翼城旭日辉煌网络科技工作室

中華人民共和國國務院令

第745号

《關鍵信息基礎設施安全保護條例》已經2021年(nián)4月27日國務院第133次常務會(huì)議通過(guò)，現予公布，自(zì)2021年(nián)9月1日起施行(háng / xíng)。

總理李克強

2021年(nián)7月30日

關鍵信息基礎設施安全保護條例

第一章　總則

第一條　爲了保障關鍵信息基礎設施安全，維護網絡安全，根據《中華人民共和國網絡安全法》，制定本條例。

第二條　本條例所(suǒ)稱關鍵信息基礎設施，是指公共通信和信息服務、能(néng)源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要(yào / yāo)行(háng / xíng)業和領域的，以及其(qí)他一旦遭到破壞、喪失功能(néng)或者數據洩露，可(kě)能(néng)嚴重危害國家(jiā)安全、國計民生(shēng)、公共利益的重要(yào / yāo)網絡設施、信息系統等。

第三條　在國家(jiā)網信部門統籌協調下(xià)，國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作。國務院電信主管部門和其(qí)他有關部門依照本條例和有關法律、行(háng / xíng)政法規的規定，在各自(zì)職責範圍内負責關鍵信息基礎設施安全保護和監督管理工作。

省級人民政府有關部門依據各自(zì)職責對(duì)關鍵信息基礎設施實施安全保護和監督管理。

第四條　關鍵信息基礎設施安全保護堅持綜合協調、分工負責、依法保護，強化和落實關鍵信息基礎設施運營者（以下(xià)簡稱運營者）主體責任，充分發(fā／fà)揮政府及社會(huì)各方面的作用(yòng)，共同保護關鍵信息基礎設施安全。

第五條　國家(jiā)對(duì)關鍵信息基礎設施實行(háng / xíng)重點保護，采取措施，監測、防禦、處置來源于(yú)中華人民共和國境内外的網絡安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、幹擾和破壞，依法懲治危害關鍵信息基礎設施安全的違法犯罪活動。

任何個人和組織不得(dé / de / děi)實施非法侵入、幹擾、破壞關鍵信息基礎設施的活動，不得(dé / de / děi)危害關鍵信息基礎設施安全。

第六條　運營者依照本條例和有關法律、行(háng / xíng)政法規的規定以及國家(jiā)标準的強制性要(yào / yāo)求，在網絡安全等級保護的基礎上，采取技術保護措施和其(qí)他必要(yào / yāo)措施，應對(duì)網絡安全事(shì)件，防範網絡攻擊和違法犯罪活動，保障關鍵信息基礎設施安全穩定運行(háng / xíng)，維護數據的完整性、保密性和可(kě)用(yòng)性。

第七條　對(duì)在關鍵信息基礎設施安全保護工作中取得(dé / de / děi)顯著成績或者作出突出貢獻的單位和個人，按照國家(jiā)有關規定給予表彰。

第二章　關鍵信息基礎設施認定

第八條　本條例第二條涉及的重要(yào / yāo)行(háng / xíng)業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門（以下(xià)簡稱保護工作部門）。

第九條　保護工作部門結合本行(háng / xíng)業、本領域實際，制定關鍵信息基礎設施認定規則，并報國務院公安部門備案。

制定認定規則應當主要(yào / yāo)考慮下(xià)列因素：

（一）網絡設施、信息系統等對(duì)于(yú)本行(háng / xíng)業、本領域關鍵核心業務的重要(yào / yāo)程度；

（二）網絡設施、信息系統等一旦遭到破壞、喪失功能(néng)或者數據洩露可(kě)能(néng)帶來的危害程度；

（三）對(duì)其(qí)他行(háng / xíng)業和領域的關聯性影響。

第十(shí)條　保護工作部門根據認定規則負責組織認定本行(háng / xíng)業、本領域的關鍵信息基礎設施，及時将認定結果通知運營者，并通報國務院公安部門。

