千亿体育

國務院公布《關鍵信息基礎設施安全保護條例》 全文,9月1日起施行
來源:千亿体育 作者: 發(fa)布時間: 2021-08-17

中(zhong)華人(ren)民(min)共和國國務(wu)院(yuan)令

第745號

《關鍵(jian)信息基礎(chu)設(she)施(shi)安(an)全保護條(tiao)例》已經2021年4月(yue)27日(ri)國(guo)務院第133次(ci)常務會(hui)議通過,現予(yu)公布,自2021年9月(yue)1日(ri)起施(shi)行。

總理  李克強

2021年7月30日

關鍵信息基礎設施安全保護條例

第一章 總  則

第一條 為了保障關鍵信息基礎設施安全,維護網絡安全,根據《中華人民共和國網絡安全法》,制定本條例。

第二條 本條例所稱關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。

第三條 在國家網信部門統籌協調下,國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作。國務院電信主管部門和其他有關部門依照本條例和有關法律、行政法規的規定,在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作。

省級人(ren)民政府有(you)關部門依據(ju)各自(zi)職責對關鍵信息基(ji)礎設(she)施(shi)實施(shi)安全(quan)保護(hu)和監督(du)管理。

第四條 關鍵信息基礎設施安全保護堅持綜合協調、分工負責、依法保護,強化和落實關鍵信息基礎設施運營者(以下簡稱運營者)主體責任,充分發揮政府及社會各方面的作用,共同保護關鍵信息基礎設施安全。

第五條 國家對關鍵信息基礎設施實行重點保護,采取措施,監測、防御、處置來源于中華人民共和國境內外的網絡安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治危害關鍵信息基礎設施安全的違法犯罪活動。

任何個人和組(zu)織不得實(shi)施非法侵入、干擾、破壞關鍵信(xin)息(xi)基(ji)(ji)礎設(she)施的活動,不得危害關鍵信(xin)息(xi)基(ji)(ji)礎設(she)施安全。

第六條 運營者依照本條例和有關法律、行政法規的規定以及國家標準的強制性要求,在網絡安全等級保護的基礎上,采取技術保護措施和其他必要措施,應對網絡安全事件,防范網絡攻擊和違法犯罪活動,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。

第七條 對在關鍵信息基礎設施安全保護工作中取得顯著成績或者作出突出貢獻的單位和個人,按照國家有關規定給予表彰。

第二章 關鍵信息基礎設施認定

第八條 本條例第二條涉及的重要行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門(以下簡稱保護工作部門)。

第九條 保護工作部門結合本行業、本領域實際,制定關鍵信息基礎設施認定規則,并報國務院公安部門備案。

制定認定規則應當主(zhu)要考慮下列因素:

(一)網絡設施、信息系(xi)統(tong)等對于本行業、本領域關鍵核心業務(wu)的(de)重要程度;

(二)網絡設施、信息系統等一旦遭(zao)到破壞、喪失功能(neng)或者(zhe)數據(ju)泄露可能(neng)帶來的(de)危害(hai)程度;

(三)對其他行業和領域的關聯性影(ying)響。

第十條 保護工作部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施,及時將認定結果通知運營者,并通報國務院公安部門。

第十一條 關鍵信息基礎設施發生較大變化,可能影響其認定結果的,運營者應當及時將相關情況報告保護工作部門。保護工作部門自收到報告之日起3個月內完成重新認定,將認定結果通知運營者,并通報國務院公安部門。

第三章 運營者責任義務

第十二條 安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用。

第十三條 運營者應當建立健全網絡安全保護制度和責任制,保障人力、財力、物力投入。運營者的主要負責人對關鍵信息基礎設施安全保護負總責,領導關鍵信息基礎設施安全保護和重大網絡安全事件處置工作,組織研究解決重大網絡安全問題。

第十四條 運營者應當設置專門安全管理機構,并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。審查時,公安機關、國家安全機關應當予以協助。

第十五條 專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作,履行下列職責:

(一)建(jian)立健全網絡安全管(guan)理、評價(jia)考(kao)核制度,擬訂(ding)關鍵(jian)信息基礎設施安全保護計劃;

(二)組織推(tui)動網(wang)絡安全(quan)防護能(neng)力建設,開展網(wang)絡安全(quan)監測、檢測和風險評估;

(三)按照國家及行業網(wang)絡安全事件(jian)應(ying)急(ji)預(yu)案(an),制定本單位(wei)應(ying)急(ji)預(yu)案(an),定期(qi)開(kai)展應(ying)急(ji)演練,處(chu)置網(wang)絡安全事件(jian);

