據新華社8月17日消息����,國務(wù)院總理李克強日前簽署國務(wù)院令�,公布《關(guān)鍵信息基礎設施安全保護條例》(以下簡(jiǎn)稱(chēng)《條例》)��,自2021年9月1日起施行��。
黨中央�、國務(wù)院高度重視關(guān)鍵信息基礎設施安全保護工作�。關(guān)鍵信息基礎設施是經(jīng)濟社會(huì )運行的神經(jīng)中樞�����,是網(wǎng)絡(luò )安全的重中之重�����。當前�����,關(guān)鍵信息基礎設施面臨的安全形勢嚴峻��,網(wǎng)絡(luò )攻擊威脅事件頻發(fā)���。制定出臺《條例》�����,建立專(zhuān)門(mén)保護制度���,明確各方責任���,提出保障促進(jìn)措施��,有利于進(jìn)一步健全關(guān)鍵信息基礎設施安全保護法律制度體系�。
以下是條例全文:
關(guān)鍵信息基礎設施安全保護條例
第一章 總 則
第一條 為了保障關(guān)鍵信息基礎設施安全��,維護網(wǎng)絡(luò )安全�,根據《中華人民共和國網(wǎng)絡(luò )安全法》����,制定本條例�。
第二條 本條例所稱(chēng)關(guān)鍵信息基礎設施�,是指公共通信和信息服務(wù)�、能源���、交通����、水利�、金融�、公共服務(wù)�����、電子政務(wù)�、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的��,以及其他一旦遭到破壞����、喪失功能或者數據泄露��,可能?chē)乐匚:野踩?����、國計民生����、公共利益的重要網(wǎng)絡(luò )設施�、信息系統等��。
第三條 在國家網(wǎng)信部門(mén)統籌協(xié)調下�,國務(wù)院公安部門(mén)負責指導監督關(guān)鍵信息基礎設施安全保護工作����。國務(wù)院電信主管部門(mén)和其他有關(guān)部門(mén)依照本條例和有關(guān)法律��、行政法規的規定�,在各自職責范圍內負責關(guān)鍵信息基礎設施安全保護和監督管理工作���。
省級人民政府有關(guān)部門(mén)依據各自職責對關(guān)鍵信息基礎設施實(shí)施安全保護和監督管理����。
第四條 關(guān)鍵信息基礎設施安全保護堅持綜合協(xié)調�、分工負責����、依法保護�,強化和落實(shí)關(guān)鍵信息基礎設施運營(yíng)者(以下簡(jiǎn)稱(chēng)運營(yíng)者)主體責任����,充分發(fā)揮政府及社會(huì )各方面的作用���,共同保護關(guān)鍵信息基礎設施安全�����。
第五條 國家對關(guān)鍵信息基礎設施實(shí)行重點(diǎn)保護���,采取措施�����,監測��、防御�����、處置來(lái)源于中華人民共和國境內外的網(wǎng)絡(luò )安全風(fēng)險和威脅��,保護關(guān)鍵信息基礎設施免受攻擊��、侵入����、干擾和破壞�����,依法懲治危害關(guān)鍵信息基礎設施安全的違法犯罪活動(dòng)����。
任何個(gè)人和組織不得實(shí)施非法侵入����、干擾�、破壞關(guān)鍵信息基礎設施的活動(dòng)���,不得危害關(guān)鍵信息基礎設施安全����。
第六條 運營(yíng)者依照本條例和有關(guān)法律�����、行政法規的規定以及國家標準的強制性要求�,在網(wǎng)絡(luò )安全等級保護的基礎上�����,采取技術(shù)保護措施和其他必要措施�����,應對網(wǎng)絡(luò )安全事件��,防范網(wǎng)絡(luò )攻擊和違法犯罪活動(dòng)�����,保障關(guān)鍵信息基礎設施安全穩定運行�,維護數據的完整性����、保密性和可用性�����。
第七條 對在關(guān)鍵信息基礎設施安全保護工作中取得顯著(zhù)成績(jì)或者作出突出貢獻的單位和個(gè)人����,按照國家有關(guān)規定給予表彰���。
第二章 關(guān)鍵信息基礎設施認定
