山(shān)西科(kē)信源科(kē)技(jì )股份有(yǒu)限公(gōng)司

全國(guó)統一服務(wù)熱線(xiàn)

0351-4073466

《關鍵信息基礎設施安(ān)全保護條例》發布，9月1日起施行

編輯：2021-08-20 10:25:04

中(zhōng)華人民(mín)共和國(guó)國(guó)務(wù)院令

第745号

《關鍵信息基礎設施安(ān)全保護條例》已經2021年4月27日國(guó)務(wù)院第133次常務(wù)會議通過，現予公(gōng)布，自2021年9月1日起施行。

總理(lǐ) 李克強

2021年7月30日

關鍵信息基礎設施安(ān)全保護條例

第一章　總則

第一條　為(wèi)了保障關鍵信息基礎設施安(ān)全，維護網絡安(ān)全，根據《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》，制定本條例。

第二條　本條例所稱關鍵信息基礎設施，是指公(gōng)共通信和信息服務(wù)、能(néng)源、交通、水利、金融、公(gōng)共服務(wù)、電(diàn)子政務(wù)、國(guó)防科(kē)技(jì )工(gōng)業等重要行業和領域的，以及其他(tā)一旦遭到破壞、喪失功能(néng)或者數據洩露，可(kě)能(néng)嚴重危害國(guó)家安(ān)全、國(guó)計民(mín)生、公(gōng)共利益的重要網絡設施、信息系統等。

第三條　在國(guó)家網信部門統籌協調下，國(guó)務(wù)院公(gōng)安(ān)部門負責指導監督關鍵信息基礎設施安(ān)全保護工(gōng)作(zuò)。國(guó)務(wù)院電(diàn)信主管部門和其他(tā)有(yǒu)關部門依照本條例和有(yǒu)關法律、行政法規的規定，在各自職責範圍内負責關鍵信息基礎設施安(ān)全保護和監督管理(lǐ)工(gōng)作(zuò)。

省級人民(mín)政府有(yǒu)關部門依據各自職責對關鍵信息基礎設施實施安(ān)全保護和監督管理(lǐ)。

第四條　關鍵信息基礎設施安(ān)全保護堅持綜合協調、分(fēn)工(gōng)負責、依法保護，強化和落實關鍵信息基礎設施運營者（以下簡稱運營者）主體(tǐ)責任，充分(fēn)發揮政府及社會各方面的作(zuò)用(yòng)，共同保護關鍵信息基礎設施安(ān)全。

第五條　國(guó)家對關鍵信息基礎設施實行重點保護，采取措施，監測、防禦、處置來源于中(zhōng)華人民(mín)共和國(guó)境内外的網絡安(ān)全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、幹擾和破壞，依法懲治危害關鍵信息基礎設施安(ān)全的違法犯罪活動。

任何個人和組織不得實施非法侵入、幹擾、破壞關鍵信息基礎設施的活動，不得危害關鍵信息基礎設施安(ān)全。

第六條　運營者依照本條例和有(yǒu)關法律、行政法規的規定以及國(guó)家标準的強制性要求，在網絡安(ān)全等級保護的基礎上，采取技(jì )術保護措施和其他(tā)必要措施，應對網絡安(ān)全事件，防範網絡攻擊和違法犯罪活動，保障關鍵信息基礎設施安(ān)全穩定運行，維護數據的完整性、保密性和可(kě)用(yòng)性。

第七條　對在關鍵信息基礎設施安(ān)全保護工(gōng)作(zuò)中(zhōng)取得顯著成績或者作(zuò)出突出貢獻的單位和個人，按照國(guó)家有(yǒu)關規定給予表彰。

第二章　關鍵信息基礎設施認定

第八條　本條例第二條涉及的重要行業和領域的主管部門、監督管理(lǐ)部門是負責關鍵信息基礎設施安(ān)全保護工(gōng)作(zuò)的部門（以下簡稱保護工(gōng)作(zuò)部門）。

