國務院發布《關鍵信息基礎設施安全保護條例》,9月(yuè)1日起施行
作者: 發布時間:2021-12-25 15:57:24點擊:457
信息摘要:
《關鍵信息基礎設施安全保護條例》已經2021年4月(yuè)27日國務院第133次常務會議通(tōng)過,現予公布,自2021年9月(yuè)1日起施行。
《關鍵信息基礎設施安全保護條例》已經2021年4月(yuè)27日國務院第133次常務會議通(tōng)過,現予公布,自2021年9月(yuè)1日起施行。***條 爲了(le)保障關鍵信息基礎設施安全,維護網絡安全,根據《中華人(rén)民共和(hé)國網絡安全法》,制定本條例。第二條 本條例所稱關鍵信息基礎設施,是指公共通(tōng)信和(hé)信息服務、能源、交通(tōng)、水(shuǐ)利、金融、公共服務、電子政務、國防科技工業等重要行業和(hé)領域的(de),以及其他(tā)一旦遭到破壞、喪失功能或者數據洩露,可(kě)能嚴重危害安全、國計民生、公共利益的(de)重要網絡設施、信息系統等。第三條 在網信部門統籌協調下(xià),國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作。國務院電信主管部門和(hé)其他(tā)有關部門依照(zhào)本條例和(hé)有關法律、行政法規的(de)規定,在各自職責範圍内負責關鍵信息基礎設施安全保護和(hé)監督管理(lǐ)工作。省級人(rén)民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和(hé)監督管理(lǐ)。第四條 關鍵信息基礎設施安全保護堅持綜合協調、分(fēn)工負責、依法保護,強化(huà)和(hé)落實關鍵信息基礎設施運營者(以下(xià)簡稱運營者)主體責任,充分(fēn)發揮政府及社會各方面的(de)作用(yòng),共同保護關鍵信息基礎設施安全。第五條 對關鍵信息基礎設施實行重點保護,采取措施,監測、防禦、處置來源于中華人(rén)民共和(hé)國境内外的(de)網絡安全風險和(hé)威脅,保護關鍵信息基礎設施免受攻擊、侵入、幹擾和(hé)破壞,依法懲治危害關鍵信息基礎設施安全的(de)違法犯罪活動。任何個人(rén)和(hé)組織不得(de)實施非法侵入、幹擾、破壞關鍵信息基礎設施的(de)活動,不得(de)危害關鍵信息基礎設施安全。第六條 運營者依照(zhào)本條例和(hé)有關法律、行政法規的(de)規定以及标準的(de)強制性要求,在網絡安全等級保護的(de)基礎上,采取技術保護措施和(hé)其他(tā)必要措施,應對網絡安全事件,防範網絡攻擊和(hé)違法犯罪活動,保障關鍵信息基礎設施安全穩定運行,維護數據的(de)完整性、保密性和(hé)可(kě)用(yòng)性。第七條 對在關鍵信息基礎設施安全保護工作中取得(de)顯著成績或者作出突出貢獻的(de)單位和(hé)個人(rén),按照(zhào)有關規定給予表彰。第八條 本條例第二條涉及的(de)重要行業和(hé)領域的(de)主管部門、監督管理(lǐ)部門是負責關鍵信息基礎設施安全保護工作的(de)部門(以下(xià)簡稱保護工作部門)。第九條 保護工作部門結合本行業、本領域實際,制定關鍵信息基礎設施認定規則,并報國務院公安部門備案。(一)網絡設施、信息系統等對于本行業、本領域關鍵核心業務的(de)重要程度;(二)網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據洩露可(kě)能帶來的(de)危害程度;(三)對其他(tā)行業和(hé)領域的(de)關聯性影(yǐng)響。第十條 保護工作部門根據認定規則負責組織認定本行業、本領域的(de)關鍵信息基礎設施,及時将認定結果通(tōng)知運營者,并通(tōng)報國務院公安部門。第十一條 關鍵信息基礎設施發生較大(dà)變化(huà),可(kě)能影(yǐng)響其認定結果的(de),運營者應當及時将相關情況報告保護工作部門。保護工作部門自收到報告之日起3個月(yuè)内完成重新認定,将認定結果通(tōng)知運營者,并通(tōng)報國務院公安部門。第十二條 安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用(yòng)。第十三條 運營者應當建立健全網絡安全保護制度和(hé)責任制,保障人(rén)力、财力、物(wù)力投入。