關鍵信息基礎設施安全保護條例第一章總則

第一條為了確保關鍵信息基礎設施安全，根據《中華人民共和國網絡安全法》，制訂本條例。

第二條在中華人民共和國境內規(guī)劃、建設、運營、保護、采用關鍵信息基礎設施，以及積極開展關鍵信息基礎設施的安全維護，適用于本條例。

第三條關鍵信息基礎設施安全維護秉持頂層設計、整體防護，統(tǒng)籌規(guī)劃協同、分工負責的原則，充分發(fā)揮運營主體作用，社會各方積極參與，共同維護關鍵信息基礎設施安全。

第四條國家行業(yè)主管或監(jiān)管部門按照國務院規(guī)定的職責分工，負責管理指導和監(jiān)督本行業(yè)、本領域的關鍵信息基礎設施安全維護工作。

國家網信部門負責管理統(tǒng)籌規(guī)劃協同關鍵信息基礎設施安全維護工作和有關監(jiān)督管理工作。國務院公安、國家安全、國家保密行政管理、國家密碼管理等部門在各自職責范圍內負責管理有關網絡安全維護和監(jiān)督管理工作。

縣級以上地方人民政府有關部門按照國家有關規(guī)定積極開展關鍵信息基礎設施安全維護工作。

第五條關鍵信息基礎設施的運營者（以下表示運營者）對本單位關鍵信息基礎設施安全正數主體責任，履行職責網絡安全維護義務，拒絕接受政府和社會監(jiān)督，分擔社會責任。

國家引導關鍵信息基礎設施以外的網絡運營者自愿參予關鍵信息基礎設施維護體系。

第六條關鍵信息基礎設施在網絡安全等級維護制度基礎上，推行重點保護。

第七條任何個人和非政府辨認出危害關鍵信息基礎設施安全的犯罪行為，有權向網信、電信、公安等部門以及行業(yè)主管或監(jiān)管部門投訴。

接到投訴的部門應及時依法做出處置；不屬于本部門職責的，應及時傳喚有權處置的部門。

有關部門應對舉報人的有關信息不予保密，維護舉報人的合法權益。

第二章積極支持與確保

第八條國家采取措施，監(jiān)測、防衛(wèi)、處理源于中華人民共和國境內外的網絡安全風險和威脅，維護關鍵信息基礎設施免遭反擊、入侵、阻礙和毀壞，依法懲治網絡違法犯罪活動。

第九條國家制訂產業(yè)、財稅、金融、人才等政策，積極支持關鍵信息基礎設施安全有關的技術、產品、服務技術創(chuàng)新，推展安全可靠的網絡產品和服務，培育和甄選網絡安全人才，提升關鍵信息基礎設施的安全水平。

第十條國家創(chuàng)建和健全網絡安全標準體系，利用標準指導、規(guī)范關鍵信息基礎設施安全維護工作。

第十一條地市級以上人民政府應將關鍵信息基礎設施安全維護工作列入地區(qū)經濟社會發(fā)展總體規(guī)劃，加強資金投入，積極開展工作績效考核評價。

第十二條國家引導政府部門、運營者、科研機構、網絡安全服務機構、行業(yè)非政府、網絡產品和服務提供者積極開展關鍵信息基礎設施安全合作。

第十三條國家行業(yè)主管或監(jiān)管部門應成立或明晰專門負責管理本行業(yè)、本領域關鍵信息基礎設施安全維護工作的機構和人員，基本建設并非政府實行本行業(yè)、本領域的網絡安全規(guī)劃，建立健全工作經費保障機制并嚴格執(zhí)行全面落實。