第九條　保護工(gōng)作(zuò)部門結合本行業、本領域實際，制定關鍵信息基礎設施認定規則，并報國(guó)務(wù)院公(gōng)安(ān)部門備案。

制定認定規則應當主要考慮下列因素：

（一）網絡設施、信息系統等對于本行業、本領域關鍵核心業務(wù)的重要程度；

（二）網絡設施、信息系統等一旦遭到破壞、喪失功能(néng)或者數據洩露可(kě)能(néng)帶來的危害程度；

（三）對其他(tā)行業和領域的關聯性影響。

第十條　保護工(gōng)作(zuò)部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施，及時将認定結果通知運營者，并通報國(guó)務(wù)院公(gōng)安(ān)部門。

第十一條　關鍵信息基礎設施發生較大變化，可(kě)能(néng)影響其認定結果的，運營者應當及時将相關情況報告保護工(gōng)作(zuò)部門。保護工(gōng)作(zuò)部門自收到報告之日起3個月内完成重新(xīn)認定，将認定結果通知運營者，并通報國(guó)務(wù)院公(gōng)安(ān)部門。

第三章　運營者責任義務(wù)

第十二條　安(ān)全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用(yòng)。

第十三條　運營者應當建立健全網絡安(ān)全保護制度和責任制，保障人力、财力、物(wù)力投入。運營者的主要負責人對關鍵信息基礎設施安(ān)全保護負總責，領導關鍵信息基礎設施安(ān)全保護和重大網絡安(ān)全事件處置工(gōng)作(zuò)，組織研究解決重大網絡安(ān)全問題。

第十四條　運營者應當設置專門安(ān)全管理(lǐ)機構，并對專門安(ān)全管理(lǐ)機構負責人和關鍵崗位人員進行安(ān)全背景審查。審查時，公(gōng)安(ān)機關、國(guó)家安(ān)全機關應當予以協助。

第十五條　專門安(ān)全管理(lǐ)機構具(jù)體(tǐ)負責本單位的關鍵信息基礎設施安(ān)全保護工(gōng)作(zuò)，履行下列職責：

（一）建立健全網絡安(ān)全管理(lǐ)、評價考核制度，拟訂關鍵信息基礎設施安(ān)全保護計劃；

（二）組織推動網絡安(ān)全防護能(néng)力建設，開展網絡安(ān)全監測、檢測和風險評估；

（三）按照國(guó)家及行業網絡安(ān)全事件應急預案，制定本單位應急預案，定期開展應急演練，處置網絡安(ān)全事件；

（四）認定網絡安(ān)全關鍵崗位，組織開展網絡安(ān)全工(gōng)作(zuò)考核，提出獎勵和懲處建議；

（五）組織網絡安(ān)全教育、培訓；

（六）履行個人信息和數據安(ān)全保護責任，建立健全個人信息和數據安(ān)全保護制度；

（七）對關鍵信息基礎設施設計、建設、運行、維護等服務(wù)實施安(ān)全管理(lǐ)；

（八）按照規定報告網絡安(ān)全事件和重要事項。

第十六條　運營者應當保障專門安(ān)全管理(lǐ)機構的運行經費、配備相應的人員，開展與網絡安(ān)全和信息化有(yǒu)關的決策應當有(yǒu)專門安(ān)全管理(lǐ)機構人員參與。

第十七條　運營者應當自行或者委托網絡安(ān)全服務(wù)機構對關鍵信息基礎設施每年至少進行一次網絡安(ān)全檢測和風險評估，對發現的安(ān)全問題及時整改，并按照保護工(gōng)作(zuò)部門要求報送情況。

第十八條　關鍵信息基礎設施發生重大網絡安(ān)全事件或者發現重大網絡安(ān)全威脅時，運營者應當按照有(yǒu)關規定向保護工(gōng)作(zuò)部門、公(gōng)安(ān)機關報告。

