关键信息基础设施安全保护条例
2021年7月30日,国务院发布《关键信息基础设施安全保护条例》(以下简称《条例》)[国令第745号],将于2021年9月1日起施行。《条例》自2017年公开征求意见到正式发布历时4年,全文共六章五十一条,其中,新增十条,重大修订三十六条,章节结构与条款内容发生了较大调整,简单直接对比难以展示修订变化,因此本文重新梳理了条款对应关系,并在调整条款顺序的基础上做全文对照分析与修订,供读者参考。
来源说明:
“条例终稿”来源是中华人民共和国中央人民政府网:http://www.gov.cn/zhengce/content/2021-08/17/content_5631671.htm
“条例征求意见稿”来源是中华人民共和国国家互联网信息办公室网:http://www.cac.gov.cn/2017-07/11/c_1121294220.htm
关注本公众号,回复关键词“关基条例”,可下载《关键信息基础设施安全保护条例》“终稿”、“征求意见稿”以及“终稿与征求意见稿的比对稿”三项文件。
关键信息基础设施安全保护条例
(征求意见稿)
第一章 总则
第一条 为了保障关键信息基础设施安全, 维护网络安全, 根据《中华人民共和国网络安全法》,制定本条例。
第十八条 第二条 下列单位运行、管理的网络 本条例所称关键信息基础 设施 ,是指公共通信 和信息系统, 服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他 一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围: 重要网络、信息 系统等。
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息 重要 网络,以及提供云计算、大数据和其他大型公共 设施、 信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位 系统等 。
第四条 第三条 在 国家行业主管或监管部门按照国务院规定的职责分工, 网信部门统筹协调下,国务院公安部门 负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。
国家网信 国务院电信主管 部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密 和其他有关部门依照本条例和有关法律、 行政管理、国家密码管理等部门 法规的规定, 在各自职责范围内负责相关网络 关键信息基础设施 安全保护和监督管理工作。
县级以上地方 省级 人民政府有关部门按照国家有关规定开展 依据各自职责对 关键信息基础设施 实施 安全保护工作 和监督管理 。
第五条 第四条 关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实 关键信息基础设施的运营者(以下称 简称 运营者)对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受 充分发挥 政府和社会监督,承担 及 社会责任。
国家鼓励关键信息基础设施以外的网络运营者自愿参与 各方面的作用,共同保护 关键信息基础设施保护体系 安全 。
第六条 第五条 国家对 关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。
第八条国家 , 采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络 危害关键信息基础设施安全的 违法犯罪活动 。
任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全 。
第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
第七条 对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。
第三 二 章 关键信息基础设施范围 认定
第八条 本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)。
第十八条 第九条 下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入 保护工作部门结合本行业、本领域实际,制定 关键信息基础设施保护范围 认定规则,并报国务院公安部门备案。
制定认定规则应当主要考虑下列因素 :
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业 网络设施、信息系统等对于本行业、本 领域的单位 关键核心业务的重要程度 ;
(二)电信网、广播电视网、互联网等 网络设施、 信息网络,以及提供云计算、大 系统等一旦遭到破坏、丧失功能或者 数据和其他大型公共信息网络服务的单位 泄露可能带来的危害程度 ;
(三)国防科工、大型装备、化工、食品药品等 对其他 行业 和 领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位; 的关联性影响。
(五)其他重点单位。
第十条 保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
第二十条 第十一条 新建、停运 关键信息基础设施 ,或关键信息基础设施 发生 重大 较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告 国家行业主管或监管部门。
国家行业主管或监管部门应当根据 保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者 报告的情况及时进行识别调整,并按程序报送调整情况 ,并通报国务院公安部门。
第四 三 章 运营者安全保护 责任义务
