中華人民共和(hé)國國務院令
第745号
《關鍵信息基礎設施安全保護條例》已經2021年4月27日國務院第133次常務會(huì)議(yì)通過,現(xiàn)予公布,自(zì)2021年9月1日起施行。
總理(lǐ) 李克強
2021年7月30日
地址:http://www.gov.cn/zhengce/content/2021-08/17/content_5631671.htm
關鍵信息基礎設施安全保護條例
第一章 總 則
第一條 爲了(le)保障關鍵信息基礎設施安全,維護網絡安全,根據《中華人民共和(hé)國網絡安全法》,制定本條例。
第二條 本條例所稱關鍵信息基礎設施,是指公共通信和(hé)信息服務、能(néng)源、交通、水(shuǐ)利、金(jīn)融、公共服務、電子政務、國防科技工(gōng)業等重要行業和(hé)領域的,以及其他(tā)一旦遭到(dào)破壞、喪失功能(néng)或者數據洩露,可能(néng)嚴重危害國家安全、國計(jì)民生、公共利益的重要網絡設施、信息系統等。
第三條 在國家網信部門(mén)統籌協調下(xià),國務院公安部門(mén)負責指導監督關鍵信息基礎設施安全保護工(gōng)作(zuò)。國務院電信主管部門(mén)和(hé)其他(tā)有關部門(mén)依照本條例和(hé)有關法律、行政法規的規定,在各自(zì)職責範圍内負責關鍵信息基礎設施安全保護和(hé)監督管理(lǐ)工(gōng)作(zuò)。
省級人民政府有關部門(mén)依據各自(zì)職責對(duì)關鍵信息基礎設施實施安全保護和(hé)監督管理(lǐ)。
第四條 關鍵信息基礎設施安全保護堅持綜合協調、分工(gōng)負責、依法保護,強化和(hé)落實關鍵信息基礎設施運營者(以下(xià)簡稱運營者)主體責任,充分發揮政府及社會(huì)各方面的作(zuò)用(yòng),共同保護關鍵信息基礎設施安全。
第五條 國家對(duì)關鍵信息基礎設施實行重點保護,采取措施,監測、防禦、處置來(lái)源于中華人民共和(hé)國境内外(wài)的網絡安全風(fēng)險和(hé)威脅,保護關鍵信息基礎設施免受攻擊、侵入、幹擾和(hé)破壞,依法懲治危害關鍵信息基礎設施安全的違法犯罪活動。
任何個人和(hé)組織不得實施非法侵入、幹擾、破壞關鍵信息基礎設施的活動,不得危害關鍵信息基礎設施安全。
第六條 運營者依照本條例和(hé)有關法律、行政法規的規定以及國家标準的強制性要求,在網絡安全等級保護的基礎上(shàng),采取技術保護措施和(hé)其他(tā)必要措施,應對(duì)網絡安全事(shì)件,防範網絡攻擊和(hé)違法犯罪活動,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和(hé)可用(yòng)性。
第七條 對(duì)在關鍵信息基礎設施安全保護工(gōng)作(zuò)中取得顯著成績或者作(zuò)出突出貢獻的單位和(hé)個人,按照國家有關規定給予表彰。
第二章 關鍵信息基礎設施認定
第八條 本條例第二條涉及的重要行業和(hé)領域的主管部門(mén)、監督管理(lǐ)部門(mén)是負責關鍵信息基礎設施安全保護工(gōng)作(zuò)的部門(mén)(以下(xià)簡稱保護工(gōng)作(zuò)部門(mén))。
第九條 保護工(gōng)作(zuò)部門(mén)結合本行業、本領域實際,制定關鍵信息基礎設施認定規則,并報(bào)國務院公安部門(mén)備案。
制定認定規則應當主要考慮下(xià)列因素:
(一)網絡設施、信息系統等對(duì)于本行業、本領域關鍵核心業務的重要程度;
(二)網絡設施、信息系統等一旦遭到(dào)破壞、喪失功能(néng)或者數據洩露可能(néng)帶來(lái)的危害程度;
(三)對(duì)其他(tā)行業和(hé)領域的關聯性影響。
第十條 保護工(gōng)作(zuò)部門(mén)根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施,及時(shí)将認定結果通知(zhī)運營者,并通報(bào)國務院公安部門(mén)。
