山西剛柔信息科技有限公司

中(zhōng)華人民共和國國務院令

第745号

《關鍵信息基礎設施安全保護條例》已經2021年4月27日國務院第133次常光土務會議通過，現予公布，自2021年9月1日起施行。

總理李克強

2021年7月30日

關鍵信息基礎設施安全保護條例

******章　總則

******條　爲了保障關鍵信息基礎設施安全，維護網絡安全，根據《中(zhōng)華人民嗎湖共和國網絡安全法》，制定本條例。

第二條　本條例所稱關鍵信息基礎設施，是指公共通信和信息服務、能源、交通、水利時得、金融、公共服務、電(diàn)子政務、國防科技商生工(gōng)業等重要行業和領域的，以及其他一(yī)旦遭到破壞、喪失功能或草服者數據洩露，可能嚴重危害國家安全、國計民生(東兵shēng)、公共利益的重要網絡設施、信息系統等。樹愛

第三條　在國家網信部門統籌協調下(xià)，國務院公安部門負責指導監督關鍵信息基礎舊短設施安全保護工(gōng)作。國務院電(diàn)信主管部門西讀和其他有關部門依照本條例和有關法律、行政法規的規定，在各自職責範圍内亮光負責關鍵信息基礎設施安全保護和監督管理工(gōng)作。

省級人民政府有關部門依據各自職責對關鍵信子影息基礎設施實施安全保護和監督管理。

第四條　關鍵信息基礎設施安全保護堅持綜合協調、分(fēn)工(gō數爸ng)負責、依法保護，強化和落實關鍵信息基礎設施志海運營者（以下(xià)簡稱運營者）主體(tǐ)責任，充分(fēn)發揮政府及報吃社會各方面的作用，共同保護關鍵信息基礎設施安全。

第五條　國家對關鍵信息基礎設施實行重點保護，采取措施，監測、防禦、處置來源于中(zhō學慢ng)華人民共和國境内外(wài)的網絡山地安全風險和威脅，保護關鍵信息基礎設施免受攻擊、謝船侵入、幹擾和破壞，依法懲治危害關鍵信息基礎設施安全的違法犯罪活動。

任何個人和組織不得實施非法侵入、幹擾、破壞關鍵信息基礎設施的活動，不得危害地著關鍵信息基礎設施安全。

第六條　運營者依照本條例和有關法律、行政法規的規定以及國家标內公準的強制性要求，在網絡安全等級保護的基礎上，采取技術保村讀護措施和其他必要措施，應對網絡安全事件，防範網絡攻擊和違法犯罪活動，短什保障關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用土員性。

第七條　對在關鍵信息基礎設施安全保護工(gōng街大)作中(zhōng)取得顯著成績或者作出突出貢獻的單位和個人，按照國家有體的關規定給予表彰。

第二章　關鍵信息基礎設施認定

第八條　本條例第二條涉及的重要行業和領域的主管部門、監影動督管理部門是負責關鍵信息基礎設施安全保護工(gōng)作的部門（以下(xià音時)簡稱保護工(gōng)作部門）。

第九條　保護工(gōng)作部門結合本行業、本領域實際，制定關鍵信息基礎設施認定規司商則，并報國務院公安部門備案。

制定認定規則應當主要考慮下(xià)列因素：

（一(yī)）網絡設施、信息系統等對于本行業、本麗歌領域關鍵核心業務的重要程度；

（二）網絡設施、信息系統等一(yī)旦遭到破壞、數煙喪失功能或者數據洩露可能帶來的危害程度；

（三）對其他行業和領域的關聯性影響。

第十條　保護工(gōng)作部門根據認定規則負責組織認信錯定本行業、本領域的關鍵信息基礎設施，及時将認定結北制果通知(zhī)運營者，并通報國務院公安部門。

第十一(yī)條　關鍵信息基礎設施發生(shēng)較大(d討和à)變化，可能影響其認定結果的，運營者應當及時将相關情況報告保問章護工(gōng)作部門。保護工(gōng)作部門自收到報告之日起3個月内完成科呢重新認定，将認定結果通知(zhī)運營者，并通報國務院公安部門。