第二十一条 第十二条 建设 安全保护措施应当与 关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第二十二条 第十三条 运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。 运营者 的 主要负责人是本单位 对 关键信息基础设施安全保护工作第一责任人,负责建立健全网络安全责任制并组织落实,对本单位 负总责,领导 关键信息基础设施安全保护 和重大网络安全事件处置 工作全面负责 ,组织研究解决重大网络安全问题 。
第二十四条 第十四条 除本条例第二十三条外,运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求,履行下列安全保护义务:
(一)设置专门网络安全管理机构和网络安全管理负责人,并对该 ,并对专门安全管理机构 负责人和关键岗位人员进行安全背景审查; 。审查时,公安机关、国家安全机关应当予以协助。
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份,及时对系统漏洞等安全风险采取补救措施;
(四)制定网络安全事件应急预案并定期进行演练;
(五)法律、行政法规规定的其他义务。
第二十五条 第十五条 运营者网络 专门 安全管理负责人 机构具体负责本单位的关键信息基础设施安全保护工作, 履行下列职责:
(一) 组织制定 )建立健全 网络安全规章制度、操作规程并监督执行 管理、评价考核制度,拟订关键信息基础设施安全保护计划 ;
(二)组织对关键岗位人员的技能考核 推动网络安全防护能力建设,开展网络安全监测、检测和风险评估 ;
(三)组织 按照国家及行业网络安全事件应急预案, 制定并实施本单位 应急预案,定期开展应急演练,处置 网络安全教育和培训计划 事件 ;
(四) 认定网络安全关键岗位, 组织开展网络安全检查和应急演练,应对处置 工作考核,提出奖励和惩处建议;
(五)组织 网络安全事件 教育、培训 ;
(五 六 )按 履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
(八)按照 规定向国家有关部门报告网络安全 事件和 重要事项、事件。
第十三条 第十六条 国家行业主管或监管部门 运营者 应当设立或明确 保障 专门负责本行业、本领域关键信息基础设施安全保护工作的 管理 机构和人员,编制并组织实施本行业、本领域的 的运行经费、配备相应的人员,开展与 网络安全规划,建立健全工作经费保障机制并督促落实。 和信息化有关的决策应当有专门安全管理机构人员参与。
第二十八条 第十七条 运营者应当建立健全关键信息基础设施安全检测评估制度,关键信息基础设施上线运行前 自行 或者发生重大变化时应当进行安全检测评估。
运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行一次 网络安全 检测 和风险 评估,对发现的 安全 问题及时进行整改,并将有关 按照保护工作部门要求报送 情况报国家行业主管或监管部门。
第三十七条 第十八条 国家行业主管或监管部门应当建立健全本行业、本领域的关键信息基础设施 发生重大 网络安全监测预警和信息通报制度,及时掌握本行业、本领域 事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。
发生 关键信息基础设施 整体中断 运行状况和 或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络 安全风险,向有关运营者通报安全风险和相关 事件或者发现特别重大网络安全威胁时,保护 工作信息。
国家行业主管或监管部门 部门 应当组织对安全监测信息进行研判,认为需要立即采取防范应对措施的,应当 在收到报告后, 及时向有关运营者发布预警信息和应急防范措施建议,并按照国家网络安全事件应急预案的要求向有关 网信部门、国务院公安 部门报告。
第三十一条 第十九条 运营者 应当优先 采购 安全可信的 网络产品和服务, ;采购网络产品和服务 可能影响国家安全的,应当按照 国家 网络产品和服务安全审查办法的要求, 规定 通过网络安全审查,并与 。
第二十条 运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务 提供者签订安全保密协议 ,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督 。
第二十一条 运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。
第二 四 章 支持与保障 和促进
第十三条 第二十二条 国家行业主管或监管部门 保护工作部门 应当设立或明确专门负责 制定 本行业、本领域关键信息基础设施安全 规划,明确 保护 目标、基本要求、 工作的机构和人员,编制并组织实施本行业、本领域的网络安全规划,建立健全工作经费保障机制并督促落实 任务、具体措施 。
第三十六条 第二十三条 国家网信部门统筹 协调有关部门 建立关键信息基础设施网络安全监测预警体系和信息通报制度,组织指导有关机构开展网络安全信息 共享机制,及时 汇总、分析研判和通报工作,按照规定统一 、共享、 发布网络安全监测预警 威胁、漏洞、事件等 信息。
第三十八条国家网信 ,促进有关 部门统筹协调有关 、保护工作 部门、运营者以及有关研究机构、网络安全服务机构建立关键信息基础设施网络安全信息共享机制,促进 等之间的 网络安全信息共享。
第三十七条 第二十四条 国家行业主管或监管部门 保护工作部门 应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度,及时掌握本行业、本领域关键信息基础设施运行状况和 、 安全风险,向有关运营者 态势,预警 通报安全风险和相关工作信息。