運營者的(de)主要負責人(rén)對關鍵信息基礎設施安全保護負總責,領導關鍵信息基礎設施安全保護和(hé)重大(dà)網絡安全事件處置工作,組織研究解決重大(dà)網絡安全問題。第十四條 運營者應當設置專門安全管理(lǐ)機構,并對專門安全管理(lǐ)機構負責人(rén)和(hé)關鍵崗位人(rén)員進行安全背景審查。審查時,公安機關、安全機關應當予以協助。第十五條 專門安全管理(lǐ)機構具體負責本單位的(de)關鍵信息基礎設施安全保護工作,履行下(xià)列職責:(一)建立健全網絡安全管理(lǐ)、評價考核制度,拟訂關鍵信息基礎設施安全保護計劃;(二)組織推動網絡安全防護能力建設,開展網絡安全監測、檢測和(hé)風險評估;(三)按照(zhào)及行業網絡安全事件應急預案,制定本單位應急預案,定期開展應急演練,處置網絡安全事件;(四)認定網絡安全關鍵崗位,組織開展網絡安全工作考核,提出獎勵和(hé)懲處建議;(六)履行個人(rén)信息和(hé)數據安全保護責任,建立健全個人(rén)信息和(hé)數據安全保護制度;(七)對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理(lǐ);(八)按照(zhào)規定報告網絡安全事件和(hé)重要事項。第十六條 運營者應當保障專門安全管理(lǐ)機構的(de)運行經費、配備相應的(de)人(rén)員,開展與網絡安全和(hé)信息化(huà)有關的(de)決策應當有專門安全管理(lǐ)機構人(rén)員參與。第十七條 運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和(hé)風險評估,對發現的(de)安全問題及時整改,并按照(zhào)保護工作部門要求報送情況。第十八條 關鍵信息基礎設施發生重大(dà)網絡安全事件或者發現重大(dà)網絡安全威脅時,運營者應當按照(zhào)有關規定向保護工作部門、公安機關報告。發生關鍵信息基礎設施整體中斷運行或者主要功能故障、基礎信息以及其他(tā)重要數據洩露、較大(dà)規模個人(rén)信息洩露、造成較大(dà)經濟損失、違法信息較大(dà)範圍傳播等特别重大(dà)網絡安全事件或者發現特别重大(dà)網絡安全威脅時,保護工作部門應當在收到報告後,及時向網信部門、國務院公安部門報告。第十九條 運營者應當優先采購安全可(kě)信的(de)網絡産品和(hé)服務;采購網絡産品和(hé)服務可(kě)能影(yǐng)響安全的(de),應當按照(zhào)網絡安全規定通(tōng)過安全審查。第二十條 運營者采購網絡産品和(hé)服務,應當按照(zhào)有關規定與網絡産品和(hé)服務提供者簽訂安全保密協議,明(míng)确提供者的(de)技術支持和(hé)安全保密義務與責任,并對義務與責任履行情況進行監督。第二十一條 運營者發生合并、分(fēn)立、解散等情況,應當及時報告保護工作部門,并按照(zhào)保護工作部門的(de)要求對關鍵信息基礎設施進行處置,确保安全。第二十二條 保護工作部門應當制定本行業、本領域關鍵信息基礎設施安全規劃,明(míng)确保護目标、基本要求、工作任務、具體措施。第二十三條 網信部門統籌協調有關部門建立網絡安全信息共享機制,及時彙總、研判、共享、發布網絡安全威脅、漏洞、事件等信息,促進有關部門、保護工作部門、運營者以及網絡安全服務機構等之間的(de)網絡安全信息共享。第二十四條 保護工作部門應當建立健全本行業、本領域的(de)關鍵信息基礎設施網絡安全監測預警制度,及時掌握本行業、本領域關鍵信息基礎設施運行狀況、安全态勢,預警通(tōng)報網絡安全威脅和(hé)隐患,指導做(zuò)好安全防範工作。第二十五條 保護工作部門應當按照(zhào)網絡安全事件應急預案的(de)要求,建立健全本行業、本領域的(de)網絡安全事件應急預案,定期組織應急演練;指導運營者做(zuò)好網絡安全事件應對處置,并根據需要組織提供技術支持與協助。第二十六條 保護工作部門應當定期組織開展本行業、本領域關鍵信息基礎設施網絡安全檢查檢測,指導監督運營者及時整改安全隐患、完善安全措施。第二十七條 網信部門統籌協調國務院公安部門、保護工作部門對關鍵信息基礎設施進行網絡安全檢查檢測,提出改進措施。有關部門在開展關鍵信息基礎設施網絡安全檢查時,應當加強協同配合、信息溝通(tōng),避免不必要的(de)檢查和(hé)交叉重複檢查。檢查工作不得(de)收取費用(yòng),不得(de)要求被檢查單位購買指定品牌或者指定生産、銷售單位的(de)産品和(hé)服務。