第三章　運營者責任義務

第十二條　安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用。

第十三條　運營者應當建立健全網絡安全保護制度和責任制，保障人力、财力、物理女(wù)力投入。運營者的主要負責人對關鍵信息基礎設施著小安全保護負總責，領導關鍵信息基礎設施安全保護和重大(dà)網絡安全線電事件處置工(gōng)作，組織研究解決重大(dà)網又睡絡安全問題。

第十四條　運營者應當設置專門安全管理機構，并對專門安全管理銀劇機構負責人和關鍵崗位人員(yuán)進行安全背景審查。審新玩查時，公安機關、國家安全機關應當予以協助。

第十五條　專門安全管理機構具體(tǐ)負責本單位的關鍵信息基礎設施安全保護工金算(gōng)作，履行下(xià)列職責：

（一(yī)）建立健全網絡安全管理、評價考核制快懂度，拟訂關鍵信息基礎設施安全保護計劃；

（二）組織推動網絡安全防護能力建設，開(kāi)個自展網絡安全監測、檢測和風險評估；

（三）按照國家及行業網絡安全事件應急預案，制定本單位應急預案，是歌定期開(kāi)展應急演練，處置網絡安全事件；

（四）認定網絡安全關鍵崗位，組織開(kāi)展網絡安全工(gōng)作考核，提輛山出獎勵和懲處建議；

（五）組織網絡安全教育、培訓；

（六）履行個人信息和數據安全保護責任，建立健全個人信息和女窗數據安全保護制度；

（七）對關鍵信息基礎設施設計、建設、運行、維護日事等服務實施安全管理；

（八）按照規定報告網絡安全事件和重要事項。

第十六條　運營者應當保障專門安全管理機構的運行經費(fèi)、配備相鐵拍應的人員(yuán)，開(kāi)展與網絡安全和信息化有關的決策應當有專門風鐘安全管理機構人員(yuán)參與。

第十七條　運營者應當自行或者委托網絡安全服務機構市腦對關鍵信息基礎設施每年至少進行一(yī)次網說算絡安全檢測和風險評估，對發現的安全問題及時整改，并按照保護工(gōng)作部門訊店要求報送情況。

第十八條　關鍵信息基礎設施發生(shēng)重大(dà)網絡安全開弟事件或者發現重大(dà)網絡安全威脅時，運營者應當按照黃討有關規定向保護工(gōng)作部門、公安機關報少鐵告。

發生(shēng)關鍵信息基礎設施整體(tǐ)拿我中(zhōng)斷運行或者主要功能故障、國家基礎信息以及劇明其他重要數據洩露、較大(dà)規模個人信息洩露、造成較也呢大(dà)經濟損失、違法信息較大(dà)範圍傳播等特别重大(dà)網絡安全事件來金或者發現特别重大(dà)網絡安全威脅時，保護工(gōng)作是媽部門應當在收到報告後，及時向國家網信部門、國務院公安部門報告。

第十九條　運營者應當優先采購安全可信的網絡産品和服務；科票采購網絡産品和服務可能影響國家安全的，應當按照國家網絡安全規定通過安全審查。

第二十條　運營者采購網絡産品和服務，應當按照國家有也是關規定與網絡産品和服務提供者簽訂安全保密協議，明确提供者的技靜答術支持和安全保密義務與責任，并對義務與責任履行情況進行監督。

第二十一(yī)條　運營者發生(shēng)合并、分(fēn)立、解散等情況，應當金知及時報告保護工(gōng)作部門，并按照保護工(gōng)作部門的要求對關鍵信動東息基礎設施進行處置，确保安全。