第八條 本條例第二條涉及的重要行業(yè)和領(lǐng)域的主管部門(mén)��、監督管理部門(mén)是負責關(guān)鍵信息基礎設施安全保護工作的部門(mén)(以下簡(jiǎn)稱(chēng)保護工作部門(mén))���。
第九條 保護工作部門(mén)結合本行業(yè)��、本領(lǐng)域實(shí)際����,制定關(guān)鍵信息基礎設施認定規則�,并報國務(wù)院公安部門(mén)備案���。
制定認定規則應當主要考慮下列因素:
(一)網(wǎng)絡(luò )設施��、信息系統等對于本行業(yè)��、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度;
(二)網(wǎng)絡(luò )設施��、信息系統等一旦遭到破壞��、喪失功能或者數據泄露可能帶來(lái)的危害程度;
(三)對其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響�����。
第十條 保護工作部門(mén)根據認定規則負責組織認定本行業(yè)��、本領(lǐng)域的關(guān)鍵信息基礎設施�,及時(shí)將認定結果通知運營(yíng)者����,并通報國務(wù)院公安部門(mén)���。
第十一條 關(guān)鍵信息基礎設施發(fā)生較大變化�,可能影響其認定結果的����,運營(yíng)者應當及時(shí)將相關(guān)情況報告保護工作部門(mén)��。保護工作部門(mén)自收到報告之日起3個(gè)月內完成重新認定��,將認定結果通知運營(yíng)者�,并通報國務(wù)院公安部門(mén)����。
第三章 運營(yíng)者責任義務(wù)
第十二條 安全保護措施應當與關(guān)鍵信息基礎設施同步規劃�、同步建設����、同步使用�。
第十三條 運營(yíng)者應當建立健全網(wǎng)絡(luò )安全保護制度和責任制���,保障人力�、財力�����、物力投入���。運營(yíng)者的主要負責人對關(guān)鍵信息基礎設施安全保護負總責�����,領(lǐng)導關(guān)鍵信息基礎設施安全保護和重大網(wǎng)絡(luò )安全事件處置工作�,組織研究解決重大網(wǎng)絡(luò )安全問(wèn)題��。
第十四條 運營(yíng)者應當設置專(zhuān)門(mén)安全管理機構�,并對專(zhuān)門(mén)安全管理機構負責人和關(guān)鍵崗位人員進(jìn)行安全背景審查���。審查時(shí)�����,公安機關(guān)�、國家安全機關(guān)應當予以協(xié)助���。
第十五條 專(zhuān)門(mén)安全管理機構具體負責本單位的關(guān)鍵信息基礎設施安全保護工作�,履行下列職責:
(一)建立健全網(wǎng)絡(luò )安全管理����、評價(jià)考核制度����,擬訂關(guān)鍵信息基礎設施安全保護計劃;
(二)組織推動(dòng)網(wǎng)絡(luò )安全防護能力建設�����,開(kāi)展網(wǎng)絡(luò )安全監測��、檢測和風(fēng)險評估;
(三)按照國家及行業(yè)網(wǎng)絡(luò )安全事件應急預案�,制定本單位應急預案����,定期開(kāi)展應急演練���,處置網(wǎng)絡(luò )安全事件;
(四)認定網(wǎng)絡(luò )安全關(guān)鍵崗位�,組織開(kāi)展網(wǎng)絡(luò )安全工作考核�,提出獎勵和懲處建議;
(五)組織網(wǎng)絡(luò )安全教育����、培訓;
(六)履行個(gè)人信息和數據安全保護責任�����,建立健全個(gè)人信息和數據安全保護制度;
(七)對關(guān)鍵信息基礎設施設計��、建設�����、運行�����、維護等服務(wù)實(shí)施安全管理;
(八)按照規定報告網(wǎng)絡(luò )安全事件和重要事項����。
第十六條 運營(yíng)者應當保障專(zhuān)門(mén)安全管理機構的運行經(jīng)費���、配備相應的人員���,開(kāi)展與網(wǎng)絡(luò )安全和信息化有關(guān)的決策應當有專(zhuān)門(mén)安全管理機構人員參與����。