第十一條 關鍵信息基礎設施發生較大(dà)變化,可能(néng)影響其認定結果的,運營者應當及時(shí)将相關情況報(bào)告保護工(gōng)作(zuò)部門(mén)。保護工(gōng)作(zuò)部門(mén)自(zì)收到(dào)報(bào)告之日起3個月内完成重新認定,将認定結果通知(zhī)運營者,并通報(bào)國務院公安部門(mén)。
第三章 運營者責任義務
第十二條 安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用(yòng)。
第十三條 運營者應當建立健全網絡安全保護制度和(hé)責任制,保障人力、财力、物力投入。運營者的主要負責人對(duì)關鍵信息基礎設施安全保護負總責,領導關鍵信息基礎設施安全保護和(hé)重大(dà)網絡安全事(shì)件處置工(gōng)作(zuò),組織研究解決重大(dà)網絡安全問題。
第十四條 運營者應當設置專門(mén)安全管理(lǐ)機構,并對(duì)專門(mén)安全管理(lǐ)機構負責人和(hé)關鍵崗位人員進行安全背景審查。審查時(shí),公安機關、國家安全機關應當予以協助。
第十五條 專門(mén)安全管理(lǐ)機構具體負責本單位的關鍵信息基礎設施安全保護工(gōng)作(zuò),履行下(xià)列職責:
(一)建立健全網絡安全管理(lǐ)、評價考核制度,拟訂關鍵信息基礎設施安全保護計(jì)劃;
(二)組織推動網絡安全防護能(néng)力建設,開(kāi)展網絡安全監測、檢測和(hé)風(fēng)險評估;
(三)按照國家及行業網絡安全事(shì)件應急預案,制定本單位應急預案,定期開(kāi)展應急演練,處置網絡安全事(shì)件;
(四)認定網絡安全關鍵崗位,組織開(kāi)展網絡安全工(gōng)作(zuò)考核,提出獎勵和(hé)懲處建議(yì);
(五)組織網絡安全教育、培訓;
(六)履行個人信息和(hé)數據安全保護責任,建立健全個人信息和(hé)數據安全保護制度;
(七)對(duì)關鍵信息基礎設施設計(jì)、建設、運行、維護等服務實施安全管理(lǐ);
(八)按照規定報(bào)告網絡安全事(shì)件和(hé)重要事(shì)項。
第十六條 運營者應當保障專門(mén)安全管理(lǐ)機構的運行經費、配備相應的人員,開(kāi)展與網絡安全和(hé)信息化有關的決策應當有專門(mén)安全管理(lǐ)機構人員參與。
第十七條 運營者應當自(zì)行或者委托網絡安全服務機構對(duì)關鍵信息基礎設施每年至少進行一次網絡安全檢測和(hé)風(fēng)險評估,對(duì)發現(xiàn)的安全問題及時(shí)整改,并按照保護工(gōng)作(zuò)部門(mén)要求報(bào)送情況。
第十八條 關鍵信息基礎設施發生重大(dà)網絡安全事(shì)件或者發現(xiàn)重大(dà)網絡安全威脅時(shí),運營者應當按照有關規定向保護工(gōng)作(zuò)部門(mén)、公安機關報(bào)告。
發生關鍵信息基礎設施整體中斷運行或者主要功能(néng)故障、國家基礎信息以及其他(tā)重要數據洩露、較大(dà)規模個人信息洩露、造成較大(dà)經濟損失、違法信息較大(dà)範圍傳播等特别重大(dà)網絡安全事(shì)件或者發現(xiàn)特别重大(dà)網絡安全威脅時(shí),保護工(gōng)作(zuò)部門(mén)應當在收到(dào)報(bào)告後,及時(shí)向國家網信部門(mén)、國務院公安部門(mén)報(bào)告。
第十九條 運營者應當優先采購安全可信的網絡産品和(hé)服務;采購網絡産品和(hé)服務可能(néng)影響國家安全的,應當按照國家網絡安全規定通過安全審查。
第二十條 運營者采購網絡産品和(hé)服務,應當按照國家有關規定與網絡産品和(hé)服務提供者簽訂安全保密協議(yì),明(míng)确提供者的技術支持和(hé)安全保密義務與責任,并對(duì)義務與責任履行情況進行監督。