(四(si))認(ren)定網(wang)絡安(an)全(quan)關鍵崗位(wei),組織開展網(wang)絡安(an)全(quan)工作考核,提出獎勵和懲處建議;

(五)組織(zhi)網絡安全教育、培訓;

(六)履行個人信息(xi)和(he)數(shu)據安(an)全(quan)保護責任,建立健全(quan)個人信息(xi)和(he)數(shu)據安(an)全(quan)保護制度;

(七)對關鍵信(xin)息基(ji)礎設施(shi)設計、建設、運行、維護(hu)等服務實施(shi)安全(quan)管理;

(八)按照(zhao)規定報告網(wang)絡(luo)安全事(shi)件和重要事(shi)項。

第十六條 運營者應當保障專門安全管理機構的運行經費、配備相應的人員,開展與網絡安全和信息化有關的決策應當有專門安全管理機構人員參與。

第十七條 運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估,對發現的安全問題及時整改,并按照保護工作部門要求報送情況。

第十八條 關鍵信息基礎設施發生重大網絡安全事件或者發現重大網絡安全威脅時,運營者應當按照有關規定向保護工作部門、公安機關報告。

發生關鍵信(xin)息基(ji)礎設施整體中斷運行或(huo)者(zhe)主要功能故(gu)障、國(guo)家(jia)基(ji)礎信(xin)息以及其他重要數(shu)據泄露、較(jiao)大規模個人信(xin)息泄露、造成較(jiao)大經濟損失、違法信(xin)息較(jiao)大范圍傳播等特(te)別重大網絡(luo)安(an)全(quan)事(shi)件或(huo)者(zhe)發現(xian)特(te)別重大網絡(luo)安(an)全(quan)威(wei)脅時(shi),保護(hu)工作部(bu)(bu)(bu)門應當在收(shou)到報告后,及時(shi)向國(guo)家(jia)網信(xin)部(bu)(bu)(bu)門、國(guo)務院公安(an)部(bu)(bu)(bu)門報告。

第十九條 運營者應當優先采購安全可信的網絡產品和服務;采購網絡產品和服務可能影響國家安全的,應當按照國家網絡安全規定通過安全審查。

第二十條 運營者采購網絡產品和服務,應當按照國家有關規定與網絡產品和服務提供者簽訂安全保密協議,明確提供者的技術支持和安全保密義務與責任,并對義務與責任履行情況進行監督。

第二十一條 運營者發生合并、分立、解散等情況,應當及時報告保護工作部門,并按照保護工作部門的要求對關鍵信息基礎設施進行處置,確保安全。

第四章 保障和促進

第二十二條 保護工作部門應當制定本行業、本領域關鍵信息基礎設施安全規劃,明確保護目標、基本要求、工作任務、具體措施。

第二十三條 國家網信部門統籌協調有關部門建立網絡安全信息共享機制,及時匯總、研判、共享、發布網絡安全威脅、漏洞、事件等信息,促進有關部門、保護工作部門、運營者以及網絡安全服務機構等之間的網絡安全信息共享。

第二十四條 保護工作部門應當建立健全本行業、本領域的關鍵信息基礎設施網絡安全監測預警制度,及時掌握本行業、本領域關鍵信息基礎設施運行狀況、安全態勢,預警通報網絡安全威脅和隱患,指導做好安全防范工作。

第二十五條 保護工作部門應當按照國家網絡安全事件應急預案的要求,建立健全本行業、本領域的網絡安全事件應急預案,定期組織應急演練;指導運營者做好網絡安全事件應對處置,并根據需要組織提供技術支持與協助。

第二十六條 保護工作部門應當定期組織開展本行業、本領域關鍵信息基礎設施網絡安全檢查檢測,指導監督運營者及時整改安全隱患、完善安全措施。

第二十七條 國家網信部門統籌協調國務院公安部門、保護工作部門對關鍵信息基礎設施進行網絡安全檢查檢測,提出改進措施。

有關部(bu)門在開展(zhan)關鍵信(xin)息(xi)基(ji)礎設(she)施網絡安(an)全檢查(cha)時,應(ying)當加強協(xie)同配(pei)合、信(xin)息(xi)溝通,避免(mian)不必(bi)要的檢查(cha)和交叉重復檢查(cha)。檢查(cha)工(gong)作不得收(shou)取費用,不得要求被檢查(cha)單位購買指定品牌或者指定生產(chan)、銷售單位的產(chan)品和服務。