第十七條 運營(yíng)者應當自行或者委托網(wǎng)絡(luò )安全服務(wù)機構對關(guān)鍵信息基礎設施每年至少進(jìn)行一次網(wǎng)絡(luò )安全檢測和風(fēng)險評估�����,對發(fā)現的安全問(wèn)題及時(shí)整改�����,并按照保護工作部門(mén)要求報送情況����。
第十八條 關(guān)鍵信息基礎設施發(fā)生重大網(wǎng)絡(luò )安全事件或者發(fā)現重大網(wǎng)絡(luò )安全威脅時(shí)���,運營(yíng)者應當按照有關(guān)規定向保護工作部門(mén)�、公安機關(guān)報告��。
發(fā)生關(guān)鍵信息基礎設施整體中斷運行或者主要功能故障����、國家基礎信息以及其他重要數據泄露���、較大規模個(gè)人信息泄露�����、造成較大經(jīng)濟損失�����、違法信息較大范圍傳播等特別重大網(wǎng)絡(luò )安全事件或者發(fā)現特別重大網(wǎng)絡(luò )安全威脅時(shí)��,保護工作部門(mén)應當在收到報告后����,及時(shí)向國家網(wǎng)信部門(mén)��、國務(wù)院公安部門(mén)報告��。
第十九條 運營(yíng)者應當優(yōu)先采購安全可信的網(wǎng)絡(luò )產(chǎn)品和服務(wù);采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)可能影響國家安全的��,應當按照國家網(wǎng)絡(luò )安全規定通過(guò)安全審查����。
第二十條 運營(yíng)者采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)���,應當按照國家有關(guān)規定與網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議�����,明確提供者的技術(shù)支持和安全保密義務(wù)與責任��,并對義務(wù)與責任履行情況進(jìn)行監督���。
第二十一條 運營(yíng)者發(fā)生合并���、分立�����、解散等情況����,應當及時(shí)報告保護工作部門(mén)����,并按照保護工作部門(mén)的要求對關(guān)鍵信息基礎設施進(jìn)行處置�,確保安全��。
第四章 保障和促進(jìn)
第二十二條 保護工作部門(mén)應當制定本行業(yè)�����、本領(lǐng)域關(guān)鍵信息基礎設施安全規劃�,明確保護目標�����、基本要求��、工作任務(wù)���、具體措施��。
第二十三條 國家網(wǎng)信部門(mén)統籌協(xié)調有關(guān)部門(mén)建立網(wǎng)絡(luò )安全信息共享機制�,及時(shí)匯總��、研判��、共享����、發(fā)布網(wǎng)絡(luò )安全威脅����、漏洞����、事件等信息�����,促進(jìn)有關(guān)部門(mén)���、保護工作部門(mén)�����、運營(yíng)者以及網(wǎng)絡(luò )安全服務(wù)機構等之間的網(wǎng)絡(luò )安全信息共享��。
第二十四條 保護工作部門(mén)應當建立健全本行業(yè)���、本領(lǐng)域的關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全監測預警制度�,及時(shí)掌握本行業(yè)����、本領(lǐng)域關(guān)鍵信息基礎設施運行狀況��、安全態(tài)勢���,預警通報網(wǎng)絡(luò )安全威脅和隱患�,指導做好安全防范工作�����。
第二十五條 保護工作部門(mén)應當按照國家網(wǎng)絡(luò )安全事件應急預案的要求�,建立健全本行業(yè)���、本領(lǐng)域的網(wǎng)絡(luò )安全事件應急預案����,定期組織應急演練;指導運營(yíng)者做好網(wǎng)絡(luò )安全事件應對處置��,并根據需要組織提供技術(shù)支持與協(xié)助�����。