第十(shí)一條　關鍵信息基礎設施發(fā／fà)生(shēng)較大變化，可(kě)能(néng)影響其(qí)認定結果的，運營者應當及時将相關情況報告保護工作部門。保護工作部門自(zì)收到報告之日起3個月内完成重新認定，将認定結果通知運營者，并通報國務院公安部門。

第三章　運營者責任義務

第十(shí)二條　安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用(yòng)。

第十(shí)三條　運營者應當建立健全網絡安全保護制度和責任制，保障人力、财力、物力投入。運營者的主要(yào / yāo)負責人對(duì)關鍵信息基礎設施安全保護負總責，領導關鍵信息基礎設施安全保護和重大網絡安全事(shì)件處置工作，組織研究解決重大網絡安全問題。

第十(shí)四條　運營者應當設置專門安全管理機構，并對(duì)專門安全管理機構負責人和關鍵崗位人員進行(háng / xíng)安全背景審查。審查時，公安機關、國家(jiā)安全機關應當予以協助。

第十(shí)五條　專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作，履行(háng / xíng)下(xià)列職責：

（一）建立健全網絡安全管理、評價考核制度，拟訂關鍵信息基礎設施安全保護計劃；

（二）組織推動網絡安全防護能(néng)力建設，開展網絡安全監測、檢測和風險評估；

（三）按照國家(jiā)及行(háng / xíng)業網絡安全事(shì)件應急預案，制定本單位應急預案，定期開展應急演練，處置網絡安全事(shì)件；

（四）認定網絡安全關鍵崗位，組織開展網絡安全工作考核，提出獎勵和懲處建議；

（五）組織網絡安全教育、培訓；

（六）履行(háng / xíng)個人信息和數據安全保護責任，建立健全個人信息和數據安全保護制度；

（七）對(duì)關鍵信息基礎設施設計、建設、運行(háng / xíng)、維護等服務實施安全管理；

（八）按照規定報告網絡安全事(shì)件和重要(yào / yāo)事(shì)項。

第十(shí)六條　運營者應當保障專門安全管理機構的運行(háng / xíng)經費、配備相應的人員，開展與網絡安全和信息化有關的決策應當有專門安全管理機構人員參與。

第十(shí)七條　運營者應當自(zì)行(háng / xíng)或者委托網絡安全服務機構對(duì)關鍵信息基礎設施每年(nián)至少進行(háng / xíng)一次網絡安全檢測和風險評估，對(duì)發(fā／fà)現的安全問題及時整改，并按照保護工作部門要(yào / yāo)求報送情況。

第十(shí)八條　關鍵信息基礎設施發(fā／fà)生(shēng)重大網絡安全事(shì)件或者發(fā／fà)現重大網絡安全威脅時，運營者應當按照有關規定向保護工作部門、公安機關報告。

發(fā／fà)生(shēng)關鍵信息基礎設施整體中斷運行(háng / xíng)或者主要(yào / yāo)功能(néng)故障、國家(jiā)基礎信息以及其(qí)他重要(yào / yāo)數據洩露、較大規模個人信息洩露、造成較大經濟損失、違法信息較大範圍傳播等特别重大網絡安全事(shì)件或者發(fā／fà)現特别重大網絡安全威脅時，保護工作部門應當在收到報告後(hòu)，及時向國家(jiā)網信部門、國務院公安部門報告。

第十(shí)九條　運營者應當優先采購安全可(kě)信的網絡産品和服務；采購網絡産品和服務可(kě)能(néng)影響國家(jiā)安全的，應當按照國家(jiā)網絡安全規定通過(guò)安全審查。

第二十(shí)條　運營者采購網絡産品和服務，應當按照國家(jiā)有關規定與網絡産品和服務提供者簽訂安全保密協議，明确提供者的技術支持和安全保密義務與責任，并對(duì)義務與責任履行(háng / xíng)情況進行(háng / xíng)監督。

第二十(shí)一條　運營者發(fā／fà)生(shēng)合并、分立、解散等情況，應當及時報告保護工作部門，并按照保護工作部門的要(yào / yāo)求對(duì)關鍵信息基礎設施進行(háng / xíng)處置，确保安全。