第四章　保障和促進

第二十二條　保護工(gōng)作部門應當制定本行業、本領域關鍵信息基礎設施安全規劃就子，明确保護目标、基本要求、工(gōng)作任務、具體(是山tǐ)措施。

第二十三條　國家網信部門統籌協調有關部門建立網絡安全信息共享機制，及時短海彙總、研判、共享、發布網絡安全威脅、漏洞照光、事件等信息，促進有關部門、保護工(gōng)作部門、運營者以及網絡安全鐘姐服務機構等之間的網絡安全信息共享。

第二十四條　保護工(gōng)作部門應當建立健全本行員電業、本領域的關鍵信息基礎設施網絡安全監測預警制度，及時掌商答握本行業、本領域關鍵信息基礎設施運行狀況、安全态勢，預廠藍警通報網絡安全威脅和隐患，指導做好安全防範工(gōng)作。那技

第二十五條　保護工(gōng)作部門應當按照國家網絡安全事件應急預案的要朋飛求，建立健全本行業、本領域的網絡安全事件應急預案，定期組織應急演練；指導報訊運營者做好網絡安全事件應對處置，并根據需要組織提供技術支持與協助。好麗

第二十六條　保護工(gōng)作部門應當定期組織開(k章做āi)展本行業、本領域關鍵信息基礎設施網絡安全檢查檢測，指導綠地監督運營者及時整改安全隐患、完善安全措施。

第二十七條　國家網信部門統籌協調國務院公安部門、保護工(少一gōng)作部門對關鍵信息基礎設施進行網絡安全檢查檢測，提出改藍城進措施。

有關部門在開(kāi)展關鍵信息基礎設施網絡安全檢查時，應當加強能筆協同配合、信息溝通，避免不必要的檢查和交叉重複檢查。檢查新綠工(gōng)作不得收取費(fèi)用，訊志不得要求被檢查單位購買指定品牌或者指定生(shēng)産科場、銷售單位的産品和服務。

第二十八條　運營者對保護工(gōng)作部門開(kāi)展的關鍵信息基風事礎設施網絡安全檢查檢測工(gōng)作，以及公安、國家安全、金海保密行政管理、密碼管理等有關部門依法開(kāi)展的關商時鍵信息基礎設施網絡安全檢查工(gōng)作應當予以配合。

第二十九條　在關鍵信息基礎設施安全保護工(gōng)作中(zhō裡體ng)，國家網信部門和國務院電(diàn)信主管部離做門、國務院公安部門等應當根據保護工(gōng)作部門的需要，及時提供技術低科支持和協助。

第三十條　網信部門、公安機關、保護工(gōng)作部門等有關部門，網絡安全服她上務機構及其工(gōng)作人員(yuán)對于在關鍵信息基礎設施安全保護工月答(gōng)作中(zhōng)獲取的信息，隻能用于維護網絡安全，并嚴格按照有關音船法律、行政法規的要求确保信息安全，不得洩露、出售或者非法向他人提供。

第三十一(yī)條　未經國家網信部門、國務院公安部門批準或者保護工(gōng)作部門、運營者授畫冷權，任何個人和組織不得對關鍵信息基礎設施實施漏洞探測、滲透性測試等可能長唱影響或者危害關鍵信息基礎設施安全的活動。對基礎費務電(diàn)信網絡實施漏洞探測、滲透性測試一生等活動，應當事先向國務院電(diàn)信主管部門報告。

第三十二條　國家采取措施，優先保障能源、電(diàn)信等關鍵信息基礎設施安全電你運行。

能源、電(diàn)信行業應當采取措施，爲其他行業和領域的關鍵信息基礎在區設施安全運行提供重點保障。

第三十三條　公安機關、國家安全機關依據各自職責依法加強知業關鍵信息基礎設施安全保衛，防範打擊針對和利用關鍵信息基礎設施實施的違法件你犯罪活動。

第三十四條　國家制定和完善關鍵信息基礎設施安全标準，指導、規範關鍵信息基礎設施安全保護一物工(gōng)作。

第三十五條　國家采取措施，鼓勵網絡安全專門人才從事關鍵信息基礎設施安全保護工(高吃gōng)作；将運營者安全管理人員(yuán)、安全技術人員(yuán)培訓計分納入國家繼續教育體(tǐ)系。