第二十一條 運營者發生合并、分立、解散等情況,應當及時(shí)報(bào)告保護工(gōng)作(zuò)部門(mén),并按照保護工(gōng)作(zuò)部門(mén)的要求對(duì)關鍵信息基礎設施進行處置,确保安全。
第四章 保障和(hé)促進
第二十二條 保護工(gōng)作(zuò)部門(mén)應當制定本行業、本領域關鍵信息基礎設施安全規劃,明(míng)确保護目标、基本要求、工(gōng)作(zuò)任務、具體措施。
第二十三條 國家網信部門(mén)統籌協調有關部門(mén)建立網絡安全信息共享機制,及時(shí)彙總、研判、共享、發布網絡安全威脅、漏洞、事(shì)件等信息,促進有關部門(mén)、保護工(gōng)作(zuò)部門(mén)、運營者以及網絡安全服務機構等之間的網絡安全信息共享。
第二十四條 保護工(gōng)作(zuò)部門(mén)應當建立健全本行業、本領域的關鍵信息基礎設施網絡安全監測預警制度,及時(shí)掌握本行業、本領域關鍵信息基礎設施運行狀況、安全态勢,預警通報(bào)網絡安全威脅和(hé)隐患,指導做好(hǎo)安全防範工(gōng)作(zuò)。
第二十五條 保護工(gōng)作(zuò)部門(mén)應當按照國家網絡安全事(shì)件應急預案的要求,建立健全本行業、本領域的網絡安全事(shì)件應急預案,定期組織應急演練;指導運營者做好(hǎo)網絡安全事(shì)件應對(duì)處置,并根據需要組織提供技術支持與協助。
第二十六條 保護工(gōng)作(zuò)部門(mén)應當定期組織開(kāi)展本行業、本領域關鍵信息基礎設施網絡安全檢查檢測,指導監督運營者及時(shí)整改安全隐患、完善安全措施。
第二十七條 國家網信部門(mén)統籌協調國務院公安部門(mén)、保護工(gōng)作(zuò)部門(mén)對(duì)關鍵信息基礎設施進行網絡安全檢查檢測,提出改進措施。
有關部門(mén)在開(kāi)展關鍵信息基礎設施網絡安全檢查時(shí),應當加強協同配合、信息溝通,避免不必要的檢查和(hé)交叉重複檢查。檢查工(gōng)作(zuò)不得收取費用(yòng),不得要求被檢查單位購買指定品牌或者指定生産、銷售單位的産品和(hé)服務。
第二十八條 運營者對(duì)保護工(gōng)作(zuò)部門(mén)開(kāi)展的關鍵信息基礎設施網絡安全檢查檢測工(gōng)作(zuò),以及公安、國家安全、保密行政管理(lǐ)、密碼管理(lǐ)等有關部門(mén)依法開(kāi)展的關鍵信息基礎設施網絡安全檢查工(gōng)作(zuò)應當予以配合。
第二十九條 在關鍵信息基礎設施安全保護工(gōng)作(zuò)中,國家網信部門(mén)和(hé)國務院電信主管部門(mén)、國務院公安部門(mén)等應當根據保護工(gōng)作(zuò)部門(mén)的需要,及時(shí)提供技術支持和(hé)協助。
第三十條 網信部門(mén)、公安機關、保護工(gōng)作(zuò)部門(mén)等有關部門(mén),網絡安全服務機構及其工(gōng)作(zuò)人員對(duì)于在關鍵信息基礎設施安全保護工(gōng)作(zuò)中獲取的信息,隻能(néng)用(yòng)于維護網絡安全,并嚴格按照有關法律、行政法規的要求确保信息安全,不得洩露、出售或者非法向他(tā)人提供。
第三十一條 未經國家網信部門(mén)、國務院公安部門(mén)批準或者保護工(gōng)作(zuò)部門(mén)、運營者授權,任何個人和(hé)組織不得對(duì)關鍵信息基礎設施實施漏洞探測、滲透性測試等可能(néng)影響或者危害關鍵信息基礎設施安全的活動。對(duì)基礎電信網絡實施漏洞探測、滲透性測試等活動,應當事(shì)先向國務院電信主管部門(mén)報(bào)告。
第三十二條 國家采取措施,優先保障能(néng)源、電信等關鍵信息基礎設施安全運行。
能(néng)源、電信行業應當采取措施,爲其他(tā)行業和(hé)領域的關鍵信息基礎設施安全運行提供重點保障。