第四章　保障和促進

第二十(shí)二條　保護工作部門應當制定本行(háng / xíng)業、本領域關鍵信息基礎設施安全規劃，明确保護目标、基本要(yào / yāo)求、工作任務、具體措施。

第二十(shí)三條　國家(jiā)網信部門統籌協調有關部門建立網絡安全信息共享機制，及時彙總、研判、共享、發(fā／fà)布網絡安全威脅、漏洞、事(shì)件等信息，促進有關部門、保護工作部門、運營者以及網絡安全服務機構等之間的網絡安全信息共享。

第二十(shí)四條　保護工作部門應當建立健全本行(háng / xíng)業、本領域的關鍵信息基礎設施網絡安全監測預警制度，及時掌握本行(háng / xíng)業、本領域關鍵信息基礎設施運行(háng / xíng)狀況、安全态勢，預警通報網絡安全威脅和隐患，指導做好安全防範工作。

第二十(shí)五條　保護工作部門應當按照國家(jiā)網絡安全事(shì)件應急預案的要(yào / yāo)求，建立健全本行(háng / xíng)業、本領域的網絡安全事(shì)件應急預案，定期組織應急演練；指導運營者做好網絡安全事(shì)件應對(duì)處置，并根據需要(yào / yāo)組織提供技術支持與協助。

第二十(shí)六條　保護工作部門應當定期組織開展本行(háng / xíng)業、本領域關鍵信息基礎設施網絡安全檢查檢測，指導監督運營者及時整改安全隐患、完善安全措施。

第二十(shí)七條　國家(jiā)網信部門統籌協調國務院公安部門、保護工作部門對(duì)關鍵信息基礎設施進行(háng / xíng)網絡安全檢查檢測，提出改進措施。

有關部門在開展關鍵信息基礎設施網絡安全檢查時，應當加強協同配合、信息溝通，避免不必要(yào / yāo)的檢查和交叉重複檢查。檢查工作不得(dé / de / děi)收取費用(yòng)，不得(dé / de / děi)要(yào / yāo)求被檢查單位購買指定品牌或者指定生(shēng)産、銷售單位的産品和服務。

第二十(shí)八條　運營者對(duì)保護工作部門開展的關鍵信息基礎設施網絡安全檢查檢測工作，以及公安、國家(jiā)安全、保密行(háng / xíng)政管理、密碼管理等有關部門依法開展的關鍵信息基礎設施網絡安全檢查工作應當予以配合。

第二十(shí)九條　在關鍵信息基礎設施安全保護工作中，國家(jiā)網信部門和國務院電信主管部門、國務院公安部門等應當根據保護工作部門的需要(yào / yāo)，及時提供技術支持和協助。

第三十(shí)條　網信部門、公安機關、保護工作部門等有關部門，網絡安全服務機構及其(qí)工作人員對(duì)于(yú)在關鍵信息基礎設施安全保護工作中獲取的信息，隻能(néng)用(yòng)于(yú)維護網絡安全，并嚴格按照有關法律、行(háng / xíng)政法規的要(yào / yāo)求确保信息安全，不得(dé / de / děi)洩露、出售或者非法向他人提供。

第三十(shí)一條　未經國家(jiā)網信部門、國務院公安部門批準或者保護工作部門、運營者授權，任何個人和組織不得(dé / de / děi)對(duì)關鍵信息基礎設施實施漏洞探測、滲透性測試等可(kě)能(néng)影響或者危害關鍵信息基礎設施安全的活動。對(duì)基礎電信網絡實施漏洞探測、滲透性測試等活動，應當事(shì)先向國務院電信主管部門報告。

第三十(shí)二條　國家(jiā)采取措施，優先保障能(néng)源、電信等關鍵信息基礎設施安全運行(háng / xíng)。

能(néng)源、電信行(háng / xíng)業應當采取措施，爲其(qí)他行(háng / xíng)業和領域的關鍵信息基礎設施安全運行(háng / xíng)提供重點保障。

第三十(shí)三條　公安機關、國家(jiā)安全機關依據各自(zì)職責依法加強關鍵信息基礎設施安全保衛，防範打擊針對(duì)和利用(yòng)關鍵信息基礎設施實施的違法犯罪活動。