第十四條能源、電信、交通等行業(yè)應為關鍵信息基礎設施網絡安全事件應急處理與網絡功能恢復正常提供更多電力供應、網絡通信、交通運輸等方面的重點確保和積極支持。

第十五條公安機關等部門依法辦案壓制針對和利用關鍵信息基礎設施實行的違法犯罪活動。

第十六條任何個人和非政府嚴禁專門從事以下危害關鍵信息基礎設施的活動和犯罪行為：

（一）反擊、入侵、阻礙、毀壞關鍵信息基礎設施；

（二）非法以獲取、出售或者未經許可向他人提供更多可能將被專門用作危害關鍵信息基礎設施安全的技術資料等信息；

（三）未經許可對關鍵信息基礎設施積極開展?jié)B透性、攻擊性讀取觀測；

（四）所為他人專門從事危害關鍵信息基礎設施安全的活動，仍然為其提供更多互聯網互連、服務器代銷、網絡存儲、通訊傳輸、廣告推展、繳付支付等協助；

（五）其他危害關鍵信息基礎設施的活動和犯罪行為。

第十七條國家立足對外開放環(huán)境保護網絡安全，積極開展關鍵信息基礎設施安全領域的國際交流與合作。

第三章關鍵信息基礎設施范圍

第十八條以下單位運轉、管理的網絡設施和信息系統(tǒng)，一旦遭毀壞、失去功能或者數據泄漏，可能將嚴重危害國家安全、國計民生、公共利益的，應列入關鍵信息基礎設施維護范圍：

（一）政府機關和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公用事業(yè)等行業(yè)領域的單位；

（二）電信網、廣播電視網、互聯網等信息網絡，以及提供更多云計算、大數據和其他大型公共信息網絡服務的單位；

（三）國防科工、大型裝備、化工、食品藥品等行業(yè)領域科研生產單位；

（四）廣播電臺、電視臺、通訊社等新聞單位；

（五）其他重點單位。

第十九條國家網信部門會同國務院電信主管部門、公安部門等部門制訂關鍵信息基礎設施辨識指南。

國家行業(yè)主管或監(jiān)管部門按照關鍵信息基礎設施辨識指南，非政府辨識本行業(yè)、本領域的關鍵信息基礎設施，并按程序上報辨識結果。

關鍵信息基礎設施辨識判定過程中，應充分發(fā)揮有關專家促進作用，提升關鍵信息基礎設施辨識判定的準確性、合理性和科學性。

第二十條新建、停駛關鍵信息基礎設施，或關鍵信息基礎設施出現關鍵性變化的，運營者應及時將有關情況報告國家行業(yè)主管或監(jiān)管部門。

國家行業(yè)主管或監(jiān)管部門應根據運營者報告的情況及時展開辨識調整，并按程序上報調整情況。

第四章運營者安全維護

第二十一條建設關鍵信息基礎設施應保證其具備積極支持業(yè)務平衡、持續(xù)運轉的性能，并確保安全技術措施同步規(guī)劃、同步建設、同步采用。

第二十二條運營者主要負責人就是本單位關鍵信息基礎設施安全維護工作第一責任人，負責管理建立健全網絡安全責任制并非政府全面落實，對本單位關鍵信息基礎設施安全維護工作全面負責管理。

第二十三條運營者應按照網絡安全等級維護制度的建議，履行職責以下安全維護義務，確保關鍵信息基礎設施免遭阻礙、毀壞或者未經許可的出訪，防止網絡數據外泄或者被盜取、盜用：

