重点解读|《关键信息基础设施安全保护条例》2021年9月1日起施行公布,2021年9月1日起施行。要点解读1.关键信息基础设施范围包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他被破坏、丧失功能或数据泄露可能严重危害国家安全、国计民生的关键信息基础设施,以及重要的公共网络设施和信息系统。二、重点保护工作部门上述重要行业和领域的主管部门和监督管理部门是关键信息基础设施安全保护的责任部门,即保护工作部门。保护工作部门负责按照第九条规定的认定规则组织本行业、本领域关键信息基础设施的认定,将认定结果及时通知运营者,并通报国务院公安部门。注:关键信息基础设施发生重大变化可能影响其识别结果的,运营者应及时将相关情况报告保护部门。保护工作部门应当自收到报告之日起3个月内完成重新鉴定工作。三、关口运营商的主要职责和义务(一)安全防护措施同步规划、同步建设、同步使用(二)建立健全网络安全防护制度和责任制(三)设立专门的安全管理机构安全背景??调查负责人和关键岗位人员(4)网络安全和信息化相关决策需要专业安全管理机构人员参与安全检测和风险评估(6)发生重大网络安全事件或重大网络安全事故时发现安全威胁,运营者应当按照有关规定向保卫工作部门和公安机关报告(七)优先采购安全可靠的网络产品和服务,影响国家安全的网络产品和服务可以放行根据w的安全审查符合国家网络安全规定(8)按照国家有关规定与网络产品和服务提供者签订安全保密协议(9)运营商合并、分立、解散等,应当及时向保护部门报告.第一章《中华人民共和国网络安全法》总则第一条 为保障关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》,制定本规定。第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域以及其他可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等遭到破坏、丧失功能、数据泄露的。第三条 在国家网信部门的统一协调下,国务院公安部门负责指导和监督关键信息基础设施的安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自的职责范围内负责关键信息基础设施的安全保护和监督管理工作。省级人民政府有关部门按照各自职责,对关键信息基础设施实施安全保护和监督管理。第四条 关键信息基础设施安全保护工作坚持综合协调、责任分工、法治保障,强化和落实关键信息基础设施运营者(以下简称运营者)的主体责任,充分发挥政府和社会各方面的作用。共同保护关键信息基础设施安全。第五条国家对关键信息基础设施实施重点保护,采取措施监测、防御和处置来自中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击,入侵、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。任何个人和组织不得从事非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施的安全。第六条?运营者应当依照本条例、有关法律、行政法规和国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据完整性、保密性和可用性。第七条?对在关键信息基础设施安全保护工作中成绩显着或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。第二章?关键信息基础设施标识第八条?本条例第二条所涉及的重要行业、领域的主管部门和监督管理部门是关键信息基础设施安全保护的责任部门(以下简称作为保护工作部门)。第九条 保护工作部门应当结合本行业、领域的实际情况,制定关键信息基础设施认定规则,并报国务院公安部门备案。认定规则主要考虑以下因素:(一)网络设施、信息系统等对本领域行业和关键核心业务的重要性;(2)一旦网络设施、信息系统等遭到破坏、丧失功能或数据泄露可能造成危害的程度;(三)对其他行业和领域的影响。第十条 保护工作部门负责根据认定规则组织对本行业、领域关键信息基础设施的认定,并将认定结果及时通报运营者和国务院公安部门。第十一条关键信息基础设施发生重大变化,可能影响认定结果的,运营者应当及时向保护部门报告有关情况。保护工作部门应当自收到报告之日起3个月内完成重新鉴定,将鉴定结果通知经营者,并通报国务院公安部门。第三章 运营者的责任和义务第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。第十三条 运营者应当建立健全网络安全保护制度和责任制度,确保人力、财力、物力的投入。运营者主要负责人应当全面负责关键信息基础设施安全保护工作,牵头负责关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。第十四条 经营者应当设立专门的安全管理机构,对专门的安全管理机构负责人和关键岗位人员进行安全背景调查。审查期间,公安机关、国家安全机关应当提供协助。第十五条 专门的安全管理机构具体负责本单位关键信息基础设施的安全保护工作,履行下列职责:(一)建立健全网络安全管理、评价和考核制度,制定关键信息基础设施安全管理体系。