第二十八條 運營者對保護工作部門開展的(de)關鍵信息基礎設施網絡安全檢查檢測工作,以及公安、安全、保密行政管理(lǐ)、密碼管理(lǐ)等有關部門依法開展的(de)關鍵信息基礎設施網絡安全檢查工作應當予以配合。第二十九條 在關鍵信息基礎設施安全保護工作中,網信部門和(hé)國務院電信主管部門、國務院公安部門等應當根據保護工作部門的(de)需要,及時提供技術支持和(hé)協助。第三十條 網信部門、公安機關、保護工作部門等有關部門,網絡安全服務機構及其工作人(rén)員對于在關鍵信息基礎設施安全保護工作中獲取的(de)信息,隻能用(yòng)于維護網絡安全,并嚴格按照(zhào)有關法律、行政法規的(de)要求确保信息安全,不得(de)洩露、出售或者非法向他(tā)人(rén)提供。第三十一條 未經網信部門、國務院公安部門批準或者保護工作部門、運營者授權,任何個人(rén)和(hé)組織不得(de)對關鍵信息基礎設施實施漏洞探測、滲透性測試等可(kě)能影(yǐng)響或者危害關鍵信息基礎設施安全的(de)活動。對基礎電信網絡實施漏洞探測、滲透性測試等活動,應當事先向國務院電信主管部門報告。第三十二條 采取措施,優先保障能源、電信等關鍵信息基礎設施安全運行。能源、電信行業應當采取措施,爲其他(tā)行業和(hé)領域的(de)關鍵信息基礎設施安全運行提供重點保障。第三十三條 公安機關、安全機關依據各自職責依法加強關鍵信息基礎設施安全保衛,防範打擊針對和(hé)利用(yòng)關鍵信息基礎設施實施的(de)違法犯罪活動。第三十四條 制定和(hé)完善關鍵信息基礎設施安全标準,指導、規範關鍵信息基礎設施安全保護工作。第三十五條 采取措施,鼓勵網絡安全專門人(rén)才從事關鍵信息基礎設施安全保護工作;将運營者安全管理(lǐ)人(rén)員、安全技術人(rén)員培訓納入繼續教育體系。第三十六條 支持關鍵信息基礎設施安全防護技術創新和(hé)産業發展,組織力量實施關鍵信息基礎設施安全技術攻關。第三十七條 加強網絡安全服務機構建設和(hé)管理(lǐ),制定管理(lǐ)要求并加強監督指導,不斷提升服務機構能力水(shuǐ)平,充分(fēn)發揮其在關鍵信息基礎設施安全保護中的(de)作用(yòng)。第三十八條 加強網絡安全軍民融合,軍地協同保護關鍵信息基礎設施安全。第三十九條 運營者有下(xià)列情形之一的(de),由有關主管部門依據職責責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的(de),處10萬元以上100萬元以下(xià)罰款,對直接負責的(de)主管人(rén)員處1萬元以上10萬元以下(xià)罰款:(一)在關鍵信息基礎設施發生較大(dà)變化(huà),可(kě)能影(yǐng)響其認定結果時未及時将相關情況報告保護工作部門的(de);(二)安全保護措施未與關鍵信息基礎設施同步規劃、同步建設、同步使用(yòng)的(de);(三)未建立健全網絡安全保護制度和(hé)責任制的(de);(五)未對專門安全管理(lǐ)機構負責人(rén)和(hé)關鍵崗位人(rén)員進行安全背景審查的(de);(六)開展與網絡安全和(hé)信息化(huà)有關的(de)決策沒有專門安全管理(lǐ)機構人(rén)員參與的(de);(七)專門安全管理(lǐ)機構未履行本條例第十五條規定的(de)職責的(de);(八)未對關鍵信息基礎設施每年至少進行一次網絡安全檢測和(hé)風險評估,未對發現的(de)安全問題及時整改,或者未按照(zhào)保護工作部門要求報送情況的(de);(九)采購網絡産品和(hé)服務,未按照(zhào)有關規定與網絡産品和(hé)服務提供者簽訂安全保密協議的(de);(十)發生合并、分(fēn)立、解散等情況,未及時報告保護工作部門,或者未按照(zhào)保護工作部門的(de)要求對關鍵信息基礎設施進行處置的(de)。第四十條 運營者在關鍵信息基礎設施發生重大(dà)網絡安全事件或者發現重大(dà)網絡安全威脅時,未按照(zhào)有關規定向保護工作部門、公安機關報告的(de),由保護工作部門、公安機關依據職責責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的(de),處10萬元以上100萬元以下(xià)罰款,對直接負責的(de)主管人(rén)員處1萬元以上10萬元以下(xià)罰款。