發生關鍵信息基礎設施整體(tǐ)中(zhōng)斷運行或者主要功能(néng)故障、國(guó)家基礎信息以及其他(tā)重要數據洩露、較大規模個人信息洩露、造成較大經濟損失、違法信息較大範圍傳播等特别重大網絡安(ān)全事件或者發現特别重大網絡安(ān)全威脅時，保護工(gōng)作(zuò)部門應當在收到報告後，及時向國(guó)家網信部門、國(guó)務(wù)院公(gōng)安(ān)部門報告。

第十九條　運營者應當優先采購(gòu)安(ān)全可(kě)信的網絡産(chǎn)品和服務(wù)；采購(gòu)網絡産(chǎn)品和服務(wù)可(kě)能(néng)影響國(guó)家安(ān)全的，應當按照國(guó)家網絡安(ān)全規定通過安(ān)全審查。

第二十條　運營者采購(gòu)網絡産(chǎn)品和服務(wù)，應當按照國(guó)家有(yǒu)關規定與網絡産(chǎn)品和服務(wù)提供者簽訂安(ān)全保密協議，明确提供者的技(jì )術支持和安(ān)全保密義務(wù)與責任，并對義務(wù)與責任履行情況進行監督。

第二十一條　運營者發生合并、分(fēn)立、解散等情況，應當及時報告保護工(gōng)作(zuò)部門，并按照保護工(gōng)作(zuò)部門的要求對關鍵信息基礎設施進行處置，确保安(ān)全。

第四章　保障和促進

第二十二條　保護工(gōng)作(zuò)部門應當制定本行業、本領域關鍵信息基礎設施安(ān)全規劃，明确保護目标、基本要求、工(gōng)作(zuò)任務(wù)、具(jù)體(tǐ)措施。

第二十三條　國(guó)家網信部門統籌協調有(yǒu)關部門建立網絡安(ān)全信息共享機制，及時彙總、研判、共享、發布網絡安(ān)全威脅、漏洞、事件等信息，促進有(yǒu)關部門、保護工(gōng)作(zuò)部門、運營者以及網絡安(ān)全服務(wù)機構等之間的網絡安(ān)全信息共享。

第二十四條　保護工(gōng)作(zuò)部門應當建立健全本行業、本領域的關鍵信息基礎設施網絡安(ān)全監測預警制度，及時掌握本行業、本領域關鍵信息基礎設施運行狀況、安(ān)全态勢，預警通報網絡安(ān)全威脅和隐患，指導做好安(ān)全防範工(gōng)作(zuò)。

第二十五條　保護工(gōng)作(zuò)部門應當按照國(guó)家網絡安(ān)全事件應急預案的要求，建立健全本行業、本領域的網絡安(ān)全事件應急預案，定期組織應急演練；指導運營者做好網絡安(ān)全事件應對處置，并根據需要組織提供技(jì )術支持與協助。

第二十六條　保護工(gōng)作(zuò)部門應當定期組織開展本行業、本領域關鍵信息基礎設施網絡安(ān)全檢查檢測，指導監督運營者及時整改安(ān)全隐患、完善安(ān)全措施。

第二十七條　國(guó)家網信部門統籌協調國(guó)務(wù)院公(gōng)安(ān)部門、保護工(gōng)作(zuò)部門對關鍵信息基礎設施進行網絡安(ān)全檢查檢測，提出改進措施。

有(yǒu)關部門在開展關鍵信息基礎設施網絡安(ān)全檢查時，應當加強協同配合、信息溝通，避免不必要的檢查和交叉重複檢查。檢查工(gōng)作(zuò)不得收取費用(yòng)，不得要求被檢查單位購(gòu)買指定品牌或者指定生産(chǎn)、銷售單位的産(chǎn)品和服務(wù)。