国家行业主管或监管部门应当组织对 网络 安全监测信息进行研判,认为需要立即采取防范应对措施的,应当及时向有关运营者发布预警信息和应急防范措施建议,并按照国家网络 威胁和隐患,指导做好 安全事件应急预案的要求向有关部门报告 防范工作 。
第三十九条 第二十五条 国家网信 保护工作 部门 应当 按照国家网络安全事件应急预案的要求,统筹有关部门建立健全关键信息基础设施网络安全应急协作机制,加强网络安全应急力量建设,指导协调有关部门组织跨行业、跨地域网络安全应急演练。
国家行业主管或监管部门应当组织制定本行业、本领域的网络安全事件应急预案,并定期组织 应急 演练,提升 ;指导运营者做好 网络安全事件应对和灾难恢复能力。发生重大网络安全事件或接到网信部门的预警信息后,应立即启动应急预案 处置,并根据需要 组织应对,并及时报告有关情况 提供技术支持与协助 。
第四十条 第二十六条 国家行业主管或监管部门 保护工作部门 应当定期组织对 开展 本行业、本领域关键信息基础设施的 网络 安全风险以及运营者履行安全保护义务的情况进行抽查 检查 检测,提出改进措施,指导、督促 监督 运营者及时整改检测评估中发现的问题 安全隐患、完善安全措施 。
第二十七条 国家网信部门统筹协调有关 国务院公安 部门开展的抽查检测 、保护 工作,避免交叉重复检测评估 部门对关键信息基础设施进行网络安全检查检测,提出改进措施 。
第四十一条有关部门组织 在 开展关键信息基础设施 网络 安全检测评估,应坚持客观公正、高效透明的原则,采取科学的检测评估方法,规范检测评估流程,控制检测评估风险 检查时,应当加强协同配合、信息沟通,避免不必要的检查和交叉重复检查。检查工作不得收取费用,不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务 。
第二十八条 运营者应当对 对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等 有关部门依法实施的检测评估 开展的关键信息基础设施网络安全检查工作应当 予以配合,对检测评估发现的问题及时进行整改。
第二十九条 在关键信息基础设施安全保护工作中,国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要,及时提供技术支持和协助。
第四十三条 第三十条 网信部门、公安机关、保护工作部门等 有关部门以及 , 网络安全服务机构 及其工作人员对于 在关键信息基础设施安全检测评估 保护工作 中获取的信息,只能用于维护网络安全的需要 ,并严格按照有关法律、行政法规的要求确保信息安全 ,不得用于其他用途 泄露、出售或者非法向他人提供 。
第十六条 第三十一条 未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权, 任何个人和组织不得从事下列危害关键信息基础设施的活动和行为:
(一)攻击、侵入、干扰、破坏 对 关键信息基础设施;
(二)非法获取、出售或者未经授权向他人提供 实施漏洞探测、渗透性测试等 可能被专门用于 影响或者 危害关键信息基础设施安全的技术资料等信息;
(三)未经授权对关键信息 活动。对 基础设施开展渗透性、攻击性扫描探测;
(四)明知他人从事危害关键信息基础设施安全的活动,仍然为其提供互联网接入、服务器托管、 电信 网络存储、通讯传输、广告推广、支付结算等帮助;
(五)其他危害关键信息基础设施的 实施漏洞探测、渗透性测试等 活动和行为 ,应当事先向国务院电信主管部门报告 。
第十四条 第三十二条 国家采取措施,优先保障 能源、电信、交通等 等关键信息基础设施安全运行。
能源、电信 行业应当为 采取措施,为其他行业和领域的 关键信息基础设施网络安全事件应急处置与网络功能恢复 运行 提供电力供应、网络通信、交通运输等方面的重点保障和支持。
第十五条 第三十三条 公安机关等部门 、国家安全机关依据各自职责 依法侦查 加强关键信息基础设施安全保卫,防范 打击针对和利用关键信息基础设施实施的违法犯罪活动。
第十条 第三十四条 国家建立 制定 和完善网络 关键信息基础设施 安全标准体系,利用标准 , 指导、规范关键信息基础设施安全保护工作。
第九条 第三十五条 国家制定产业、财税、金融、 采取措施,鼓励网络安全专门 人才等政策, 从事关键信息基础设施安全保护工作;将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。
第三十六条 国家 支持关键信息基础设施安全相关的 防护 技术、产品、服务创新,推广安全可信的网络产品和服务,培养和选拔网络安全人才,提高 和产业发展,组织力量实施 关键信息基础设施的安全水平 技术攻关 。
第三十七条 国家加强网络安全服务机构建设和管理,制定管理要求并加强监督指导,不断提升服务机构能力水平,充分发挥其在关键信息基础设施安全保护中的作用。
第三十八条 国家加强网络安全军民融合,军地协同保护关键信息基础设施安全。
第七 五 章 法律责任
第四十五条 第三十九条 运营者不 有下列情形之一的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款:
(一)在关键信息基础设施发生较大变化,可能影响其认定结果时未及时将相关情况报告保护工作部门的;
(二)安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的;
(三)未建立健全网络安全保护制度和责任制的;
(四)未设置专门安全管理机构的;
(五)未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的;
(六)开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的;
(七)专门安全管理机构未 履行本条例第二十条第一款、第二十一条、第二十三条、第二十四条、第二十六条、第二十七条、第二十八条、第三十条、第三十二条、第三十三条、第三十四条规定的 第十五条规定的职责的;
