中華人民共和國國務院令
第745號
??《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》已經(jīng)2021年4月27日國務院第133次常務會議通過,現(xiàn)予公布,自2021年9月1日起施行。
總理??李克強
2021年7月30日
關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例
第一章?總??則
??第一條?為了保障關(guān)鍵信息基礎(chǔ)設(shè)施安全,維護網(wǎng)絡(luò)安全,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》,制定本條例。
??第二條?本條例所稱關(guān)鍵信息基礎(chǔ)設(shè)施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。
??第三條?在國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)下,國務院公安部門負責指導監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。國務院電信主管部門和其他有關(guān)部門依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責范圍內(nèi)負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和監(jiān)督管理工作。
??省級人民政府有關(guān)部門依據(jù)各自職責對關(guān)鍵信息基礎(chǔ)設(shè)施實施安全保護和監(jiān)督管理。
??第四條?關(guān)鍵信息基礎(chǔ)設(shè)施安全保護堅持綜合協(xié)調(diào)、分工負責、依法保護,強化和落實關(guān)鍵信息基礎(chǔ)設(shè)施運營者(以下簡稱運營者)主體責任,充分發(fā)揮政府及社會各方面的作用,共同保護關(guān)鍵信息基礎(chǔ)設(shè)施安全。
??第五條?國家對關(guān)鍵信息基礎(chǔ)設(shè)施實行重點保護,采取措施,監(jiān)測、防御、處置來源于中華人民共和國境內(nèi)外的網(wǎng)絡(luò)安全風險和威脅,保護關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞,依法懲治危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的違法犯罪活動。
??任何個人和組織不得實施非法侵入、干擾、破壞關(guān)鍵信息基礎(chǔ)設(shè)施的活動,不得危害關(guān)鍵信息基礎(chǔ)設(shè)施安全。
??第六條?運營者依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定以及國家標準的強制性要求,在網(wǎng)絡(luò)安全等級保護的基礎(chǔ)上,采取技術(shù)保護措施和其他必要措施,應對網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)攻擊和違法犯罪活動,保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運行,維護數(shù)據(jù)的完整性、保密性和可用性。
??第七條?對在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作中取得顯著成績或者作出突出貢獻的單位和個人,按照國家有關(guān)規(guī)定給予表彰。
第二章?關(guān)鍵信息基礎(chǔ)設(shè)施認定
??第八條?本條例第二條涉及的重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門是負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門(以下簡稱保護工作部門)。
??第九條?保護工作部門結(jié)合本行業(yè)、本領(lǐng)域?qū)嶋H,制定關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則,并報國務院公安部門備案。
??制定認定規(guī)則應當主要考慮下列因素:
??(一)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對于本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務的重要程度;
??(二)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度;
??(三)對其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。
??第十條?保護工作部門根據(jù)認定規(guī)則負責組織認定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施,及時將認定結(jié)果通知運營者,并通報國務院公安部門。
??第十一條?關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生較大變化,可能影響其認定結(jié)果的,運營者應當及時將相關(guān)情況報告保護工作部門。保護工作部門自收到報告之日起3個月內(nèi)完成重新認定,將認定結(jié)果通知運營者,并通報國務院公安部門。
第三章?運營者責任義務
??第十二條?安全保護措施應當與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用。