第二十八條　運營者對保護工(gōng)作(zuò)部門開展的關鍵信息基礎設施網絡安(ān)全檢查檢測工(gōng)作(zuò)，以及公(gōng)安(ān)、國(guó)家安(ān)全、保密行政管理(lǐ)、密碼管理(lǐ)等有(yǒu)關部門依法開展的關鍵信息基礎設施網絡安(ān)全檢查工(gōng)作(zuò)應當予以配合。

第二十九條　在關鍵信息基礎設施安(ān)全保護工(gōng)作(zuò)中(zhōng)，國(guó)家網信部門和國(guó)務(wù)院電(diàn)信主管部門、國(guó)務(wù)院公(gōng)安(ān)部門等應當根據保護工(gōng)作(zuò)部門的需要，及時提供技(jì )術支持和協助。

第三十條　網信部門、公(gōng)安(ān)機關、保護工(gōng)作(zuò)部門等有(yǒu)關部門，網絡安(ān)全服務(wù)機構及其工(gōng)作(zuò)人員對于在關鍵信息基礎設施安(ān)全保護工(gōng)作(zuò)中(zhōng)獲取的信息，隻能(néng)用(yòng)于維護網絡安(ān)全，并嚴格按照有(yǒu)關法律、行政法規的要求确保信息安(ān)全，不得洩露、出售或者非法向他(tā)人提供。

第三十一條　未經國(guó)家網信部門、國(guó)務(wù)院公(gōng)安(ān)部門批準或者保護工(gōng)作(zuò)部門、運營者授權，任何個人和組織不得對關鍵信息基礎設施實施漏洞探測、滲透性測試等可(kě)能(néng)影響或者危害關鍵信息基礎設施安(ān)全的活動。對基礎電(diàn)信網絡實施漏洞探測、滲透性測試等活動，應當事先向國(guó)務(wù)院電(diàn)信主管部門報告。

第三十二條　國(guó)家采取措施，優先保障能(néng)源、電(diàn)信等關鍵信息基礎設施安(ān)全運行。

能(néng)源、電(diàn)信行業應當采取措施，為(wèi)其他(tā)行業和領域的關鍵信息基礎設施安(ān)全運行提供重點保障。

第三十三條　公(gōng)安(ān)機關、國(guó)家安(ān)全機關依據各自職責依法加強關鍵信息基礎設施安(ān)全保衛，防範打擊針對和利用(yòng)關鍵信息基礎設施實施的違法犯罪活動。

第三十四條　國(guó)家制定和完善關鍵信息基礎設施安(ān)全标準，指導、規範關鍵信息基礎設施安(ān)全保護工(gōng)作(zuò)。

第三十五條　國(guó)家采取措施，鼓勵網絡安(ān)全專門人才從事關鍵信息基礎設施安(ān)全保護工(gōng)作(zuò)；将運營者安(ān)全管理(lǐ)人員、安(ān)全技(jì )術人員培訓納入國(guó)家繼續教育體(tǐ)系。

第三十六條　國(guó)家支持關鍵信息基礎設施安(ān)全防護技(jì )術創新(xīn)和産(chǎn)業發展，組織力量實施關鍵信息基礎設施安(ān)全技(jì )術攻關。

第三十七條　國(guó)家加強網絡安(ān)全服務(wù)機構建設和管理(lǐ)，制定管理(lǐ)要求并加強監督指導，不斷提升服務(wù)機構能(néng)力水平，充分(fēn)發揮其在關鍵信息基礎設施安(ān)全保護中(zhōng)的作(zuò)用(yòng)。

第三十八條　國(guó)家加強網絡安(ān)全軍民(mín)融合，軍地協同保護關鍵信息基礎設施安(ān)全。

第五章　法律責任

第三十九條　運營者有(yǒu)下列情形之一的，由有(yǒu)關主管部門依據職責責令改正，給予警告；拒不改正或者導緻危害網絡安(ān)全等後果的，處10萬元以上100萬元以下罰款，對直接負責的主管人員處1萬元以上10萬元以下罰款：