第二十八條 運營者對保護工作部門開展的關鍵信息基礎設施網絡安全檢查檢測工作,以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的關鍵信息基礎設施網絡安全檢查工作應當予以配合。

第二十九條 在關鍵信息基礎設施安全保護工作中,國家網信部門和國務院電信主管部門、國務院公安部門等應當根據保護工作部門的需要,及時提供技術支持和協助。

第三十條 網信部門、公安機關、保護工作部門等有關部門,網絡安全服務機構及其工作人員對于在關鍵信息基礎設施安全保護工作中獲取的信息,只能用于維護網絡安全,并嚴格按照有關法律、行政法規的要求確保信息安全,不得泄露、出售或者非法向他人提供。

第三十一條 未經國家網信部門、國務院公安部門批準或者保護工作部門、運營者授權,任何個人和組織不得對關鍵信息基礎設施實施漏洞探測、滲透性測試等可能影響或者危害關鍵信息基礎設施安全的活動。對基礎電信網絡實施漏洞探測、滲透性測試等活動,應當事先向國務院電信主管部門報告。

第三十二條 國家采取措施,優先保障能源、電信等關鍵信息基礎設施安全運行。

能源、電信行(xing)業應當采取措施,為其(qi)他行(xing)業和領域的關鍵信息(xi)基礎設施安全運(yun)行(xing)提供重點保障。

第三十三條 公安機關、國家安全機關依據各自職責依法加強關鍵信息基礎設施安全保衛,防范打擊針對和利用關鍵信息基礎設施實施的違法犯罪活動。

第三十四條 國家制定和完善關鍵信息基礎設施安全標準,指導、規范關鍵信息基礎設施安全保護工作。

第三十五條 國家采取措施,鼓勵網絡安全專門人才從事關鍵信息基礎設施安全保護工作;將運營者安全管理人員、安全技術人員培訓納入國家繼續教育體系。

第三十六條 國家支持關鍵信息基礎設施安全防護技術創新和產業發展,組織力量實施關鍵信息基礎設施安全技術攻關。

第三十七條 國家加強網絡安全服務機構建設和管理,制定管理要求并加強監督指導,不斷提升服務機構能力水平,充分發揮其在關鍵信息基礎設施安全保護中的作用。

第三十八條 國家加強網絡安全軍民融合,軍地協同保護關鍵信息基礎設施安全。

第五章 法律責任

第三十九條 運營者有下列情形之一的,由有關主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款:

(一)在關鍵信(xin)息(xi)基(ji)礎設施發生較大變化,可能(neng)影響其認定結(jie)果時未及時將(jiang)相關情況(kuang)報(bao)告保護工作部(bu)門(men)的;

(二)安全保護措施未(wei)與關鍵(jian)信(xin)息基礎設施同(tong)步規劃、同(tong)步建設、同(tong)步使用的;

(三)未建立健全網絡安全保(bao)護(hu)制度和責任制的;

(四(si))未設(she)置專門安全(quan)管理機構的(de);

(五)未(wei)對(dui)專門安全管理機構負責人和關鍵(jian)崗位人員進行(xing)安全背景(jing)審(shen)查的(de);

(六)開展與(yu)網絡安(an)全(quan)和(he)信息化有關的決策沒有專(zhuan)門安(an)全(quan)管(guan)理機構(gou)人員(yuan)參(can)與(yu)的;

(七)專門安全(quan)管理(li)機構未(wei)履行本條(tiao)例第十(shi)五條(tiao)規定(ding)的職(zhi)責的;

(八)未(wei)對(dui)(dui)關鍵(jian)信(xin)息基(ji)礎(chu)設施每年至少進行一次網絡安全檢測和風險(xian)評估(gu),未(wei)對(dui)(dui)發現的安全問題及時整改,或者(zhe)未(wei)按照(zhao)保護工作部門(men)要求報送情況的;

(九)采購(gou)網絡產品和(he)服務,未按照國(guo)家有關規定與網絡產品和(he)服務提(ti)供者簽訂安全保密協議的;

(十)發生合(he)并、分立、解散等情況,未(wei)及(ji)時報告保(bao)護工(gong)作(zuo)部(bu)門(men),或者未(wei)按照保(bao)護工(gong)作(zuo)部(bu)門(men)的要(yao)求對關鍵信息基礎設施進(jin)行處(chu)置的。

第四十條 運營者在關鍵信息基礎設施發生重大網絡安全事件或者發現重大網絡安全威脅時,未按照有關規定向保護工作部門、公安機關報告的,由保護工作部門、公安機關依據職責責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款。