??第十三條?運營者應當建立健全網(wǎng)絡(luò)安全保護制度和責任制,保障人力、財力、物力投入。運營者的主要負責人對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護負總責,領(lǐng)導關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和重大網(wǎng)絡(luò)安全事件處置工作,組織研究解決重大網(wǎng)絡(luò)安全問題。
??第十四條?運營者應當設(shè)置專門安全管理機構(gòu),并對專門安全管理機構(gòu)負責人和關(guān)鍵崗位人員進行安全背景審查。審查時,公安機關(guān)、國家安全機關(guān)應當予以協(xié)助。
??第十五條?專門安全管理機構(gòu)具體負責本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作,履行下列職責:
??(一)建立健全網(wǎng)絡(luò)安全管理、評價考核制度,擬訂關(guān)鍵信息基礎(chǔ)設(shè)施安全保護計劃;
??(二)組織推動網(wǎng)絡(luò)安全防護能力建設(shè),開展網(wǎng)絡(luò)安全監(jiān)測、檢測和風險評估;
??(三)按照國家及行業(yè)網(wǎng)絡(luò)安全事件應急預案,制定本單位應急預案,定期開展應急演練,處置網(wǎng)絡(luò)安全事件;
??(四)認定網(wǎng)絡(luò)安全關(guān)鍵崗位,組織開展網(wǎng)絡(luò)安全工作考核,提出獎勵和懲處建議;
??(五)組織網(wǎng)絡(luò)安全教育、培訓;
??(六)履行個人信息和數(shù)據(jù)安全保護責任,建立健全個人信息和數(shù)據(jù)安全保護制度;
??(七)對關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)計、建設(shè)、運行、維護等服務實施安全管理;
??(八)按照規(guī)定報告網(wǎng)絡(luò)安全事件和重要事項。
??第十六條?運營者應當保障專門安全管理機構(gòu)的運行經(jīng)費、配備相應的人員,開展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策應當有專門安全管理機構(gòu)人員參與。
??第十七條?運營者應當自行或者委托網(wǎng)絡(luò)安全服務機構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進行一次網(wǎng)絡(luò)安全檢測和風險評估,對發(fā)現(xiàn)的安全問題及時整改,并按照保護工作部門要求報送情況。
??第十八條?關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時,運營者應當按照有關(guān)規(guī)定向保護工作部門、公安機關(guān)報告。
??發(fā)生關(guān)鍵信息基礎(chǔ)設(shè)施整體中斷運行或者主要功能故障、國家基礎(chǔ)信息以及其他重要數(shù)據(jù)泄露、較大規(guī)模個人信息泄露、造成較大經(jīng)濟損失、違法信息較大范圍傳播等特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅時,保護工作部門應當在收到報告后,及時向國家網(wǎng)信部門、國務院公安部門報告。
??第十九條?運營者應當優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務;采購網(wǎng)絡(luò)產(chǎn)品和服務可能影響國家安全的,應當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查。
??第二十條?運營者采購網(wǎng)絡(luò)產(chǎn)品和服務,應當按照國家有關(guān)規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務提供者簽訂安全保密協(xié)議,明確提供者的技術(shù)支持和安全保密義務與責任,并對義務與責任履行情況進行監(jiān)督。
??第二十一條?運營者發(fā)生合并、分立、解散等情況,應當及時報告保護工作部門,并按照保護工作部門的要求對關(guān)鍵信息基礎(chǔ)設(shè)施進行處置,確保安全。
第四章?保障和促進
??第二十二條?保護工作部門應當制定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃,明確保護目標、基本要求、工作任務、具體措施。
??第二十三條?國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門建立網(wǎng)絡(luò)安全信息共享機制,及時匯總、研判、共享、發(fā)布網(wǎng)絡(luò)安全威脅、漏洞、事件等信息,促進有關(guān)部門、保護工作部門、運營者以及網(wǎng)絡(luò)安全服務機構(gòu)等之間的網(wǎng)絡(luò)安全信息共享。
??第二十四條?保護工作部門應當建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預警制度,及時掌握本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運行狀況、安全態(tài)勢,預警通報網(wǎng)絡(luò)安全威脅和隱患,指導做好安全防范工作。
??第二十五條?保護工作部門應當按照國家網(wǎng)絡(luò)安全事件應急預案的要求,建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應急預案,定期組織應急演練;指導運營者做好網(wǎng)絡(luò)安全事件應對處置,并根據(jù)需要組織提供技術(shù)支持與協(xié)助。
??第二十六條?保護工作部門應當定期組織開展本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查檢測,指導監(jiān)督運營者及時整改安全隱患、完善安全措施。
