山西兆强信息科技有限公司

中華人(people)民共和(and)國國務院令

第745号

《關鍵信息基礎設施安全保護條例》已經2021年4月27日國務院第133次常務會議通過，現予公布，自2021年9月1日起施行。

總理李克強

2021年7月30日

關鍵信息基礎設施安全保護條例

第一(one)章　總則

第一(one)條　爲(for)了(Got it)保障關鍵信息基礎設施安全，維護網絡安全，根據《中華人(people)民共和(and)國網絡安全法》，制定本條例。

第二條　本條例所稱關鍵信息基礎設施，是(yes)指公共通信和(and)信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要(want)行業和(and)領域的(of)，以(by)及其他(he)一(one)旦遭到(arrive)破壞、喪失功能或者數據洩露，可能嚴重危害國家安全、國計民生(born)、公共利益的(of)重要(want)網絡設施、信息系統等。

第三條　在(exist)國家網信部門統籌協調下，國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作(do)。國務院電信主管部門和(and)其他(he)有關部門依照本條例和(and)有關法律、行政法規的(of)規定，在(exist)各自職責範圍内負責關鍵信息基礎設施安全保護和(and)監督管理工作(do)。

省級人(people)民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和(and)監督管理。

第四條　關鍵信息基礎設施安全保護堅持綜合協調、分工負責、依法保護，強化和(and)落實關鍵信息基礎設施運營者（以(by)下簡稱運營者）主體責任，充分發揮政府及社會各方面的(of)作(do)用(use)，共同保護關鍵信息基礎設施安全。

第五條　國家對關鍵信息基礎設施實行重點保護，采取措施，監測、防禦、處置來(Come)源于(At)中華人(people)民共和(and)國境内外的(of)網絡安全風險和(and)威脅，保護關鍵信息基礎設施免受攻擊、侵入、幹擾和(and)破壞，依法懲治危害關鍵信息基礎設施安全的(of)違法犯罪活動。

任何個(indivual)人(people)和(and)組織不(No)得實施非法侵入、幹擾、破壞關鍵信息基礎設施的(of)活動，不(No)得危害關鍵信息基礎設施安全。

第六條　運營者依照本條例和(and)有關法律、行政法規的(of)規定以(by)及國家标準的(of)強制性要(want)求，在(exist)網絡安全等級保護的(of)基礎上，采取技術保護措施和(and)其他(he)必要(want)措施，應對網絡安全事件，防範網絡攻擊和(and)違法犯罪活動，保障關鍵信息基礎設施安全穩定運行，維護數據的(of)完整性、保密性和(and)可用(use)性。

第七條　對在(exist)關鍵信息基礎設施安全保護工作(do)中取得顯著成績或者作(do)出(out)突出(out)貢獻的(of)單位和(and)個(indivual)人(people)，按照國家有關規定給予表彰。

第二章　關鍵信息基礎設施認定

第八條　本條例第二條涉及的(of)重要(want)行業和(and)領域的(of)主管部門、監督管理部門是(yes)負責關鍵信息基礎設施安全保護工作(do)的(of)部門（以(by)下簡稱保護工作(do)部門）。

第九條　保護工作(do)部門結合本行業、本領域實際，制定關鍵信息基礎設施認定規則，并報國務院公安部門備案。

制定認定規則應當主要(want)考慮下列因素：

（一(one)）網絡設施、信息系統等對于(At)本行業、本領域關鍵核心業務的(of)重要(want)程度；

（二）網絡設施、信息系統等一(one)旦遭到(arrive)破壞、喪失功能或者數據洩露可能帶來(Come)的(of)危害程度；

（三）對其他(he)行業和(and)領域的(of)關聯性影響。

第十條　保護工作(do)部門根據認定規則負責組織認定本行業、本領域的(of)關鍵信息基礎設施，及時(hour)将認定結果通知運營者，并通報國務院公安部門。

第十一(one)條　關鍵信息基礎設施發生(born)較大(big)變化，可能影響其認定結果的(of)，運營者應當及時(hour)将相關情況報告保護工作(do)部門。保護工作(do)部門自收到(arrive)報告之日起3個(indivual)月内完成重新認定，将認定結果通知運營者，并通報國務院公安部門。