第二十六條 保護工作部門(mén)應當定期組織開(kāi)展本行業(yè)��、本領(lǐng)域關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查檢測�,指導監督運營(yíng)者及時(shí)整改安全隱患�、完善安全措施�。
第二十七條 國家網(wǎng)信部門(mén)統籌協(xié)調國務(wù)院公安部門(mén)���、保護工作部門(mén)對關(guān)鍵信息基礎設施進(jìn)行網(wǎng)絡(luò )安全檢查檢測����,提出改進(jìn)措施�。
有關(guān)部門(mén)在開(kāi)展關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查時(shí)�����,應當加強協(xié)同配合�、信息溝通���,避免不必要的檢查和交叉重復檢查��。檢查工作不得收取費用�����,不得要求被檢查單位購買(mǎi)指定品牌或者指定生產(chǎn)�、銷(xiāo)售單位的產(chǎn)品和服務(wù)�����。
第二十八條 運營(yíng)者對保護工作部門(mén)開(kāi)展的關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查檢測工作�����,以及公安���、國家安全�、保密行政管理�����、密碼管理等有關(guān)部門(mén)依法開(kāi)展的關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查工作應當予以配合�。
第二十九條 在關(guān)鍵信息基礎設施安全保護工作中����,國家網(wǎng)信部門(mén)和國務(wù)院電信主管部門(mén)����、國務(wù)院公安部門(mén)等應當根據保護工作部門(mén)的需要�����,及時(shí)提供技術(shù)支持和協(xié)助�����。
第三十條 網(wǎng)信部門(mén)���、公安機關(guān)���、保護工作部門(mén)等有關(guān)部門(mén)�����,網(wǎng)絡(luò )安全服務(wù)機構及其工作人員對于在關(guān)鍵信息基礎設施安全保護工作中獲取的信息�,只能用于維護網(wǎng)絡(luò )安全��,并嚴格按照有關(guān)法律����、行政法規的要求確保信息安全�,不得泄露�、出售或者非法向他人提供�。
第三十一條 未經(jīng)國家網(wǎng)信部門(mén)���、國務(wù)院公安部門(mén)批準或者保護工作部門(mén)�、運營(yíng)者授權����,任何個(gè)人和組織不得對關(guān)鍵信息基礎設施實(shí)施漏洞探測���、滲透性測試等可能影響或者危害關(guān)鍵信息基礎設施安全的活動(dòng)��。對基礎電信網(wǎng)絡(luò )實(shí)施漏洞探測����、滲透性測試等活動(dòng)����,應當事先向國務(wù)院電信主管部門(mén)報告����。
第三十二條 國家采取措施�,優(yōu)先保障能源�、電信等關(guān)鍵信息基礎設施安全運行����。
能源��、電信行業(yè)應當采取措施���,為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎設施安全運行提供重點(diǎn)保障�。
第三十三條 公安機關(guān)�、國家安全機關(guān)依據各自職責依法加強關(guān)鍵信息基礎設施安全保衛���,防范打擊針對和利用關(guān)鍵信息基礎設施實(shí)施的違法犯罪活動(dòng)�����。
第三十四條 國家制定和完善關(guān)鍵信息基礎設施安全標準���,指導��、規范關(guān)鍵信息基礎設施安全保護工作���。
第三十五條 國家采取措施��,鼓勵網(wǎng)絡(luò )安全專(zhuān)門(mén)人才從事關(guān)鍵信息基礎設施安全保護工作;將運營(yíng)者安全管理人員�����、安全技術(shù)人員培訓納入國家繼續教育體系�����。
第三十六條 國家支持關(guān)鍵信息基礎設施安全防護技術(shù)創(chuàng )新和產(chǎn)業(yè)發(fā)展�����,組織力量實(shí)施關(guān)鍵信息基礎設施安全技術(shù)攻關(guān)��。