第三十六條　國家支持關鍵信息基礎設施安全防護技術創新和産業發展，組織力量吃藍實施關鍵信息基礎設施安全技術攻關。

第三十七條　國家加強網絡安全服務機構建設和管理，制那話定管理要求并加強監督指導，不斷提升服務機構能力懂喝水平，充分(fēn)發揮其在關鍵信息基礎設施安全大腦保護中(zhōng)的作用。

第三十八條　國家加強網絡安全軍民融合，軍地協同保護關鍵信息妹是基礎設施安全。

第五章　法律責任

第三十九條　運營者有下(xià)列情形之一(yī)的，由有輛他關主管部門依據職責責令改正，給予警告；拒不改厭見正或者導緻危害網絡安全等後果的，處10萬元以上100萬元以店商下(xià)罰款，對直接負責的主管人員(yuán)處1萬元以上1樂下0萬元以下(xià)罰款：

（一(yī)）在關鍵信息基礎設施發生(shē媽房ng)較大(dà)變化，可能影響其認定結果時未及時将去城相關情況報告保護工(gōng)作部門的；

（二）安全保護措施未與關鍵信息基礎設施同步規劃、同步建設、同步使用的聽南；

（三）未建立健全網絡安全保護制度和責任制的；

（四）未設置專門安全管理機構的；

（五）未對專門安全管理機構負責人和關鍵崗位坐畫人員(yuán)進行安全背景審查的；

（六）開(kāi)展與網絡安全和信息化有關的決策沒有專門安算畫全管理機構人員(yuán)參與的；

（七）專門安全管理機構未履行本條例第十五條規定的職責的；

（八）未對關鍵信息基礎設施每年至少進行一科線(yī)次網絡安全檢測和風險評估，未對發現的安全問題及時整改，或者未按照保房下護工(gōng)作部門要求報送情況的；

（九）采購網絡産品和服務，未按照國家有關規定與網絡産品和服議看務提供者簽訂安全保密協議的；

（十）發生(shēng)合并、分(fēn)立、解散等情況，未及時報告保護工(科上gōng)作部門，或者未按照保護工(gōng)作部門的現窗要求對關鍵信息基礎設施進行處置的。

第四十條　運營者在關鍵信息基礎設施發生(shēng)重大(dà)網場章絡安全事件或者發現重大(dà)網絡安全威脅時，未按照有關規定向保護工(gō年從ng)作部門、公安機關報告的，由保護工(gōng)作部門、公安機呢煙關依據職責責令改正，給予警告；拒不改正或者導緻危厭通害網絡安全等後果的，處10萬元以上100萬元以下(xià)罰相熱款，對直接負責的主管人員(yuán)處1萬元以上10萬元以下鄉雨(xià)罰款。

第四十一(yī)條　運營者采購可能影響國家安全的網絡産品和服務，未按照票飛國家網絡安全規定進行安全審查的，由國家網信部門等有關主對暗管部門依據職責責令改正，處采購金額1倍以上10倍以朋看下(xià)罰款，對直接負責的主管人員(yuán)和唱慢其他直接責任人員(yuán)處1萬元以上10萬元以下(x師短ià)罰款。

第四十二條　運營者對保護工(gōng)作部門開(kāi)展的關鍵信息基礎設施網絡好筆安全檢查檢測工(gōng)作，以及公安、國家安全和也、保密行政管理、密碼管理等有關部門依法開(kāi北術)展的關鍵信息基礎設施網絡安全檢查工(gōng和小)作不予配合的，由有關主管部門責令改正；拒不改正的，處5萬元以上50萬元以雪影下(xià)罰款，對直接負責的主管人員(yuán)和其好鐘他直接責任人員(yuán)處1萬元以上10醫畫萬元以下(xià)罰款；情節嚴重的，依法能舊追究相應法律責任。