第三章　運營者責任義務

第十二條　安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用(use)。

第十三條　運營者應當建立健全網絡安全保護制度和(and)責任制，保障人(people)力、财力、物力投入。運營者的(of)主要(want)負責人(people)對關鍵信息基礎設施安全保護負總責，領導關鍵信息基礎設施安全保護和(and)重大(big)網絡安全事件處置工作(do)，組織研究解決重大(big)網絡安全問題。

第十四條　運營者應當設置專門安全管理機構，并對專門安全管理機構負責人(people)和(and)關鍵崗位人(people)員進行安全背景審查。審查時(hour)，公安機關、國家安全機關應當予以(by)協助。

第十五條　專門安全管理機構具體負責本單位的(of)關鍵信息基礎設施安全保護工作(do)，履行下列職責：

（一(one)）建立健全網絡安全管理、評價考核制度，拟訂關鍵信息基礎設施安全保護計劃；

（二）組織推動網絡安全防護能力建設，開展網絡安全監測、檢測和(and)風險評估；

（三）按照國家及行業網絡安全事件應急預案，制定本單位應急預案，定期開展應急演練，處置網絡安全事件；

（四）認定網絡安全關鍵崗位，組織開展網絡安全工作(do)考核，提出(out)獎勵和(and)懲處建議；

（五）組織網絡安全教育、培訓；

（六）履行個(indivual)人(people)信息和(and)數據安全保護責任，建立健全個(indivual)人(people)信息和(and)數據安全保護制度；

（七）對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理；

（八）按照規定報告網絡安全事件和(and)重要(want)事項。

第十六條　運營者應當保障專門安全管理機構的(of)運行經費、配備相應的(of)人(people)員，開展與網絡安全和(and)信息化有關的(of)決策應當有專門安全管理機構人(people)員參與。

第十七條　運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一(one)次網絡安全檢測和(and)風險評估，對發現的(of)安全問題及時(hour)整改，并按照保護工作(do)部門要(want)求報送情況。

第十八條　關鍵信息基礎設施發生(born)重大(big)網絡安全事件或者發現重大(big)網絡安全威脅時(hour)，運營者應當按照有關規定向保護工作(do)部門、公安機關報告。

發生(born)關鍵信息基礎設施整體中斷運行或者主要(want)功能故障、國家基礎信息以(by)及其他(he)重要(want)數據洩露、較大(big)規模個(indivual)人(people)信息洩露、造成較大(big)經濟損失、違法信息較大(big)範圍傳播等特别重大(big)網絡安全事件或者發現特别重大(big)網絡安全威脅時(hour)，保護工作(do)部門應當在(exist)收到(arrive)報告後，及時(hour)向國家網信部門、國務院公安部門報告。

第十九條　運營者應當優先采購安全可信的(of)網絡産品和(and)服務；采購網絡産品和(and)服務可能影響國家安全的(of)，應當按照國家網絡安全規定通過安全審查。

第二十條　運營者采購網絡産品和(and)服務，應當按照國家有關規定與網絡産品和(and)服務提供者簽訂安全保密協議，明确提供者的(of)技術支持和(and)安全保密義務與責任，并對義務與責任履行情況進行監督。

第二十一(one)條　運營者發生(born)合并、分立、解散等情況，應當及時(hour)報告保護工作(do)部門，并按照保護工作(do)部門的(of)要(want)求對關鍵信息基礎設施進行處置，确保安全。