（一）在關鍵信息基礎設施發生較大變化，可(kě)能(néng)影響其認定結果時未及時将相關情況報告保護工(gōng)作(zuò)部門的；

（二）安(ān)全保護措施未與關鍵信息基礎設施同步規劃、同步建設、同步使用(yòng)的；

（三）未建立健全網絡安(ān)全保護制度和責任制的；

（四）未設置專門安(ān)全管理(lǐ)機構的；

（五）未對專門安(ān)全管理(lǐ)機構負責人和關鍵崗位人員進行安(ān)全背景審查的；

（六）開展與網絡安(ān)全和信息化有(yǒu)關的決策沒有(yǒu)專門安(ān)全管理(lǐ)機構人員參與的；

（七）專門安(ān)全管理(lǐ)機構未履行本條例第十五條規定的職責的；

（八）未對關鍵信息基礎設施每年至少進行一次網絡安(ān)全檢測和風險評估，未對發現的安(ān)全問題及時整改，或者未按照保護工(gōng)作(zuò)部門要求報送情況的；

（九）采購(gòu)網絡産(chǎn)品和服務(wù)，未按照國(guó)家有(yǒu)關規定與網絡産(chǎn)品和服務(wù)提供者簽訂安(ān)全保密協議的；

（十）發生合并、分(fēn)立、解散等情況，未及時報告保護工(gōng)作(zuò)部門，或者未按照保護工(gōng)作(zuò)部門的要求對關鍵信息基礎設施進行處置的。

第四十條　運營者在關鍵信息基礎設施發生重大網絡安(ān)全事件或者發現重大網絡安(ān)全威脅時，未按照有(yǒu)關規定向保護工(gōng)作(zuò)部門、公(gōng)安(ān)機關報告的，由保護工(gōng)作(zuò)部門、公(gōng)安(ān)機關依據職責責令改正，給予警告；拒不改正或者導緻危害網絡安(ān)全等後果的，處10萬元以上100萬元以下罰款，對直接負責的主管人員處1萬元以上10萬元以下罰款。

第四十一條　運營者采購(gòu)可(kě)能(néng)影響國(guó)家安(ān)全的網絡産(chǎn)品和服務(wù)，未按照國(guó)家網絡安(ān)全規定進行安(ān)全審查的，由國(guó)家網信部門等有(yǒu)關主管部門依據職責責令改正，處采購(gòu)金額1倍以上10倍以下罰款，對直接負責的主管人員和其他(tā)直接責任人員處1萬元以上10萬元以下罰款。

第四十二條　運營者對保護工(gōng)作(zuò)部門開展的關鍵信息基礎設施網絡安(ān)全檢查檢測工(gōng)作(zuò)，以及公(gōng)安(ān)、國(guó)家安(ān)全、保密行政管理(lǐ)、密碼管理(lǐ)等有(yǒu)關部門依法開展的關鍵信息基礎設施網絡安(ān)全檢查工(gōng)作(zuò)不予配合的，由有(yǒu)關主管部門責令改正；拒不改正的，處5萬元以上50萬元以下罰款，對直接負責的主管人員和其他(tā)直接責任人員處1萬元以上10萬元以下罰款；情節嚴重的，依法追究相應法律責任。

第四十三條　實施非法侵入、幹擾、破壞關鍵信息基礎設施，危害其安(ān)全的活動尚不構成犯罪的，依照《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》有(yǒu)關規定，由公(gōng)安(ān)機關沒收違法所得，處5日以下拘留，可(kě)以并處5萬元以上50萬元以下罰款；情節較重的，處5日以上15日以下拘留，可(kě)以并處10萬元以上100萬元以下罰款。

單位有(yǒu)前款行為(wèi)的，由公(gōng)安(ān)機關沒收違法所得，處10萬元以上100萬元以下罰款，并對直接負責的主管人員和其他(tā)直接責任人員依照前款規定處罰。