第四十一條 運營者采購可能影響國家安全的網絡產品和服務,未按照國家網絡安全規定進行安全審查的,由國家網信部門等有關主管部門依據職責責令改正,處采購金額1倍以上10倍以下罰款,對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。

第四十二條 運營者對保護工作部門開展的關鍵信息基礎設施網絡安全檢查檢測工作,以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的關鍵信息基礎設施網絡安全檢查工作不予配合的,由有關主管部門責令改正;拒不改正的,處5萬元以上50萬元以下罰款,對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款;情節嚴重的,依法追究相應法律責任。

第四十三條 實施非法侵入、干擾、破壞關鍵信息基礎設施,危害其安全的活動尚不構成犯罪的,依照《中華人民共和國網絡安全法》有關規定,由公安機關沒收違法所得,處5日以下拘留,可以并處5萬元以上50萬元以下罰款;情節較重的,處5日以上15日以下拘留,可以并處10萬元以上100萬元以下罰款。

單位(wei)有前款(kuan)行為的,由公安機關沒收違(wei)法所得,處(chu)10萬(wan)(wan)元(yuan)以上100萬(wan)(wan)元(yuan)以下罰款(kuan),并對直接負責的主管人員和其他直接責任人員依照前款(kuan)規(gui)定處(chu)罰。

違反本(ben)條(tiao)例第五條(tiao)第二款和(he)第三十一條(tiao)規定,受到治安(an)管理處罰的人員,5年(nian)內不(bu)得(de)(de)從事網絡(luo)安(an)全(quan)管理和(he)網絡(luo)運(yun)營關鍵崗位的工(gong)作(zuo);受到刑事處罰的人員,終身(shen)不(bu)得(de)(de)從事網絡(luo)安(an)全(quan)管理和(he)網絡(luo)運(yun)營關鍵崗位的工(gong)作(zuo)。

第四十四條 網信部門、公安機關、保護工作部門和其他有關部門及其工作人員未履行關鍵信息基礎設施安全保護和監督管理職責或者玩忽職守、濫用職權、徇私舞弊的,依法對直接負責的主管人員和其他直接責任人員給予處分。

第四十五條 公安機關、保護工作部門和其他有關部門在開展關鍵信息基礎設施網絡安全檢查工作中收取費用,或者要求被檢查單位購買指定品牌或者指定生產、銷售單位的產品和服務的,由其上級機關責令改正,退還收取的費用;情節嚴重的,依法對直接負責的主管人員和其他直接責任人員給予處分。

第四十六條 網信部門、公安機關、保護工作部門等有關部門、網絡安全服務機構及其工作人員將在關鍵信息基礎設施安全保護工作中獲取的信息用于其他用途,或者泄露、出售、非法向他人提供的,依法對直接負責的主管人員和其他直接責任人員給予處分。

第四十七條 關鍵信息基礎設施發生重大和特別重大網絡安全事件,經調查確定為責任事故的,除應當查明運營者責任并依法予以追究外,還應查明相關網絡安全服務機構及有關部門的責任,對有失職、瀆職及其他違法行為的,依法追究責任。

第四十八條 電子政務關鍵信息基礎設施的運營者不履行本條例規定的網絡安全保護義務的,依照《中華人民共和國網絡安全法》有關規定予以處理。

第四十九條 違反本條例規定,給他人造成損害的,依法承擔民事責任。

違(wei)反本條例規定,構成違(wei)反治安管理(li)行為的(de),依法給予治安管理(li)處罰;構成犯罪的(de),依法追(zhui)究刑事責(ze)任。

第六章 附  則

第五十條 存儲、處理涉及國家秘密信息的關鍵信息基礎設施的安全保護,還應當遵守保密法律、行政法規的規定。

關鍵信息基礎(chu)設施中的(de)密碼(ma)使用(yong)和管理,還應當遵(zun)守相(xiang)關法律、行政法規的(de)規定。

第五十一條 本條例自2021年9月1日起施行。


地方動態

2021第四屆中國信息技(ji)術(shu)主管大會在京(jing)隆重召(zhao)開

2021中國信息(xi)科技前沿大會在京圓滿召開(kai)

2021軍工智能制造(zao)創新融合發展論壇在(zai)京隆重召開

2020年(nian)度(du)(第十一屆)保險(xian)信息化技術峰會成功(gong)召開

  • 協會要聞
  • 通知(zhi)公(gong)告
千亿体育