??第二十七條?國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)國務院公安部門、保護工作部門對關(guān)鍵信息基礎(chǔ)設(shè)施進行網(wǎng)絡(luò)安全檢查檢測,提出改進措施。
??有關(guān)部門在開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查時,應當加強協(xié)同配合、信息溝通,避免不必要的檢查和交叉重復檢查。檢查工作不得收取費用,不得要求被檢查單位購買指定品牌或者指定生產(chǎn)、銷售單位的產(chǎn)品和服務。
??第二十八條?運營者對保護工作部門開展的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查檢測工作,以及公安、國家安全、保密行政管理、密碼管理等有關(guān)部門依法開展的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作應當予以配合。
??第二十九條?在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作中,國家網(wǎng)信部門和國務院電信主管部門、國務院公安部門等應當根據(jù)保護工作部門的需要,及時提供技術(shù)支持和協(xié)助。
??第三十條?網(wǎng)信部門、公安機關(guān)、保護工作部門等有關(guān)部門,網(wǎng)絡(luò)安全服務機構(gòu)及其工作人員對于在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作中獲取的信息,只能用于維護網(wǎng)絡(luò)安全,并嚴格按照有關(guān)法律、行政法規(guī)的要求確保信息安全,不得泄露、出售或者非法向他人提供。
??第三十一條?未經(jīng)國家網(wǎng)信部門、國務院公安部門批準或者保護工作部門、運營者授權(quán),任何個人和組織不得對關(guān)鍵信息基礎(chǔ)設(shè)施實施漏洞探測、滲透性測試等可能影響或者危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的活動。對基礎(chǔ)電信網(wǎng)絡(luò)實施漏洞探測、滲透性測試等活動,應當事先向國務院電信主管部門報告。
??第三十二條?國家采取措施,優(yōu)先保障能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運行。
??能源、電信行業(yè)應當采取措施,為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全運行提供重點保障。
??第三十三條?公安機關(guān)、國家安全機關(guān)依據(jù)各自職責依法加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保衛(wèi),防范打擊針對和利用關(guān)鍵信息基礎(chǔ)設(shè)施實施的違法犯罪活動。
??第三十四條?國家制定和完善關(guān)鍵信息基礎(chǔ)設(shè)施安全標準,指導、規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。
??第三十五條?國家采取措施,鼓勵網(wǎng)絡(luò)安全專門人才從事關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作;將運營者安全管理人員、安全技術(shù)人員培訓納入國家繼續(xù)教育體系。
??第三十六條?國家支持關(guān)鍵信息基礎(chǔ)設(shè)施安全防護技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展,組織力量實施關(guān)鍵信息基礎(chǔ)設(shè)施安全技術(shù)攻關(guān)。
??第三十七條?國家加強網(wǎng)絡(luò)安全服務機構(gòu)建設(shè)和管理,制定管理要求并加強監(jiān)督指導,不斷提升服務機構(gòu)能力水平,充分發(fā)揮其在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護中的作用。
??第三十八條?國家加強網(wǎng)絡(luò)安全軍民融合,軍地協(xié)同保護關(guān)鍵信息基礎(chǔ)設(shè)施安全。
第五章?法律責任
??第三十九條?運營者有下列情形之一的,由有關(guān)主管部門依據(jù)職責責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡(luò)安全等后果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款:
??(一)在關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生較大變化,可能影響其認定結(jié)果時未及時將相關(guān)情況報告保護工作部門的;
??(二)安全保護措施未與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用的;
??(三)未建立健全網(wǎng)絡(luò)安全保護制度和責任制的;
??(四)未設(shè)置專門安全管理機構(gòu)的;
??(五)未對專門安全管理機構(gòu)負責人和關(guān)鍵崗位人員進行安全背景審查的;
??(六)開展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策沒有專門安全管理機構(gòu)人員參與的;
??(七)專門安全管理機構(gòu)未履行本條例第十五條規(guī)定的職責的;
??(八)未對關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進行一次網(wǎng)絡(luò)安全檢測和風險評估,未對發(fā)現(xiàn)的安全問題及時整改,或者未按照保護工作部門要求報送情況的;
