2021版关键信息基础设施安全保护条例.docx

2021版关键信息基础设施安全保护条例When the lives of employees or national property are endangered, productionactivities are stopped to rectify and eliminate dangerous factors.（安全管理）单位： 日期： 2021版关键信息基础设施安全保护条例*I 1I I导语：生产有了安全保障，才能持续、稳定发展生产活动中事故层出不穷，生产 I II II I势必陷于混乱、甚至瘫痪状态当生产与安全发生矛盾、危及职工生命或国家财产I II II I时，生产活动停下来整治、消除危险因素以后，生产形势会变得更好〃安全第一〃I II I的提法，决非把安全摆到生产之上;忽视安全自然是一种错误I II I1_ —I第一章总则第一条为了保障关键信息基础设施安全，根据《中华人民共和国网络安全法》，制定本条例第二条在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施，以及开展关键信息基础设施的安全保护，适用本条例第三条关键信息基础设施安全保护坚持顶层设计、整体防护，统筹协调、分工负责的原则，充分发挥运营主体作用，社会各方积极参与，共同保护关键信息基础设施安全。

第四条国家行业主管或监管部门按照国务院规定的职责分工，负责指导和监督本行业、本领域的关键信息基础设施安全保护工作国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理YK-AQ-0177 工作县级以上地方人民政府有关部门按照国家有关规定开展关键信息 基础设施安全保护工作第五条关键信息基础设施的运营者（以下称运营者）对本单位关 键信息基础设施安全负主体责任，履行网络安全保护义务，接受政府 和社会监督，承担社会责任国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息 基础设施保护体系第六条关键信息基础设施在网络安全等级保护制度基础上，实行 重点保护第七条任何个人和组织发现危害关键信息基础设施安全的行为， 有权向网信、电信、公安等部门以及行业主管或监管部门举报收到举报的部门应当及时依法作出处理；不属于本部门职责的， 应当及时移送有权处理的部门有关部门应当对举报人的相关信息予以保密，保护举报人的合法 权益第二章支持与保障第八条国家采取措施，监测、防御、处置来源于中华人民共和国安全管理 | DOCUMENT TEMPLAT YK-AQ-0177 境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵 入、干扰和破坏，依法惩治网络违法犯罪活动。

第九条国家制定产业、财税、金融、人才等政策，支持关键信息 基础设施安全相关的技术、产品、服务创新，推广安全可信的网络产 品和服务，培养和选拔网络安全人才，提高关键信息基础设施的安全 水平第十条国家建立和完善网络安全标准体系，利用标准指导、规范 关键信息基础设施安全保护工作第十一条地市级以上人民政府应当将关键信息基础设施安全保护 工作纳入地区经济社会发展总体规划，加大投入，开展工作绩效考核 评价第十二条国家鼓励政府部门、运营者、科研机构、网络安全服务 机构、行业组织、网络产品和服务提供者开展关键信息基础设施安全 合作第十三条国家行业主管或监管部门应当设立或明确专门负责本行 业、本领域关键信息基础设施安全保护工作的机构和人员，编制并组 织实施本行业、本领域的网络安全规划，建立健全工作经费保障机制 并督促落实YK-AQ-0177第十四条能源、电信、交通等行业应当为关键信息基础设施网络 安全事件应急处置与网络功能恢复提供电力供应、网络通信、交通运 输等方面的重点保障和支持第十五条公安机关等部门依法侦查打击针对和利用关键信息基础 设施实施的违法犯罪活动第十六条任何个人和组织不得从事下列危害关键信息基础设施的 活动和行为：（一） 攻击、侵入、干扰、破坏关键信息基础设施；（二） 非法获取、出售或者未经授权向他人提供可能被专门用于 危害关键信息基础设施安全的技术资料等信息；（三） 未经授权对关键信息基础设施开展渗透性、攻击性扫描探 测；（四） 明知他人从事危害关键信息基础设施安全的活动，仍然为 其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、 支付结算等帮助；（五） 其他危害关键信息基础设施的活动和行为。

第十七条国家立足开放环境维护网络安全，积极开展关键信息基 础设施安全领域的国际交流与合作YK-AQ-0177第三章关键信息基础设施范围第十八条下列单位运行、管理的网络设施和信息系统，一旦遭到 破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、 公共利益的，应当纳入关键信息基础设施保护范围：（一） 政府机关和能源、金融、交通、水利、卫生医疗、教育、 社保、环境保护、公用事业等行业领域的单位；（二） 电信网、广播电视网、互联网等信息网络，以及提供云计 算、大数据和其他大型公共信息网络服务的单位；（三） 国防科工、大型装备、化工、食品药品等行业领域科研生 产单位；（四） 广播电台、电视台、通讯社等新闻单位；（五） 其他重点单位第十九条国家网信部门会同国务院电信主管部门、公安部门等部 门制定关键信息基础设施识别指南国家行业主管或监管部门按照关键信息基础设施识别指南，组织 识别本行业、本领域的关键信息基础设施，并按程序报送识别结果关键信息基础设施识别认定过程中，应当充分发挥有关专家作用， 提高关键信息基础设施识别认定的准确性、合理性和科学性YK-AQ-0177第二十条新建、停运关键信息基础设施，或关键信息基础设施发 生重大变化的，运营者应当及时将相关情况报告国家行业主管或监管 部门。