第三十(shí)四條　國家(jiā)制定和完善關鍵信息基礎設施安全标準，指導、規範關鍵信息基礎設施安全保護工作。

第三十(shí)五條　國家(jiā)采取措施，鼓勵網絡安全專門人才從事(shì)關鍵信息基礎設施安全保護工作；将運營者安全管理人員、安全技術人員培訓納入國家(jiā)繼續教育體系。

第三十(shí)六條　國家(jiā)支持關鍵信息基礎設施安全防護技術創新和産業發(fā／fà)展，組織力量實施關鍵信息基礎設施安全技術攻關。

第三十(shí)七條　國家(jiā)加強網絡安全服務機構建設和管理，制定管理要(yào / yāo)求并加強監督指導，不斷提升服務機構能(néng)力水平，充分發(fā／fà)揮其(qí)在關鍵信息基礎設施安全保護中的作用(yòng)。

第三十(shí)八條　國家(jiā)加強網絡安全軍民融合，軍地協同保護關鍵信息基礎設施安全。

第五章　法律責任

第三十(shí)九條　運營者有下(xià)列情形之一的，由有關主管部門依據職責責令改正，給予警告；拒不改正或者導緻危害網絡安全等後(hòu)果的，處10萬元以上100萬元以下(xià)罰款，對(duì)直接負責的主管人員處1萬元以上10萬元以下(xià)罰款：

（一）在關鍵信息基礎設施發(fā／fà)生(shēng)較大變化，可(kě)能(néng)影響其(qí)認定結果時未及時将相關情況報告保護工作部門的；

（二）安全保護措施未與關鍵信息基礎設施同步規劃、同步建設、同步使用(yòng)的；

（三）未建立健全網絡安全保護制度和責任制的；

（四）未設置專門安全管理機構的；

（五）未對(duì)專門安全管理機構負責人和關鍵崗位人員進行(háng / xíng)安全背景審查的；

（六）開展與網絡安全和信息化有關的決策沒有專門安全管理機構人員參與的；

（七）專門安全管理機構未履行(háng / xíng)本條例第十(shí)五條規定的職責的；

（八）未對(duì)關鍵信息基礎設施每年(nián)至少進行(háng / xíng)一次網絡安全檢測和風險評估，未對(duì)發(fā／fà)現的安全問題及時整改，或者未按照保護工作部門要(yào / yāo)求報送情況的；

（九）采購網絡産品和服務，未按照國家(jiā)有關規定與網絡産品和服務提供者簽訂安全保密協議的；

（十(shí)）發(fā／fà)生(shēng)合并、分立、解散等情況，未及時報告保護工作部門，或者未按照保護工作部門的要(yào / yāo)求對(duì)關鍵信息基礎設施進行(háng / xíng)處置的。

第四十(shí)條　運營者在關鍵信息基礎設施發(fā／fà)生(shēng)重大網絡安全事(shì)件或者發(fā／fà)現重大網絡安全威脅時，未按照有關規定向保護工作部門、公安機關報告的，由保護工作部門、公安機關依據職責責令改正，給予警告；拒不改正或者導緻危害網絡安全等後(hòu)果的，處10萬元以上100萬元以下(xià)罰款，對(duì)直接負責的主管人員處1萬元以上10萬元以下(xià)罰款。

第四十(shí)一條　運營者采購可(kě)能(néng)影響國家(jiā)安全的網絡産品和服務，未按照國家(jiā)網絡安全規定進行(háng / xíng)安全審查的，由國家(jiā)網信部門等有關主管部門依據職責責令改正，處采購金額1倍以上10倍以下(xià)罰款，對(duì)直接負責的主管人員和其(qí)他直接責任人員處1萬元以上10萬元以下(xià)罰款。

第四十(shí)二條　運營者對(duì)保護工作部門開展的關鍵信息基礎設施網絡安全檢查檢測工作，以及公安、國家(jiā)安全、保密行(háng / xíng)政管理、密碼管理等有關部門依法開展的關鍵信息基礎設施網絡安全檢查工作不予配合的，由有關主管部門責令改正；拒不改正的，處5萬元以上50萬元以下(xià)罰款，對(duì)直接負責的主管人員和其(qí)他直接責任人員處1萬元以上10萬元以下(xià)罰款；情節嚴重的，依法追究相應法律責任。