違反本條例第五條第二款和第三十一條規定，受到治安(ān)管理(lǐ)處罰的人員，5年内不得從事網絡安(ān)全管理(lǐ)和網絡運營關鍵崗位的工(gōng)作(zuò)；受到刑事處罰的人員，終身不得從事網絡安(ān)全管理(lǐ)和網絡運營關鍵崗位的工(gōng)作(zuò)。

第四十四條　網信部門、公(gōng)安(ān)機關、保護工(gōng)作(zuò)部門和其他(tā)有(yǒu)關部門及其工(gōng)作(zuò)人員未履行關鍵信息基礎設施安(ān)全保護和監督管理(lǐ)職責或者玩忽職守、濫用(yòng)職權、徇私舞弊的，依法對直接負責的主管人員和其他(tā)直接責任人員給予處分(fēn)。

第四十五條　公(gōng)安(ān)機關、保護工(gōng)作(zuò)部門和其他(tā)有(yǒu)關部門在開展關鍵信息基礎設施網絡安(ān)全檢查工(gōng)作(zuò)中(zhōng)收取費用(yòng)，或者要求被檢查單位購(gòu)買指定品牌或者指定生産(chǎn)、銷售單位的産(chǎn)品和服務(wù)的，由其上級機關責令改正，退還收取的費用(yòng)；情節嚴重的，依法對直接負責的主管人員和其他(tā)直接責任人員給予處分(fēn)。

第四十六條　網信部門、公(gōng)安(ān)機關、保護工(gōng)作(zuò)部門等有(yǒu)關部門、網絡安(ān)全服務(wù)機構及其工(gōng)作(zuò)人員将在關鍵信息基礎設施安(ān)全保護工(gōng)作(zuò)中(zhōng)獲取的信息用(yòng)于其他(tā)用(yòng)途，或者洩露、出售、非法向他(tā)人提供的，依法對直接負責的主管人員和其他(tā)直接責任人員給予處分(fēn)。

第四十七條　關鍵信息基礎設施發生重大和特别重大網絡安(ān)全事件，經調查确定為(wèi)責任事故的，除應當查明運營者責任并依法予以追究外，還應查明相關網絡安(ān)全服務(wù)機構及有(yǒu)關部門的責任，對有(yǒu)失職、渎職及其他(tā)違法行為(wèi)的，依法追究責任。

第四十八條　電(diàn)子政務(wù)關鍵信息基礎設施的運營者不履行本條例規定的網絡安(ān)全保護義務(wù)的，依照《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》有(yǒu)關規定予以處理(lǐ)。

第四十九條　違反本條例規定，給他(tā)人造成損害的，依法承擔民(mín)事責任。

違反本條例規定，構成違反治安(ān)管理(lǐ)行為(wèi)的，依法給予治安(ān)管理(lǐ)處罰；構成犯罪的，依法追究刑事責任。

第六章　附則

第五十條　存儲、處理(lǐ)涉及國(guó)家秘密信息的關鍵信息基礎設施的安(ān)全保護，還應當遵守保密法律、行政法規的規定。

關鍵信息基礎設施中(zhōng)的密碼使用(yòng)和管理(lǐ)，還應當遵守相關法律、行政法規的規定。

第五十一條　本條例自2021年9月1日起施行。

（來源：中(zhōng)國(guó)政府網）

版權所有(yǒu)：山(shān)西科(kē)信源科(kē)技(jì )股份有(yǒu)限公(gōng)司
咨詢熱線(xiàn)：0351-4073466
地址：（北區(qū)）山(shān)西省太原市迎澤區(qū)新(xīn)建南路文(wén)源巷24号文(wén)源公(gōng)務(wù)中(zhōng)心5層
（南區(qū)）太原市小(xiǎo)店(diàn)區(qū)南中(zhōng)環街(jiē)529 号清控創新(xīn)基地A座4層