基础设施安全保护计划;(二)组织推进网络安全防护能力建设,开展网络安全监测、检测和风险评估;(三)根据国家和行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,应对网络安全事件;(四)确定网络安全重点岗位,组织网络安全工作考核,提出奖惩措施;(五)组织网络安全教育培训;(6)履行个人信息和数据安全保护职责,建立健全个人信息和数据安全保护制度;(七)对关键信息基础设施的设计、建设、运营、维护等服务实施安全管理;(八)按照规定报告网络安全事件和重要事项。第十六条 经营者应当保障专门安全管理机构的运行经费,并配备相应的人员。涉及网络安全和信息化的决策,应当有专门的安全管理机构人员参与。第十七条 运营者应当每年至少自行或者委托网络安全服务机构对关键信息基础设施进行一次网络安全检查和风险评估,对发现的安全问题及时整改,并按照国家有关规定的要求报告情况。保护工作部。第十八条关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁,运营者应当按照有关规定向保护工作部门和公安机关报告。发生关键信息基础设施全面中断或重大功能故障、国家基本信息等重要数据泄露、大规模个人信息泄露、重大经济损失、大规模传播非法信息等特别重大网络安全事件信息,或者发现有重大网络安全威胁的特殊情况,保护工作部门接到报告后,应当及时向国家网信部门和国务院公安部门报告。第十九条 运营者应当优先购买安全可靠的网络产品和服务;购买可能影响国家安全的网络产品和服务,应当按照国家网络安全规定通过安全审查。第二十条?经营者购买网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务和责任,明确义务和责任监督表现。第二十一条 运营者发生合并、分立、解散等情况,应当及时向保护工作部门报告,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。第四章 保障与推进第二十二条 保护部门应当制定本行业、本领域关键信息基础设施安全规划,明确保护目标、基本要求、任务和具体措施。第二十三条国家网信部门协调有关部门建立网络安全信息共享机制,及时汇总、研究、共享、发布网络安全威胁、漏洞、事件等信息,推动有关部门、保护departments,andoperations运营商与网络安全服务机构之间的网络安全信息共享。第二十四条 保护工作部门应当建立健全本行业和领域关键信息基础设施网络安全监测预警制度,及时了解本行业和领域关键信息基础设施运行状况和安全状况,预警网络安全威胁和隐患,指导做好安全防范工作。第二十五条 防护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域网络安全事件应急预案,定期组织应急演练;指导运营商做好应对网络安全事件的处置工作,并根据需要组织提供技术支持和帮助。第二十六条 保护工作部门应当定期组织本行业、本领域关键信息基础设施的网络安全检查检测,指导、督促运营者及时整改安全隐患,完善安全措施。第二十七条 国家网信部门协调配合国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测,并提出改进措施。有关部门在开展关键信息基础设施网络安全检查时要加强协调和信息沟通,避免不必要的检查和交叉重复检查。检查工作不收取任何费用,不得要求被检查单位购买指定品牌或者指定生产销售单位的产品和服务。第二十八条 运营者开展保护部门实施的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密管理、密码管理等有关部门实施的关键信息基础设施网络安全检查和检测工作。统筹检查工作。第二十九条 在关键信息基础设施的安全保护工作中,国家网信部门、国务院电信主管部门、国务院公安部门等应当根据有关规定及时提供技术支持和协助。保护部门的需要。第三十条 网信部门、公安机关、保护工作部门和其他有关部门、网络安全服务机构及其工作人员只能使用在关键信息基础设施安全保护过程中获取的信息维护网络安全,并严格按照按照有关法律、行政法规的要求,确保信息安全,不得向他人泄露、出售或者非法向他人提供。第三十一条?未经国家网信部门、国务院公安部门批准或者保护工作部门和运营者授权,任何个人和组织不得进行漏洞检测、渗透测试等活动。可能影响或损害关键信息基础设施安全活动的关键信息基础设施。开展基础电信网络漏洞检测、渗透测试等活动,应当事先向国务院电信主管部门报告。第三十二条 国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。能源、电信等行业要采取措施,为其他行业和领域关键信息基础设施安全运行提供重点保障。第三十三条 公安机关、国家安全机关应当按照各自职责加强关键信息基础设施的安全保护,防范和打击针对和利用关键信息基础设施的违法犯罪活动。第三十四条 国家制定和完善关键信息基础设施安全标准,指导和规范关键信息基础设施安全保护工作。第三十五条 国家采取措施,鼓励网络安全专业人员从事关键信息基础设施的安全保护工作;将运营商安全管理人员和安全技术人员培训纳入国家继续教育体系。