第四十一條 運營者采購可(kě)能影(yǐng)響安全的(de)網絡産品和(hé)服務,未按照(zhào)網絡安全規定進行安全審查的(de),由網信部門等有關主管部門依據職責責令改正,處采購金額1倍以上10倍以下(xià)罰款,對直接負責的(de)主管人(rén)員和(hé)其他(tā)直接責任人(rén)員處1萬元以上10萬元以下(xià)罰款。第四十二條 運營者對保護工作部門開展的(de)關鍵信息基礎設施網絡安全檢查檢測工作,以及公安、安全、保密行政管理(lǐ)、密碼管理(lǐ)等有關部門依法開展的(de)關鍵信息基礎設施網絡安全檢查工作不予配合的(de),由有關主管部門責令改正;拒不改正的(de),處5萬元以上50萬元以下(xià)罰款,對直接負責的(de)主管人(rén)員和(hé)其他(tā)直接責任人(rén)員處1萬元以上10萬元以下(xià)罰款;情節嚴重的(de),依法追究相應法律責任。第四十三條 實施非法侵入、幹擾、破壞關鍵信息基礎設施,危害其安全的(de)活動尚不構成犯罪的(de),依照(zhào)《中華人(rén)民共和(hé)國網絡安全法》有關規定,由公安機關沒收違法所得(de),處5日以下(xià)拘留,可(kě)以并處5萬元以上50萬元以下(xià)罰款;情節較重的(de),處5日以上15日以下(xià)拘留,可(kě)以并處10萬元以上100萬元以下(xià)罰款。單位有前款行爲的(de),由公安機關沒收違法所得(de),處10萬元以上100萬元以下(xià)罰款,并對直接負責的(de)主管人(rén)員和(hé)其他(tā)直接責任人(rén)員依照(zhào)前款規定處罰。違反本條例第五條第二款和(hé)第三十一條規定,受到治安管理(lǐ)處罰的(de)人(rén)員,5年内不得(de)從事網絡安全管理(lǐ)和(hé)網絡運營關鍵崗位的(de)工作;受到刑事處罰的(de)人(rén)員,終身不得(de)從事網絡安全管理(lǐ)和(hé)網絡運營關鍵崗位的(de)工作。第四十四條 網信部門、公安機關、保護工作部門和(hé)其他(tā)有關部門及其工作人(rén)員未履行關鍵信息基礎設施安全保護和(hé)監督管理(lǐ)職責或者玩忽職守、濫用(yòng)職權、徇私舞弊的(de),依法對直接負責的(de)主管人(rén)員和(hé)其他(tā)直接責任人(rén)員給予處分(fēn)。第四十五條 公安機關、保護工作部門和(hé)其他(tā)有關部門在開展關鍵信息基礎設施網絡安全檢查工作中收取費用(yòng),或者要求被檢查單位購買指定品牌或者指定生産、銷售單位的(de)産品和(hé)服務的(de),由其上級機關責令改正,退還收取的(de)費用(yòng);情節嚴重的(de),依法對直接負責的(de)主管人(rén)員和(hé)其他(tā)直接責任人(rén)員給予處分(fēn)。第四十六條 網信部門、公安機關、保護工作部門等有關部門、網絡安全服務機構及其工作人(rén)員将在關鍵信息基礎設施安全保護工作中獲取的(de)信息用(yòng)于其他(tā)用(yòng)途,或者洩露、出售、非法向他(tā)人(rén)提供的(de),依法對直接負責的(de)主管人(rén)員和(hé)其他(tā)直接責任人(rén)員給予處分(fēn)。第四十七條 關鍵信息基礎設施發生重大(dà)和(hé)特别重大(dà)網絡安全事件,經調查确定爲責任事故的(de),除應當查明(míng)運營者責任并依法予以追究外,還應查明(míng)相關網絡安全服務機構及有關部門的(de)責任,對有失職、渎職及其他(tā)違法行爲的(de),依法追究責任。第四十八條 電子政務關鍵信息基礎設施的(de)運營者不履行本條例規定的(de)網絡安全保護義務的(de),依照(zhào)《中華人(rén)民共和(hé)國網絡安全法》有關規定予以處理(lǐ)。第四十九條 違反本條例規定,給他(tā)人(rén)造成損害的(de),依法承擔民事責任。違反本條例規定,構成違反治安管理(lǐ)行爲的(de),依法給予治安管理(lǐ)處罰;構成犯罪的(de),依法追究刑事責任。
第六章(zhāng) 附則
第五十條 存儲、處理(lǐ)涉及秘密信息的(de)關鍵信息基礎設施的(de)安全保護,還應當遵守保密法律、行政法規的(de)規定。關鍵信息基礎設施中的(de)密碼使用(yòng)和(hé)管理(lǐ),還應當遵守相關法律、行政法規的(de)規定。第五十一條 本條例自2021年9月(yuè)1日起施行。
客服1 
客服2