第三十三條 公安機關、國家安全機關依據各自(zì)職責依法加強關鍵信息基礎設施安全保衛,防範打擊針對(duì)和(hé)利用(yòng)關鍵信息基礎設施實施的違法犯罪活動。
第三十四條 國家制定和(hé)完善關鍵信息基礎設施安全标準,指導、規範關鍵信息基礎設施安全保護工(gōng)作(zuò)。
第三十五條 國家采取措施,鼓勵網絡安全專門(mén)人才從(cóng)事(shì)關鍵信息基礎設施安全保護工(gōng)作(zuò);将運營者安全管理(lǐ)人員、安全技術人員培訓納入國家繼續教育體系。
第三十六條 國家支持關鍵信息基礎設施安全防護技術創新和(hé)産業發展,組織力量實施關鍵信息基礎設施安全技術攻關。
第三十七條 國家加強網絡安全服務機構建設和(hé)管理(lǐ),制定管理(lǐ)要求并加強監督指導,不斷提升服務機構能(néng)力水(shuǐ)平,充分發揮其在關鍵信息基礎設施安全保護中的作(zuò)用(yòng)。
第三十八條 國家加強網絡安全軍民融合,軍地協同保護關鍵信息基礎設施安全。
第五章 法律責任
第三十九條 運營者有下(xià)列情形之一的,由有關主管部門(mén)依據職責責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的,處10萬元以上(shàng)100萬元以下(xià)罰款,對(duì)直接負責的主管人員處1萬元以上(shàng)10萬元以下(xià)罰款:
(一)在關鍵信息基礎設施發生較大(dà)變化,可能(néng)影響其認定結果時(shí)未及時(shí)将相關情況報(bào)告保護工(gōng)作(zuò)部門(mén)的;
(二)安全保護措施未與關鍵信息基礎設施同步規劃、同步建設、同步使用(yòng)的;
(三)未建立健全網絡安全保護制度和(hé)責任制的;
(四)未設置專門(mén)安全管理(lǐ)機構的;
(五)未對(duì)專門(mén)安全管理(lǐ)機構負責人和(hé)關鍵崗位人員進行安全背景審查的;
(六)開(kāi)展與網絡安全和(hé)信息化有關的決策沒有專門(mén)安全管理(lǐ)機構人員參與的;
(七)專門(mén)安全管理(lǐ)機構未履行本條例第十五條規定的職責的;
(八)未對(duì)關鍵信息基礎設施每年至少進行一次網絡安全檢測和(hé)風(fēng)險評估,未對(duì)發現(xiàn)的安全問題及時(shí)整改,或者未按照保護工(gōng)作(zuò)部門(mén)要求報(bào)送情況的;
(九)采購網絡産品和(hé)服務,未按照國家有關規定與網絡産品和(hé)服務提供者簽訂安全保密協議(yì)的;
(十)發生合并、分立、解散等情況,未及時(shí)報(bào)告保護工(gōng)作(zuò)部門(mén),或者未按照保護工(gōng)作(zuò)部門(mén)的要求對(duì)關鍵信息基礎設施進行處置的。
第四十條 運營者在關鍵信息基礎設施發生重大(dà)網絡安全事(shì)件或者發現(xiàn)重大(dà)網絡安全威脅時(shí),未按照有關規定向保護工(gōng)作(zuò)部門(mén)、公安機關報(bào)告的,由保護工(gōng)作(zuò)部門(mén)、公安機關依據職責責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的,處10萬元以上(shàng)100萬元以下(xià)罰款,對(duì)直接負責的主管人員處1萬元以上(shàng)10萬元以下(xià)罰款。
第四十一條 運營者采購可能(néng)影響國家安全的網絡産品和(hé)服務,未按照國家網絡安全規定進行安全審查的,由國家網信部門(mén)等有關主管部門(mén)依據職責責令改正,處采購金(jīn)額1倍以上(shàng)10倍以下(xià)罰款,對(duì)直接負責的主管人員和(hé)其他(tā)直接責任人員處1萬元以上(shàng)10萬元以下(xià)罰款。