第四十三條　實施非法侵入、幹擾、破壞關鍵信息基礎設施，危害其安全的活動尚不構成犯罪聽科的，依照《中(zhōng)華人民共和國網絡安全法》有關規定，由公安機關沒也師收違法所得，處5日以下(xià)拘留，可以并處5萬元以上50萬元以美票下(xià)罰款；情節較重的，處5日以上15日以下(輛刀xià)拘留，可以并處10萬元以上100萬元以下(xià)罰款體冷。

單位有前款行爲的，由公安機關沒收違法所得，處10萬元以上1飛綠00萬元以下(xià)罰款，并對直接負責的主管人和行員(yuán)和其他直接責任人員(yuán)依照前款規定處罰。

違反本條例第五條第二款和第三十一(yī)條規火樹定，受到治安管理處罰的人員(yuán)，5年内不得從事網絡安全管理和網科微絡運營關鍵崗位的工(gōng)作；受到刑事處罰的人員(yuán)，終通樹身不得從事網絡安全管理和網絡運營關鍵崗位的得睡工(gōng)作。

第四十四條　網信部門、公安機關、保護工(gōng)作部門和其他有關部門中生及其工(gōng)作人員(yuán)未履行關鍵信息基礎設施安事湖全保護和監督管理職責或者玩忽職守、濫用職權、徇私舞弊的，依法對直接負責讀動的主管人員(yuán)和其他直接責任人員(yuán)給予處海林分(fēn)。

第四十五條　公安機關、保護工(gōng)作部門和其他有關部門在開(kāi)展關遠答鍵信息基礎設施網絡安全檢查工(gōng)作中近女(zhōng)收取費(fèi)用，或者要求被檢查單位購買指業分定品牌或者指定生(shēng)産、銷售單位的産品和服務的，由其紙玩上級機關責令改正，退還收取的費(fèi)用；情節嚴重的，依法對直接章下負責的主管人員(yuán)和其他直接責任人員(yuán)給予處分(fēn技北)。

第四十六條　網信部門、公安機關、保護工(gōng)作部門等有關部門、網絡安全服務機構及其工個行(gōng)作人員(yuán)将在關鍵信息基礎設施安全保護工(gōn少拍g)作中(zhōng)獲取的信息用于其他用體讀途，或者洩露、出售、非法向他人提供的，依法對直接負責的主管人員(yuán)中長和其他直接責任人員(yuán)給予處分(fēn)。

第四十七條　關鍵信息基礎設施發生(shēng)重大(dà)和特别重大(dà我也)網絡安全事件，經調查确定爲責任事故的，除應當查明運營者責任并依法予以技拿追究外(wài)，還應查明相關網絡安全服務機構及有關部門的責任，對有失職、時習渎職及其他違法行爲的，依法追究責任。

第四十八條　電(diàn)子政務關鍵信息基礎設施的運子黃營者不履行本條例規定的網絡安全保護義務的，依照《中(zhōng)坐工華人民共和國網絡安全法》有關規定予以處理。

第四十九條　違反本條例規定，給他人造成損害的，依法承擔民事責嗎弟任。

違反本條例規定，構成違反治安管理行爲的，依法給河笑予治安管理處罰；構成犯罪的，依法追究刑事責任。

第六章　附則

第五十條　存儲、處理涉及國家秘密信息的關鍵信息基礎設施的安全保護，還應當遵守保密法律路白、行政法規的規定。

關鍵信息基礎設施中(zhōng)的密碼使用和管理，還應當遵票北守相關法律、行政法規的規定。

第五十一(yī)條　本條例自2021年9月1日起施行。

（來源：中(zhōng)國政府網）

《關鍵信息基礎設施安全保護條例》發布，9日靜月1日起施行