第四章　保障和(and)促進

第二十二條　保護工作(do)部門應當制定本行業、本領域關鍵信息基礎設施安全規劃，明确保護目标、基本要(want)求、工作(do)任務、具體措施。

第二十三條　國家網信部門統籌協調有關部門建立網絡安全信息共享機制，及時(hour)彙總、研判、共享、發布網絡安全威脅、漏洞、事件等信息，促進有關部門、保護工作(do)部門、運營者以(by)及網絡安全服務機構等之間的(of)網絡安全信息共享。

第二十四條　保護工作(do)部門應當建立健全本行業、本領域的(of)關鍵信息基礎設施網絡安全監測預警制度，及時(hour)掌握本行業、本領域關鍵信息基礎設施運行狀況、安全态勢，預警通報網絡安全威脅和(and)隐患，指導做好安全防範工作(do)。

第二十五條　保護工作(do)部門應當按照國家網絡安全事件應急預案的(of)要(want)求，建立健全本行業、本領域的(of)網絡安全事件應急預案，定期組織應急演練；指導運營者做好網絡安全事件應對處置，并根據需要(want)組織提供技術支持與協助。

第二十六條　保護工作(do)部門應當定期組織開展本行業、本領域關鍵信息基礎設施網絡安全檢查檢測，指導監督運營者及時(hour)整改安全隐患、完善安全措施。

第二十七條　國家網信部門統籌協調國務院公安部門、保護工作(do)部門對關鍵信息基礎設施進行網絡安全檢查檢測，提出(out)改進措施。

有關部門在(exist)開展關鍵信息基礎設施網絡安全檢查時(hour)，應當加強協同配合、信息溝通，避免不(No)必要(want)的(of)檢查和(and)交叉重複檢查。檢查工作(do)不(No)得收取費用(use)，不(No)得要(want)求被檢查單位購買指定品牌或者指定生(born)産、銷售單位的(of)産品和(and)服務。

第二十八條　運營者對保護工作(do)部門開展的(of)關鍵信息基礎設施網絡安全檢查檢測工作(do)，以(by)及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的(of)關鍵信息基礎設施網絡安全檢查工作(do)應當予以(by)配合。

第二十九條　在(exist)關鍵信息基礎設施安全保護工作(do)中，國家網信部門和(and)國務院電信主管部門、國務院公安部門等應當根據保護工作(do)部門的(of)需要(want)，及時(hour)提供技術支持和(and)協助。

第三十條　網信部門、公安機關、保護工作(do)部門等有關部門，網絡安全服務機構及其工作(do)人(people)員對于(At)在(exist)關鍵信息基礎設施安全保護工作(do)中獲取的(of)信息，隻能用(use)于(At)維護網絡安全，并嚴格按照有關法律、行政法規的(of)要(want)求确保信息安全，不(No)得洩露、出(out)售或者非法向他(he)人(people)提供。

第三十一(one)條　未經國家網信部門、國務院公安部門批準或者保護工作(do)部門、運營者授權，任何個(indivual)人(people)和(and)組織不(No)得對關鍵信息基礎設施實施漏洞探測、滲透性測試等可能影響或者危害關鍵信息基礎設施安全的(of)活動。對基礎電信網絡實施漏洞探測、滲透性測試等活動，應當事先向國務院電信主管部門報告。

第三十二條　國家采取措施，優先保障能源、電信等關鍵信息基礎設施安全運行。

能源、電信行業應當采取措施，爲(for)其他(he)行業和(and)領域的(of)關鍵信息基礎設施安全運行提供重點保障。

第三十三條　公安機關、國家安全機關依據各自職責依法加強關鍵信息基礎設施安全保衛，防範打擊針對和(and)利用(use)關鍵信息基礎設施實施的(of)違法犯罪活動。

第三十四條　國家制定和(and)完善關鍵信息基礎設施安全标準，指導、規範關鍵信息基礎設施安全保護工作(do)。

第三十五條　國家采取措施，鼓勵網絡安全專門人(people)才從事關鍵信息基礎設施安全保護工作(do)；将運營者安全管理人(people)員、安全技術人(people)員培訓納入國家繼續教育體系。