(八)未对关键信息基础设施每年至少进行一次网络安全检测和风险评估,未对发现的安全问题及时整改,或者未按照保护工作部门要求报送情况的;
(九)采购网络产品和服务,未按照国家有关规定与网络产品和服务提供者签订安全保密协议的;
(十)发生合并、分立、解散等情况,未及时报告保护工作部门,或者未按照保护工作部门的要求对关键信息基础设施进行处置的。
第四十条 运营者在关键信息基础设施发生重大 网络安全 事件或者发现重大网络安全威胁时,未按照有关规定向 保护义务的,由有关主管 工作部门、公安机关报告的,由保护工作 部门 、公安机关 依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元 10 万元 以上一百万元 100 万元 以下罚款,对直接负责的主管人员处一万元 1 万元 以上十万元 10 万元 以下罚款。
第四十七条 第四十一条 运营者违反本条例第三十一条规定,使用未经安全审查或 采购可能影响国家 安全审查未通过的网络产品或者 和 服务 ,未按照国家网络安全规定进行安全审查 的,由国家 网信部门等 有关主管部门依据职责责令停止使用 改正 ,处采购金额一 1 倍以上十 10 倍以下罚款; , 对直接负责的主管人员和其他直接责任人员处一万元 1 万元 以上十万元 10 万元 以下罚款。
第四十二条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的,由有关主管部门责令改正;拒不改正的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节严重的,依法追究相应法律责任。
第四十八条 第四十三条 实 个人违反本条例第十六条规定, 施非法侵入、干扰、破坏关键信息基础设施,危害其安全的活动 尚不构成犯罪的, 依照《中华人民共和国网络安全法》有关规定, 由公安机关没收违法所得,处五日 5 日 以下拘留,可以并处五万元 5 万元 以上五十万元 50 万元 以下罚款;情节较重的,处五日 5 日 以上十五日 15 日 以下拘留,可以并处十万元 10 万元 以上一百万元 100 万元 以下罚款;构成犯罪的,依法追究刑事责任。
单位有前款行为的,由公安机关没收违法所得,处十万元 10 万元 以上一百万元 100 万元 以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本条例第十六条 第五条第二款和第三十一条 规定,受到 治安管理处罚的人员,5年内不得从事网络安全管理和网络运营关键岗位的工作;受到 刑事处罚的人员,终身不得从事关键信息基础设施 网络 安全管理和网络运营关键岗位的工作。
第五十条 第四十四条 网信部门、公安机关、保护工作部门和其他 有关部门及其工作人员有下列行为之一 未履行关键信息基础设施安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊 的, 依法 对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任:
(一)在工作中利用职权索取、收受贿赂;
(二)玩忽职守、滥用职权;
(三)擅自泄露关键信息基础设施有关信息、资料及数据文件;
(四)其他违反法定职责的行为。
第四十四条 第四十五条 公安机关、保护工作部门和其他 有关部门组织 在 开展关键信息基础设施 网络 安全检测评估,不得向被检测评估单位 检查工作中 收取费用,不得 或者 要求被检测评估 检查 单位购买指定品牌或者指定生产、销售单位的产品和服务 的,由其上级机关责令改正,退还收取的费用;情节严重的,依法对直接负责的主管人员和其他直接责任人员给予处分 。
第五十条 第四十六条 网信部门、公安机关、保护工作部门等 有关部门 、网络安全服务机构 及其工作人员有下列行为之一的, 将在关键信息基础设施安全保护工作中获取的信息用于其他用途,或者泄露、出售、非法向他人提供的,依法 对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任:
(一)在工作中利用职权索取、收受贿赂;
(二)玩忽职守、滥用职权;
(三)擅自泄露关键信息基础设施有关信息、资料及数据文件;
(四)其他违反法定职责的行为。
第五十一条 第四十七条 关键信息基础设施发生重大 和特别重大 网络安全事件,经调查确定为责任事故的,除应当查明运营单位 者 责任并依法予以追究外,还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。
第四十九条 第四十八条 国家机关 电子政务 关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的,由其上级机关或者 依照《中华人民共和国网络安全法》 有关机关责令改正;对直接负责的主管人员和其他直接负责人员依法给予处分 规定予以处理 。
第四十九条 违反本条例规定,给他人造成损害的,依法承担民事责任。
违反本条例规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第八 六 章 附则
第五十三条 第五十条 存储、处理涉及国家秘密信息的关键信息基础设施的安全保护,还应当遵守保密法律、行政法规的规定。
关键信息基础设施中的密码使用和管理,还应当遵守密码 相关 法律、行政法规的规定。
第五十四条军事关键信息基础设施的安全保护,由中央军事委员会另行规定。
第五十五条
第五十一条
本条例自****年**月**
2021
年9月1
日起施行。
关注本公众号“CipherGateway”,回复关键词“关基条例”,可下载《关键信息基础设施安全保护条例》“终稿”、“征求意见稿”以及“终稿与征求意见稿的比对稿”三项文件。
京公网安备 11010802038255号 