（一）制訂內部安全管理制度和操作規(guī)程，嚴苛身份認證和權限管理；

（二）實行技術措施，嚴防計算機病毒和網絡攻擊、網絡入侵等危害網絡安全犯罪行為；

（三）實行技術措施，監(jiān)測、記錄網絡運轉狀態(tài)、網絡安全事件，并按照規(guī)定存留有關的網絡日志不少于六個月；

（四）實行數據分類、關鍵數據備份和加密證書等措施。

第二十四條除本條例第二十三條外，運營者還應按照國家法律法規(guī)的規(guī)定和有關國家標準的強制性建議，履行職責以下安全維護義務：

（一）設置專門網絡安全管理機構和網絡安全管理負責人，并對該負責人和關鍵崗位人員展開安全背景審查；

（二）定期對從業(yè)人員展開網絡安全教育、技術培訓和技能考核；

（三）對關鍵系統(tǒng)和數據庫展開容災備份，及時對系統(tǒng)漏洞等安全風險實行補救措施；

（四）制訂網絡安全事件應急預案并定期展開演練；

（五）法律、行政法規(guī)規(guī)定的其他義務。

第二十五條運營者網絡安全管理負責人履行職責以下職責：

（一）非政府制訂網絡安全規(guī)章制度、操作規(guī)程并監(jiān)督繼續(xù)執(zhí)行；

（二）非政府對關鍵崗位人員的技能考核；

（三）非政府制訂并實行本單位網絡安全教育和培訓計劃；

（四）非政府積極開展網絡安全檢查和應急演練，應付處理網絡安全事件；

（五）按規(guī)定向國家有關部門報告網絡安全關鍵事項、事件。

第二十六條運營者網絡安全關鍵崗位專業(yè)技術人員推行執(zhí)證上崗制度。

執(zhí)證上崗具體內容規(guī)定由國務院人力資源社會保障部門會同國家網信部門等部門制訂。

第二十七條運營者應非政府從業(yè)人員網絡安全教育培訓，每人每年教育培訓時長嚴禁多于1個工作日，關鍵崗位專業(yè)技術人員每人每年教育培訓時長嚴禁多于3個工作日。

第二十八條運營者應建立健全關鍵信息基礎設施安全檢測評估制度，關鍵信息基礎設施上線運轉前或者出現關鍵性變化時應展開安全檢測評估。

運營者應自行或委托網絡安全服務機構對關鍵信息基礎設施的安全性和可能將存有的風險隱患每年至少展開一次檢測評估，對辨認出的問題及時展開自查，并將有關情況報國家行業(yè)主管或監(jiān)管部門。

第二十九條運營者在中華人民共和國境內運營中搜集和產生的個人信息和關鍵數據應在境內存儲。因業(yè)務須要，自行向境外提供更多的，應按照個人信息和關鍵數據出境安全評估辦法展開評估；法律、行政法規(guī)Seiches規(guī)定的，依照其規(guī)定。

第五章產品和服務安全

第三十條運營者訂貨、采用的網絡關鍵設備、網絡安全專用產品，應合乎法律、行政法規(guī)的規(guī)定和有關國家標準的強制性建議。

第三十一條運營者訂貨網絡產品和服務，可能將影響國家安全的，應按照網絡產品和服務安全審查辦法的建議，通過網絡安全審查，并與提供者簽定安全保密協議。

第三十二條運營者應對外紙盒研發(fā)的系統(tǒng)、軟件，拒絕接受捐獻的網絡產品，在其上線應用領域前展開安全檢測。

第三十三條運營者辨認出采用的網絡產品、服務存有安全瑕疵、漏洞等風險的，應及時采取措施消解風險隱患，牽涉關鍵性風險的應按規(guī)定向有關部門報告。

第三十四條關鍵信息基礎設施的運轉保護應在境內實行。因業(yè)務須要，自行展開境外遠程保護的，應當事先報國家行業(yè)主管或監(jiān)管部門和國務院公安部門。

第三十五條面向關鍵信息基礎設施積極開展安全檢測評估，公布系統(tǒng)漏洞、計算機病毒、網絡攻擊等安全威脅信息，提供更多云計算、信息技術外包等服務的機構，應合乎有關建議。

具體內容建議由國家網信部門會同國務院有關部門制訂。

第六章監(jiān)測預警、應急處理和檢測評估

第三十六條國家網信部門統(tǒng)籌規(guī)劃創(chuàng)建關鍵信息基礎設施網絡安全監(jiān)測預警體系和信息通報制度，非政府指導有關機構積極開展網絡安全信息匯總、分析研判和通報工作，按照規(guī)定統(tǒng)一公布網絡安全監(jiān)測預警信息。

第三十七條國家行業(yè)主管或監(jiān)管部門應建立健全本行業(yè)、本領域的關鍵信息基礎設施網絡安全監(jiān)測預警和信息通報制度，及時掌控本行業(yè)、本領域關鍵信息基礎設施運行狀況和安全風險，向有關運營者通報安全風險和有關工作信息。

國家行業(yè)主管或監(jiān)管部門應非政府對安全監(jiān)測信息展開研判，指出須要立即實行嚴防應付措施的，應及時向有關運營者公布預警信息和應急防范措施建議，并按照國家網絡安全事件應急預案的建議向有關部門報告。

第三十八條國家網信部門統(tǒng)籌規(guī)劃協同有關部門、運營者以及有關研究機構、網絡安全服務機構創(chuàng)建關鍵信息基礎設施網絡安全信息共享資源機制，推動網絡安全信息共享資源。

第三十九條國家網信部門按照國家網絡安全事件應急預案的建議，統(tǒng)籌規(guī)劃有關部門建立健全關鍵信息基礎設施網絡安全應急協作機制，強化網絡安全應急力量建設，指導協同有關部門非政府跨行業(yè)、橫跨地域網絡安全應急演練。