第三十七條 國家加強網(wǎng)絡(luò )安全服務(wù)機構建設和管理�,制定管理要求并加強監督指導���,不斷提升服務(wù)機構能力水平�,充分發(fā)揮其在關(guān)鍵信息基礎設施安全保護中的作用����。
第三十八條 國家加強網(wǎng)絡(luò )安全軍民融合�����,軍地協(xié)同保護關(guān)鍵信息基礎設施安全���。
第五章 法律責任
第三十九條 運營(yíng)者有下列情形之一的���,由有關(guān)主管部門(mén)依據職責責令改正�����,給予警告;拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的�,處10萬(wàn)元以上100萬(wàn)元以下罰款���,對直接負責的主管人員處1萬(wàn)元以上10萬(wàn)元以下罰款:
(一)在關(guān)鍵信息基礎設施發(fā)生較大變化�����,可能影響其認定結果時(shí)未及時(shí)將相關(guān)情況報告保護工作部門(mén)的;
(二)安全保護措施未與關(guān)鍵信息基礎設施同步規劃��、同步建設�、同步使用的;
(三)未建立健全網(wǎng)絡(luò )安全保護制度和責任制的;
(四)未設置專(zhuān)門(mén)安全管理機構的;
(五)未對專(zhuān)門(mén)安全管理機構負責人和關(guān)鍵崗位人員進(jìn)行安全背景審查的;
(六)開(kāi)展與網(wǎng)絡(luò )安全和信息化有關(guān)的決策沒(méi)有專(zhuān)門(mén)安全管理機構人員參與的;
(七)專(zhuān)門(mén)安全管理機構未履行本條例第十五條規定的職責的;
(八)未對關(guān)鍵信息基礎設施每年至少進(jìn)行一次網(wǎng)絡(luò )安全檢測和風(fēng)險評估��,未對發(fā)現的安全問(wèn)題及時(shí)整改�����,或者未按照保護工作部門(mén)要求報送情況的;
(九)采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)���,未按照國家有關(guān)規定與網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議的;
(十)發(fā)生合并�����、分立����、解散等情況�����,未及時(shí)報告保護工作部門(mén)�,或者未按照保護工作部門(mén)的要求對關(guān)鍵信息基礎設施進(jìn)行處置的��。
第四十條 運營(yíng)者在關(guān)鍵信息基礎設施發(fā)生重大網(wǎng)絡(luò )安全事件或者發(fā)現重大網(wǎng)絡(luò )安全威脅時(shí)����,未按照有關(guān)規定向保護工作部門(mén)��、公安機關(guān)報告的�,由保護工作部門(mén)��、公安機關(guān)依據職責責令改正��,給予警告;拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的�����,處10萬(wàn)元以上100萬(wàn)元以下罰款����,對直接負責的主管人員處1萬(wàn)元以上10萬(wàn)元以下罰款�����。
第四十一條 運營(yíng)者采購可能影響國家安全的網(wǎng)絡(luò )產(chǎn)品和服務(wù)��,未按照國家網(wǎng)絡(luò )安全規定進(jìn)行安全審查的�,由國家網(wǎng)信部門(mén)等有關(guān)主管部門(mén)依據職責責令改正�����,處采購金額1倍以上10倍以下罰款��,對直接負責的主管人員和其他直接責任人員處1萬(wàn)元以上10萬(wàn)元以下罰款�����。
第四十二條 運營(yíng)者對保護工作部門(mén)開(kāi)展的關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查檢測工作��,以及公安�����、國家安全�����、保密行政管理�����、密碼管理等有關(guān)部門(mén)依法開(kāi)展的關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查工作不予配合的����,由有關(guān)主管部門(mén)責令改正;拒不改正的���,處5萬(wàn)元以上50萬(wàn)元以下罰款��,對直接負責的主管人員和其他直接責任人員處1萬(wàn)元以上10萬(wàn)元以下罰款;情節嚴重的����,依法追究相應法律責任�����。