第三十六條　國家支持關鍵信息基礎設施安全防護技術創新和(and)産業發展，組織力量實施關鍵信息基礎設施安全技術攻關。

第三十七條　國家加強網絡安全服務機構建設和(and)管理，制定管理要(want)求并加強監督指導，不(No)斷提升服務機構能力水平，充分發揮其在(exist)關鍵信息基礎設施安全保護中的(of)作(do)用(use)。

第三十八條　國家加強網絡安全軍民融合，軍地(land)協同保護關鍵信息基礎設施安全。

第五章　法律責任

第三十九條　運營者有下列情形之一(one)的(of)，由有關主管部門依據職責責令改正，給予警告；拒不(No)改正或者導緻危害網絡安全等後果的(of)，處10萬元以(by)上100萬元以(by)下罰款，對直接負責的(of)主管人(people)員處1萬元以(by)上10萬元以(by)下罰款：

（一(one)）在(exist)關鍵信息基礎設施發生(born)較大(big)變化，可能影響其認定結果時(hour)未及時(hour)将相關情況報告保護工作(do)部門的(of)；

（二）安全保護措施未與關鍵信息基礎設施同步規劃、同步建設、同步使用(use)的(of)；

（三）未建立健全網絡安全保護制度和(and)責任制的(of)；

（四）未設置專門安全管理機構的(of)；

（五）未對專門安全管理機構負責人(people)和(and)關鍵崗位人(people)員進行安全背景審查的(of)；

（六）開展與網絡安全和(and)信息化有關的(of)決策沒有專門安全管理機構人(people)員參與的(of)；

（七）專門安全管理機構未履行本條例第十五條規定的(of)職責的(of)；

（八）未對關鍵信息基礎設施每年至少進行一(one)次網絡安全檢測和(and)風險評估，未對發現的(of)安全問題及時(hour)整改，或者未按照保護工作(do)部門要(want)求報送情況的(of)；

（九）采購網絡産品和(and)服務，未按照國家有關規定與網絡産品和(and)服務提供者簽訂安全保密協議的(of)；

（十）發生(born)合并、分立、解散等情況，未及時(hour)報告保護工作(do)部門，或者未按照保護工作(do)部門的(of)要(want)求對關鍵信息基礎設施進行處置的(of)。

第四十條　運營者在(exist)關鍵信息基礎設施發生(born)重大(big)網絡安全事件或者發現重大(big)網絡安全威脅時(hour)，未按照有關規定向保護工作(do)部門、公安機關報告的(of)，由保護工作(do)部門、公安機關依據職責責令改正，給予警告；拒不(No)改正或者導緻危害網絡安全等後果的(of)，處10萬元以(by)上100萬元以(by)下罰款，對直接負責的(of)主管人(people)員處1萬元以(by)上10萬元以(by)下罰款。

第四十一(one)條　運營者采購可能影響國家安全的(of)網絡産品和(and)服務，未按照國家網絡安全規定進行安全審查的(of)，由國家網信部門等有關主管部門依據職責責令改正，處采購金額1倍以(by)上10倍以(by)下罰款，對直接負責的(of)主管人(people)員和(and)其他(he)直接責任人(people)員處1萬元以(by)上10萬元以(by)下罰款。

第四十二條　運營者對保護工作(do)部門開展的(of)關鍵信息基礎設施網絡安全檢查檢測工作(do)，以(by)及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的(of)關鍵信息基礎設施網絡安全檢查工作(do)不(No)予配合的(of)，由有關主管部門責令改正；拒不(No)改正的(of)，處5萬元以(by)上50萬元以(by)下罰款，對直接負責的(of)主管人(people)員和(and)其他(he)直接責任人(people)員處1萬元以(by)上10萬元以(by)下罰款；情節嚴重的(of)，依法追究相應法律責任。