國家行業(yè)主管或監(jiān)管部門應非政府制訂本行業(yè)、本領域的網絡安全事件應急預案，并定期非政府演練，提高網絡安全事件應付和災難恢復能力。出現關鍵性網絡安全事件或收到網信部門的預警信息后，應立即啟動應急預案非政府應付，并及時報告有關情況。

第四十條國家行業(yè)主管或監(jiān)管部門應定期非政府對本行業(yè)、本領域關鍵信息基礎設施的安全風險以及運營者履行職責安全維護義務的情況展開抽檢檢測，明確提出改良措施，指導、嚴格執(zhí)行運營者及時自查檢測評估中辨認出的問題。

國家網信部門統(tǒng)籌規(guī)劃協同有關部門積極開展的抽檢檢測工作，防止交叉重復檢測評估。

第四十一條有關部門非政府積極開展關鍵信息基礎設施安全檢測評估，應當秉持客觀公正、高效率透明化的原則，實行科學的檢測評估方法，規(guī)范檢測評估流程，掌控檢測評估風險。

運營者應對有關部門依法實行的檢測評估不予協調，對檢測評估辨認出的問題及時展開自查。

第四十二條有關部門非政府積極開展關鍵信息基礎設施安全檢測評估，可以實行以下措施：

（一）建議運營者有關人員就檢測評估事項做出表明；

（二）查詢、調看、激活與安全維護有關的文檔、記錄；

（三）查閱網絡安全管理制度制定、全面落實情況以及網絡安全技術措施規(guī)劃、建設、運轉情況；

（四）利用檢測工具或委托網絡安全服務機構展開技術檢測；

（五）經運營者同意的其他必要方式。

第四十三條有關部門以及網絡安全服務機構在關鍵信息基礎設施安全檢測評估中以獲取的信息，就可以用作保護網絡安全的須要，嚴禁用作其他用途。

第四十四條有關部門非政府積極開展關鍵信息基礎設施安全檢測評估，嚴禁向被檢測評估單位繳納費用，嚴禁建議被檢測評估單位出售選定品牌或者選定生產、銷售單位的產品和服務。

第七章法律責任

第四十五條運營者不履行職責本條例第二十條第一款、第二十一條、第二十三條、第二十四條、第二十六條、第二十七條、第二十八條、第三十條、第三十二條、第三十三條、第三十四條規(guī)定的網絡安全維護義務的，由有關主管部門依據職責責令廢止，給與警告；欲不廢止或者引致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款，對輕易負責管理的主管人員處一萬元以上十萬元以下罰款。

第四十六條運營者違背本條例第二十九條規(guī)定，在境外存儲網絡數據，或者向境外提供更多網絡數據的，由國家有關主管部門依據職責責令廢止，給與警告，充公違法稅金，處五萬元以上五十萬元以下罰款，并可以責令暫停有關業(yè)務、停業(yè)整頓、停用網站、吊銷其有關業(yè)務許可證；對輕易負責管理的主管人員和其他輕易責任人員處一萬元以上十萬元以下罰款。

第四十七條運營者違背本條例第三十一條規(guī)定，采用未經安全審查或安全審查未通過的網絡產品或者服務的，由國家有關主管部門依據職責責令停止使用，處訂貨金額一倍以上十倍以下罰款；對輕易負責管理的主管人員和其他輕易責任人員處一萬元以上十萬元以下罰款。

第四十八條個人違背本條例第十六條規(guī)定，尚不構成犯罪的，由公安機關充公違法稅金，處五日以下拘押，可以并處五萬元以上五十萬元以下罰款；情節(jié)較輕的，處五日以上十五日以下拘押，可以并處十萬元以上一百萬元以下罰款；構成犯罪的，依法追究刑事責任。

單位存有前款犯罪行為的，由公安機關充公違法稅金，處十萬元以上一百萬元以下罰款，并對輕易負責管理的主管人員和其他輕易責任人員依照前款規(guī)定行政處罰。

違背本條例第十六條規(guī)定，受刑事行政處罰的人員，終身嚴禁專門從事關鍵信息基礎設施安全管理和網絡運營關鍵崗位的工作。

第四十九