第四十三條 實(shí)施非法侵入��、干擾����、破壞關(guān)鍵信息基礎設施���,危害其安全的活動(dòng)尚不構成犯罪的�,依照《中華人民共和國網(wǎng)絡(luò )安全法》有關(guān)規定�,由公安機關(guān)沒(méi)收違法所得���,處5日以下拘留���,可以并處5萬(wàn)元以上50萬(wàn)元以下罰款;情節較重的���,處5日以上15日以下拘留�,可以并處10萬(wàn)元以上100萬(wàn)元以下罰款�����。
單位有前款行為的�,由公安機關(guān)沒(méi)收違法所得��,處10萬(wàn)元以上100萬(wàn)元以下罰款��,并對直接負責的主管人員和其他直接責任人員依照前款規定處罰���。
違反本條例第五條第二款和第三十一條規定���,受到治安管理處罰的人員�,5年內不得從事網(wǎng)絡(luò )安全管理和網(wǎng)絡(luò )運營(yíng)關(guān)鍵崗位的工作;受到刑事處罰的人員�,終身不得從事網(wǎng)絡(luò )安全管理和網(wǎng)絡(luò )運營(yíng)關(guān)鍵崗位的工作����。
第四十四條 網(wǎng)信部門(mén)�、公安機關(guān)�����、保護工作部門(mén)和其他有關(guān)部門(mén)及其工作人員未履行關(guān)鍵信息基礎設施安全保護和監督管理職責或者玩忽職守��、濫用職權�、徇私舞弊的�,依法對直接負責的主管人員和其他直接責任人員給予處分�。
第四十五條 公安機關(guān)����、保護工作部門(mén)和其他有關(guān)部門(mén)在開(kāi)展關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查工作中收取費用�����,或者要求被檢查單位購買(mǎi)指定品牌或者指定生產(chǎn)�、銷(xiāo)售單位的產(chǎn)品和服務(wù)的�,由其上級機關(guān)責令改正���,退還收取的費用;情節嚴重的���,依法對直接負責的主管人員和其他直接責任人員給予處分����。
第四十六條 網(wǎng)信部門(mén)����、公安機關(guān)���、保護工作部門(mén)等有關(guān)部門(mén)��、網(wǎng)絡(luò )安全服務(wù)機構及其工作人員將在關(guān)鍵信息基礎設施安全保護工作中獲取的信息用于其他用途�����,或者泄露����、出售��、非法向他人提供的���,依法對直接負責的主管人員和其他直接責任人員給予處分���。
第四十七條 關(guān)鍵信息基礎設施發(fā)生重大和特別重大網(wǎng)絡(luò )安全事件�,經(jīng)調查確定為責任事故的����,除應當查明運營(yíng)者責任并依法予以追究外����,還應查明相關(guān)網(wǎng)絡(luò )安全服務(wù)機構及有關(guān)部門(mén)的責任��,對有失職���、瀆職及其他違法行為的�,依法追究責任�。
第四十八條 電子政務(wù)關(guān)鍵信息基礎設施的運營(yíng)者不履行本條例規定的網(wǎng)絡(luò )安全保護義務(wù)的���,依照《中華人民共和國網(wǎng)絡(luò )安全法》有關(guān)規定予以處理�����。
第四十九條 違反本條例規定����,給他人造成損害的�����,依法承擔民事責任�����。
違反本條例規定����,構成違反治安管理行為的����,依法給予治安管理處罰;構成犯罪的���,依法追究刑事責任����。
第六章 附 則
第五十條 存儲���、處理涉及國家秘密信息的關(guān)鍵信息基礎設施的安全保護����,還應當遵守保密法律���、行政法規的規定����。
關(guān)鍵信息基礎設施中的密碼使用和管理����,還應當遵守相關(guān)法律��、行政法規的規定��。
第五十一條 本條例自2021年9月1日起施行�。
0551- 62818875 64280445
行業(yè)動(dòng)態(tài)