第三十六条 国家支持关键信息基础设施安全防护技术创新和产业发展,组织力量实施关键信息基础设施安全技术攻关。第三十七条 国家加强网络安全服务机构建设和管理,制定管理要求,加强监督引导,不断提高服务机构能力,充分发挥其在关键信息基础设施安全保护中的作用.第三十八条 国家加强网络安全军民融合,军地协同保护关键信息基础设施安全。第五章?法律责任第三十九条经营者有下列情形之一的,由有关主管部门依据职责责令改正,给予警告:处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款:(二)安全防护措施不与关键信息基础设施同时规划、建设、使用的;(三)未建立网络安全保护制度和责任制度的;(五)未对专门安全管理机构负责人和关键岗位人员进行安全背景调查的;(六)作出网络安全和信息化相关决策,没有专门安全管理机构人员参与的;(七)专业安全管理机构不履行本条例第十五条规定职责的;(八)未每年至少对关键信息基础设施进行一次网络安全检测和风险评估,发现安全问题未及时整改,或者未遵守(九)购买网络产品和服务,未签订安全和安全协议的按照国家有关规定与网络产品和服务提供者签订保密协议;向保护工作部门报告,或者未按照保护工作部门的要求对关键信息基础设施进行处理的。第四十条 运营者发生重大网络安全事件或者发现关键信息基础设施存在重大网络安全威胁,未按照有关规定向保护工作部门或者公安机关报告的,保护工作部门和公安机关应当按照职责,责令改正,给予警告;构成犯罪的,依法追究刑事责任。拒不改正或者造成危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。第四十一条 经营者购买可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查的,由国家网信部门和其他有关主管部门依照有关规定责令改正对直接负责的主管人员,处以10倍以上10倍以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款及其他直接责任人员。第四十二条 运营者承担保护部门开展的关键信息基础设施网络安全检测工作,以及公安、国家安全、保密管理、密码管理等有关部门开展的关键信息基础设施网络安全工作。不配合检查工作的,由有关主管部门责令改正;构成犯罪的,依法追究刑事责任。拒不改正的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节严重的,依法追究相应的法律责任。第四十三条《中华人民共和国网络安全法》非法侵入、干扰、破坏关键信息基础设施,危害其安全的活动,尚不构成犯罪的,依照《中华人民共和国网络安全法》的有关规定,由公安机关没收违法所得,依法追究刑事责任。处5日以下拘留,可以并处5万元以上50万元以下罚款;情节较重的,处5日以上15日以下拘留,可以并处10万元以上100万元以下罚款。单位有前款行为的,由公安机关没收违法所得,处10万元以上100万元以下罚款,对直接负责的主管人员和其他直接责任人员依法给予处分。依前款规定办理。违反本条例第五条第二款和第三十一条规定受到治安管理处罚的人员,5年内不得从事网络安全管理和网络运营等关键岗位;受过刑事处罚的人员,终身不得从事网络安全工作。担任管理和网络运营方面的关键职位。第四十四条?网信部门、公安机关、保护工作部门和其他有关部门及其工作人员不履行关键信息基础设施安全保护和监督管理职责,或者玩忽职守、滥用职权,或者徇私舞弊的,依法追究刑事责任。对直接负责的主管人员和其他直接责任人员给予处分。第四十五条?公安机关、保卫部门和其他有关部门进行关键信息基础设施网络安全检查时,应当收取费用,或者要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务,情节严重的,对直接负责的主管人员和其他直接责任人员依法给予处分。第四十六条 网信部门、公安机关、保护部门和其他有关部门、网络安全服务机构及其工作人员将在关键信息基础设施安全保护中获取的信息用于其他目的,或者泄露、出售、非法使用向他人提供的,对直接负责的主管人员和其他直接责任人员依法给予处分。第四十七条 关键信息基础设施发生重大或者特重大网络安全事件,经调查确定为责任事故的,除依法追究运营者责任和追究责任外,有关部门还应当确定网络安全服务提供者。对事业单位和有关部门的责任,对有失职失职、玩忽职守等违法行为的,依法追究责任。第四十八条电子政务关键信息基础设施运营者不履行本条例规定的网络安全保护义务的,依照《中华人民共和国网络安全法》有关规定处理。第四十九条违反本条例规定,给他人造成损害的,应当依法承担民事责任。违反本条例规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。构成犯罪的,依法追究刑事责任。第六章 附则第五十条 对存储、处理国家秘密信息的关键信息基础设施的安全保护,还应当遵守保密法律、行政法规的规定。关键信息基础设施密码的使用和管理,还应当遵守有关法律、行政法规的规定。第五十一条?本规定自2021年9月1日起施行。内容来源:http://www.gov.cn/zhengce/content/2021-08/17/content_5631671.htm