第四十二條 運營者對(duì)保護工(gōng)作(zuò)部門(mén)開(kāi)展的關鍵信息基礎設施網絡安全檢查檢測工(gōng)作(zuò),以及公安、國家安全、保密行政管理(lǐ)、密碼管理(lǐ)等有關部門(mén)依法開(kāi)展的關鍵信息基礎設施網絡安全檢查工(gōng)作(zuò)不予配合的,由有關主管部門(mén)責令改正;拒不改正的,處5萬元以上(shàng)50萬元以下(xià)罰款,對(duì)直接負責的主管人員和(hé)其他(tā)直接責任人員處1萬元以上(shàng)10萬元以下(xià)罰款;情節嚴重的,依法追究相應法律責任。
第四十三條 實施非法侵入、幹擾、破壞關鍵信息基礎設施,危害其安全的活動尚不構成犯罪的,依照《中華人民共和(hé)國網絡安全法》有關規定,由公安機關沒收違法所得,處5日以下(xià)拘留,可以并處5萬元以上(shàng)50萬元以下(xià)罰款;情節較重的,處5日以上(shàng)15日以下(xià)拘留,可以并處10萬元以上(shàng)100萬元以下(xià)罰款。
單位有前款行爲的,由公安機關沒收違法所得,處10萬元以上(shàng)100萬元以下(xià)罰款,并對(duì)直接負責的主管人員和(hé)其他(tā)直接責任人員依照前款規定處罰。
違反本條例第五條第二款和(hé)第三十一條規定,受到(dào)治安管理(lǐ)處罰的人員,5年内不得從(cóng)事(shì)網絡安全管理(lǐ)和(hé)網絡運營關鍵崗位的工(gōng)作(zuò);受到(dào)刑事(shì)處罰的人員,終身不得從(cóng)事(shì)網絡安全管理(lǐ)和(hé)網絡運營關鍵崗位的工(gōng)作(zuò)。
第四十四條 網信部門(mén)、公安機關、保護工(gōng)作(zuò)部門(mén)和(hé)其他(tā)有關部門(mén)及其工(gōng)作(zuò)人員未履行關鍵信息基礎設施安全保護和(hé)監督管理(lǐ)職責或者玩(wán)忽職守、濫用(yòng)職權、徇私舞弊的,依法對(duì)直接負責的主管人員和(hé)其他(tā)直接責任人員給予處分。
第四十五條 公安機關、保護工(gōng)作(zuò)部門(mén)和(hé)其他(tā)有關部門(mén)在開(kāi)展關鍵信息基礎設施網絡安全檢查工(gōng)作(zuò)中收取費用(yòng),或者要求被檢查單位購買指定品牌或者指定生産、銷售單位的産品和(hé)服務的,由其上(shàng)級機關責令改正,退還收取的費用(yòng);情節嚴重的,依法對(duì)直接負責的主管人員和(hé)其他(tā)直接責任人員給予處分。
第四十六條 網信部門(mén)、公安機關、保護工(gōng)作(zuò)部門(mén)等有關部門(mén)、網絡安全服務機構及其工(gōng)作(zuò)人員将在關鍵信息基礎設施安全保護工(gōng)作(zuò)中獲取的信息用(yòng)于其他(tā)用(yòng)途,或者洩露、出售、非法向他(tā)人提供的,依法對(duì)直接負責的主管人員和(hé)其他(tā)直接責任人員給予處分。
第四十七條 關鍵信息基礎設施發生重大(dà)和(hé)特别重大(dà)網絡安全事(shì)件,經調查确定爲責任事(shì)故的,除應當查明(míng)運營者責任并依法予以追究外(wài),還應查明(míng)相關網絡安全服務機構及有關部門(mén)的責任,對(duì)有失職、渎職及其他(tā)違法行爲的,依法追究責任。
第四十八條 電子政務關鍵信息基礎設施的運營者不履行本條例規定的網絡安全保護義務的,依照《中華人民共和(hé)國網絡安全法》有關規定予以處理(lǐ)。
第四十九條 違反本條例規定,給他(tā)人造成損害的,依法承擔民事(shì)責任。
違反本條例規定,構成違反治安管理(lǐ)行爲的,依法給予治安管理(lǐ)處罰;構成犯罪的,依法追究刑事(shì)責任。
第六章 附 則
第五十條 存儲、處理(lǐ)涉及國家秘密信息的關鍵信息基礎設施的安全保護,還應當遵守保密法律、行政法規的規定。
關鍵信息基礎設施中的密碼使用(yòng)和(hé)管理(lǐ),還應當遵守相關法律、行政法規的規定。
第五十一條 本條例自(zì)2021年9月1日起施行。