第四十(shí)三條　實施非法侵入、幹擾、破壞關鍵信息基礎設施，危害其(qí)安全的活動尚不構成犯罪的，依照《中華人民共和國網絡安全法》有關規定，由公安機關沒收違法所(suǒ)得(dé / de / děi)，處5日以下(xià)拘留，可(kě)以并處5萬元以上50萬元以下(xià)罰款；情節較重的，處5日以上15日以下(xià)拘留，可(kě)以并處10萬元以上100萬元以下(xià)罰款。

單位有前款行(háng / xíng)爲的，由公安機關沒收違法所(suǒ)得(dé / de / děi)，處10萬元以上100萬元以下(xià)罰款，并對(duì)直接負責的主管人員和其(qí)他直接責任人員依照前款規定處罰。

違反本條例第五條第二款和第三十(shí)一條規定，受到治安管理處罰的人員，5年(nián)内不得(dé / de / děi)從事(shì)網絡安全管理和網絡運營關鍵崗位的工作；受到刑事(shì)處罰的人員，終身不得(dé / de / děi)從事(shì)網絡安全管理和網絡運營關鍵崗位的工作。

第四十(shí)四條　網信部門、公安機關、保護工作部門和其(qí)他有關部門及其(qí)工作人員未履行(háng / xíng)關鍵信息基礎設施安全保護和監督管理職責或者玩忽職守、濫用(yòng)職權、徇私舞弊的，依法對(duì)直接負責的主管人員和其(qí)他直接責任人員給予處分。

第四十(shí)五條　公安機關、保護工作部門和其(qí)他有關部門在開展關鍵信息基礎設施網絡安全檢查工作中收取費用(yòng)，或者要(yào / yāo)求被檢查單位購買指定品牌或者指定生(shēng)産、銷售單位的産品和服務的，由其(qí)上級機關責令改正，退還收取的費用(yòng)；情節嚴重的，依法對(duì)直接負責的主管人員和其(qí)他直接責任人員給予處分。

第四十(shí)六條　網信部門、公安機關、保護工作部門等有關部門、網絡安全服務機構及其(qí)工作人員将在關鍵信息基礎設施安全保護工作中獲取的信息用(yòng)于(yú)其(qí)他用(yòng)途，或者洩露、出售、非法向他人提供的，依法對(duì)直接負責的主管人員和其(qí)他直接責任人員給予處分。

第四十(shí)七條　關鍵信息基礎設施發(fā／fà)生(shēng)重大和特别重大網絡安全事(shì)件，經調查确定爲責任事(shì)故的，除應當查明運營者責任并依法予以追究外，還應查明相關網絡安全服務機構及有關部門的責任，對(duì)有失職、渎職及其(qí)他違法行(háng / xíng)爲的，依法追究責任。

第四十(shí)八條　電子政務關鍵信息基礎設施的運營者不履行(háng / xíng)本條例規定的網絡安全保護義務的，依照《中華人民共和國網絡安全法》有關規定予以處理。

第四十(shí)九條　違反本條例規定，給他人造成損害的，依法承擔民事(shì)責任。

違反本條例規定，構成違反治安管理行(háng / xíng)爲的，依法給予治安管理處罰；構成犯罪的，依法追究刑事(shì)責任。

第六章　附則

第五十(shí)條　存儲、處理涉及國家(jiā)秘密信息的關鍵信息基礎設施的安全保護，還應當遵守保密法律、行(háng / xíng)政法規的規定。

關鍵信息基礎設施中的密碼使用(yòng)和管理，還應當遵守相關法律、行(háng / xíng)政法規的規定。

第五十(shí)一條　本條例自(zì)2021年(nián)9月1日起施行(háng / xíng)。

（來源：中國政府網）

《關鍵信息基礎設施安全保護條例》發(fā／fà)布，9月1日起施行(háng / xíng)