国家行业主管或监管部门应当根据运营者报告的情况及时进行识 别调整，并按程序报送调整情况第四章运营者安全保护第二十一条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同 步使用第二十二条运营者主要负责人是本单位关键信息基础设施安全保 护工作第一责任人，负责建立健全网络安全责任制并组织落实，对本 单位关键信息基础设施安全保护工作全面负责第二十三条运营者应当按照网络安全等级保护制度的要求，履行 下列安全保护义务，保障关键信息基础设施免受干扰、破坏或者未经 授权的访问，防止网络数据泄漏或者被窃取、篡改：（一） 制定内部安全管理制度和操作规程，严格身份认证和权限 管理；（二） 采取技术措施，防范计算机病毒和网络攻击、网络侵入等安全管理 | DOCUMENT TEMPLAT YK-AQ-0177危害网络安全行为；（三） 采取技术措施，监测、记录网络运行状态、网络安全事件，并按照规定留存相关的网络日志不少于六个月；（四） 采取数据分类、重要数据备份和加密认证等措施第二十四条除本条例第二十三条外，运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求，履行下列安全保护义务：（一） 设置专门网络安全管理机构和网络安全管理负责人，并对该负责人和关键岗位人员进行安全背景审查；（二） 定期对从业人员进行网络安全教育、技术培训和技能考核;（三） 对重要系统和数据库进行容灾备份，及时对系统漏洞等安全风险采取补救措施；（四） 制定网络安全事件应急预案并定期进行演练；（五） 法律、行政法规规定的其他义务。

第二十五条运营者网络安全管理负责人履行下列职责：（一） 组织制定网络安全规章制度、操作规程并监督执行；（二） 组织对关键岗位人员的技能考核；（三） 组织制定并实施本单位网络安全教育和培训计划；（四） 组织开展网络安全检查和应急演练，应对处置网络安全事安全管理 | DOCUMENT TEMPLAT YK-AQ-0177 件；（五）按规定向国家有关部门报告网络安全重要事项、事件第二十六条运营者网络安全关键岗位专业技术人员实行执证上岗 制度执证上岗具体规定由国务院人力资源社会保障部门会同国家网信 部门等部门制定第二十七条运营者应当组织从业人员网络安全教育培训，每人每 年教育培训时长不得少于1个工作日，关键岗位专业技术人员每人每 年教育培训时长不得少于3个工作日第二十八条运营者应当建立健全关键信息基础设施安全检测评估 制度，关键信息基础设施上线运行前或者发生重大变化时应当进行安 全检测评估运营者应当自行或委托网络安全服务机构对关键信息基础设施的 安全性和可能存在的风险隐患每年至少进行一次检测评估，对发现的 问题及时进行整改，并将有关情况报国家行业主管或监管部门第二十九条运营者在中华人民共和国境内运营中收集和产生的个 人信息和重要数据应当在境内存储。

因业务需要，确需向境外提供的， 应当按照个人信息和重要数据出境安全评估办法进行评估；法律、行YK-AQ-0177 政法规另有规定的，依照其规定第五章产品和服务安全第三十条运营者采购、使用的网络关键设备、网络安全专用产品， 应当符合法律、行政法规的规定和相关国家标准的强制性要求第三十一条运营者采购网络产品和服务，可能影响国家安全的， 应当按照网络产品和服务安全审查办法的要求，通过网络安全审查， 并与提供者签订安全保密协议第三十二条运营者应当对外包开发的系统、软件，接受捐赠的网 络产品，在其上线应用前进行安全检测第三十三条运营者发现使用的网络产品、服务存在安全缺陷、漏 洞等风险的，应当及时采取措施消除风险隐患，涉及重大风险的应当 按规定向有关部门报告第三十四条关键信息基础设施的运行维护应当在境内实施因业 务需要，确需进行境外远程维护的，应事先报国家行业主管或监管部 门和国务院公安部门第三十五条面向关键信息基础设施开展安全检测评估，发布系统 漏洞、计算机病毒、网络攻击等安全威胁信息，提供云计算、信息技 术外包等服务的机构，应当符合有关要求安全管理 | DOCUMENT TEMPLAT YK-AQ-0177具体要求由国家网信部门会同国务院有关部门制定。

第六章监测预警、应急处置和检测评估第三十六条国家网信部门统筹建立关键信息基础设施网络安全监 测预警体系和信息通报制度，组织指导有关机构开展网络安全信息汇 总、分析研判和通报工作，按照规定统一发布网络安全监测预警信息第三十七条国家行业主管或监管部门应当建立健全本行业、本领 域的关键信息基础设施网络安全监测预警和信息通报制度，及时掌握 本行业、本领域关键信息基础设施运行状况和安全风险，向有关运营 者通报安全风险和相关工作信息国家行业主管或监管部门应当组织对安全监测信息进行研判，认 为需要立即采取防范应对措施的，应当及时向有关运营者发布预警信 息和应急防范措施建议，并按照国家网络安全事件应急预案的要求向 有关部门报告第三十八条国家网信部门统筹协调有关部门、运营者以及有关研 究机构、网络安全服务机构建立关键信息基础设施网络安全信息共享 机制，促进网络安全信息共享第三十九条国家网信部门按照国家网络安全事件应急预案的要 求，统筹有关部门建立健全关键信息基础设施网络安全应急协作机制，安全管理 | DOCUMENT TEMPLAT YK-AQ-0177 加强网络安全应急力量建设，指导协调有关部门组织跨行业、跨地域 网络安全应急演练。

国家行业主管或监管部。