??(九)采購網(wǎng)絡(luò)產(chǎn)品和服務,未按照國家有關(guān)規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務提供者簽訂安全保密協(xié)議的;
??(十)發(fā)生合并、分立、解散等情況,未及時報告保護工作部門,或者未按照保護工作部門的要求對關(guān)鍵信息基礎(chǔ)設(shè)施進行處置的。
??第四十條?運營者在關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時,未按照有關(guān)規(guī)定向保護工作部門、公安機關(guān)報告的,由保護工作部門、公安機關(guān)依據(jù)職責責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡(luò)安全等后果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款。
??第四十一條?運營者采購可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務,未按照國家網(wǎng)絡(luò)安全規(guī)定進行安全審查的,由國家網(wǎng)信部門等有關(guān)主管部門依據(jù)職責責令改正,處采購金額1倍以上10倍以下罰款,對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。
??第四十二條?運營者對保護工作部門開展的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查檢測工作,以及公安、國家安全、保密行政管理、密碼管理等有關(guān)部門依法開展的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作不予配合的,由有關(guān)主管部門責令改正;拒不改正的,處5萬元以上50萬元以下罰款,對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款;情節(jié)嚴重的,依法追究相應法律責任。
??第四十三條?實施非法侵入、干擾、破壞關(guān)鍵信息基礎(chǔ)設(shè)施,危害其安全的活動尚不構(gòu)成犯罪的,依照《中華人民共和國網(wǎng)絡(luò)安全法》有關(guān)規(guī)定,由公安機關(guān)沒收違法所得,處5日以下拘留,可以并處5萬元以上50萬元以下罰款;情節(jié)較重的,處5日以上15日以下拘留,可以并處10萬元以上100萬元以下罰款。
??單位有前款行為的,由公安機關(guān)沒收違法所得,處10萬元以上100萬元以下罰款,并對直接負責的主管人員和其他直接責任人員依照前款規(guī)定處罰。
??違反本條例第五條第二款和第三十一條規(guī)定,受到治安管理處罰的人員,5年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作;受到刑事處罰的人員,終身不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作。
??第四十四條?網(wǎng)信部門、公安機關(guān)、保護工作部門和其他有關(guān)部門及其工作人員未履行關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和監(jiān)督管理職責或者玩忽職守、濫用職權(quán)、徇私舞弊的,依法對直接負責的主管人員和其他直接責任人員給予處分。
??第四十五條?公安機關(guān)、保護工作部門和其他有關(guān)部門在開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作中收取費用,或者要求被檢查單位購買指定品牌或者指定生產(chǎn)、銷售單位的產(chǎn)品和服務的,由其上級機關(guān)責令改正,退還收取的費用;情節(jié)嚴重的,依法對直接負責的主管人員和其他直接責任人員給予處分。
??第四十六條?網(wǎng)信部門、公安機關(guān)、保護工作部門等有關(guān)部門、網(wǎng)絡(luò)安全服務機構(gòu)及其工作人員將在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作中獲取的信息用于其他用途,或者泄露、出售、非法向他人提供的,依法對直接負責的主管人員和其他直接責任人員給予處分。
??第四十七條?關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大和特別重大網(wǎng)絡(luò)安全事件,經(jīng)調(diào)查確定為責任事故的,除應當查明運營者責任并依法予以追究外,還應查明相關(guān)網(wǎng)絡(luò)安全服務機構(gòu)及有關(guān)部門的責任,對有失職、瀆職及其他違法行為的,依法追究責任。
??第四十八條?電子政務關(guān)鍵信息基礎(chǔ)設(shè)施的運營者不履行本條例規(guī)定的網(wǎng)絡(luò)安全保護義務的,依照《中華人民共和國網(wǎng)絡(luò)安全法》有關(guān)規(guī)定予以處理。
??第四十九條?違反本條例規(guī)定,給他人造成損害的,依法承擔民事責任。
??違反本條例規(guī)定,構(gòu)成違反治安管理行為的,依法給予治安管理處罰;構(gòu)成犯罪的,依法追究刑事責任。
第六章?附??則
??第五十條?存儲、處理涉及國家秘密信息的關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護,還應當遵守保密法律、行政法規(guī)的規(guī)定。
??關(guān)鍵信息基礎(chǔ)設(shè)施中的密碼使用和管理,還應當遵守相關(guān)法律、行政法規(guī)的規(guī)定。
??第五十一條?本條例自2021年9月1日起施行。