责令 改正 , 退还 收取 的 费用 ; 情节 严重 的 , 依法 对 直接 负责 的 主管 人员 其他 其他 直接 给予 处分
第四 十六 条 网 信 部门 、 公安 机关 、 保护 工作 部门 等 有关部门 网络 网络 安全 服务 工作 将 在 关键 安全 保护 工作 部门非法 向 他人 提供 的 , 依法 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 给予 处分。
第四 十七 条 关键 信息 基础 设施 发生 重大 和 特别 重大 网络 安全 事件 经 经 调查 确定 事故 , 除 应当 责任 并 依法 网络部门 的 责任 , 对 有 失职 、 渎职 及 其他 违法行为 的 , 依法 追究 责任。
第四 十八 条 电子 政务 关键 信息 基础 设施 的 运营 者 不 履行 本 条例 规定 的 网络 , 依照 依照 安全 法》 有关 规定 网络》 有关 规定
第四 十九 条 违反 本 条例 规定 , 给 他人 造成 损害 的 , 依法 承担 民事责任。
违反 本 条例 规定 , 构成 违反 治安 管理 行为 的 , 依法 给予 治安 管理 处罚 ; 构成 犯罪 的 , 依法 追究 刑事责任
第六 章 附 则
第五 十条 存储 、 处理 涉及 国家 秘密 信息 的 关键 信息 基础 设施 的 安全 保护 , 还 法律 、 行政 法规 的
关键 信息 基础 设施 中 的 密码 使用 和 管理 , 还 应当 遵守 相关 法律 、 行政 法规 的 规定
第五十一条 本 条例 自 2021 年 9 月 1 日 起 施行。