第四十三條　實施非法侵入、幹擾、破壞關鍵信息基礎設施，危害其安全的(of)活動尚不(No)構成犯罪的(of)，依照《中華人(people)民共和(and)國網絡安全法》有關規定，由公安機關沒收違法所得，處5日以(by)下拘留，可以(by)并處5萬元以(by)上50萬元以(by)下罰款；情節較重的(of)，處5日以(by)上15日以(by)下拘留，可以(by)并處10萬元以(by)上100萬元以(by)下罰款。

單位有前款行爲(for)的(of)，由公安機關沒收違法所得，處10萬元以(by)上100萬元以(by)下罰款，并對直接負責的(of)主管人(people)員和(and)其他(he)直接責任人(people)員依照前款規定處罰。

違反本條例第五條第二款和(and)第三十一(one)條規定，受到(arrive)治安管理處罰的(of)人(people)員，5年内不(No)得從事網絡安全管理和(and)網絡運營關鍵崗位的(of)工作(do)；受到(arrive)刑事處罰的(of)人(people)員，終身不(No)得從事網絡安全管理和(and)網絡運營關鍵崗位的(of)工作(do)。

第四十四條　網信部門、公安機關、保護工作(do)部門和(and)其他(he)有關部門及其工作(do)人(people)員未履行關鍵信息基礎設施安全保護和(and)監督管理職責或者玩忽職守、濫用(use)職權、徇私舞弊的(of)，依法對直接負責的(of)主管人(people)員和(and)其他(he)直接責任人(people)員給予處分。

第四十五條　公安機關、保護工作(do)部門和(and)其他(he)有關部門在(exist)開展關鍵信息基礎設施網絡安全檢查工作(do)中收取費用(use)，或者要(want)求被檢查單位購買指定品牌或者指定生(born)産、銷售單位的(of)産品和(and)服務的(of)，由其上級機關責令改正，退還收取的(of)費用(use)；情節嚴重的(of)，依法對直接負責的(of)主管人(people)員和(and)其他(he)直接責任人(people)員給予處分。

第四十六條　網信部門、公安機關、保護工作(do)部門等有關部門、網絡安全服務機構及其工作(do)人(people)員将在(exist)關鍵信息基礎設施安全保護工作(do)中獲取的(of)信息用(use)于(At)其他(he)用(use)途，或者洩露、出(out)售、非法向他(he)人(people)提供的(of)，依法對直接負責的(of)主管人(people)員和(and)其他(he)直接責任人(people)員給予處分。

第四十七條　關鍵信息基礎設施發生(born)重大(big)和(and)特别重大(big)網絡安全事件，經調查确定爲(for)責任事故的(of)，除應當查明運營者責任并依法予以(by)追究外，還應查明相關網絡安全服務機構及有關部門的(of)責任，對有失職、渎職及其他(he)違法行爲(for)的(of)，依法追究責任。

第四十八條　電子政務關鍵信息基礎設施的(of)運營者不(No)履行本條例規定的(of)網絡安全保護義務的(of)，依照《中華人(people)民共和(and)國網絡安全法》有關規定予以(by)處理。

第四十九條　違反本條例規定，給他(he)人(people)造成損害的(of)，依法承擔民事責任。

違反本條例規定，構成違反治安管理行爲(for)的(of)，依法給予治安管理處罰；構成犯罪的(of)，依法追究刑事責任。

第六章　附則

第五十條　存儲、處理涉及國家秘密信息的(of)關鍵信息基礎設施的(of)安全保護，還應當遵守保密法律、行政法規的(of)規定。

關鍵信息基礎設施中的(of)密碼使用(use)和(and)管理，還應當遵守相關法律、行政法規的(of)規定。

第五十一(one)條　本條例自2021年9月1日起施行。

（來(Come)源：中國政府網）

《關鍵信息基礎設施安全保護條例》發布，9月1日起施行