關鍵信息基礎設施安全保護實施辦法關鍵信息基礎設施（CriticalInformationInfrastructure,CII）是國家經濟社會運行的神經中樞，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益。為保障關鍵信息基礎設施安全穩(wěn)定運行，規(guī)范其安全保護工作，特制定本實施辦法。一、總則（一）適用范圍本辦法適用于中華人民共和國境內關鍵信息基礎設施的運營者（以下簡稱“運營者”）及其安全保護工作。關鍵信息基礎設施的范圍包括但不限于：能源領域：電力、石油、天然氣等能源生產、傳輸、存儲和調度系統(tǒng)。交通領域：鐵路、公路、水路、航空等交通運輸系統(tǒng)的調度指揮、運營管理平臺。金融領域：銀行、證券、保險等金融機構的核心業(yè)務系統(tǒng)、支付清算系統(tǒng)。電信領域：基礎電信網絡、互聯網骨干網、域名系統(tǒng)等。水利領域：大型水利樞紐、防洪抗旱指揮系統(tǒng)。衛(wèi)生健康領域：全國及區(qū)域性醫(yī)療健康信息平臺、疫情防控指揮系統(tǒng)。教育領域：國家級教育管理信息系統(tǒng)、重要科研機構的核心網絡。應急管理領域：安全生產、自然災害監(jiān)測預警系統(tǒng)。政務領域：國家電子政務云、重要政務信息系統(tǒng)。其他領域：根據國家有關規(guī)定認定的其他關鍵信息基礎設施。（二）基本原則統(tǒng)籌協(xié)調，分工負責：國家網信部門統(tǒng)籌協(xié)調關鍵信息基礎設施安全保護工作，國務院有關部門和地方政府按照職責分工負責本行業(yè)、本地區(qū)的安全保護工作。重點保護，綜合防范：以關鍵信息基礎設施為核心，綜合運用技術、管理、法律等手段，構建全方位、多層次的安全防護體系。動態(tài)調整，持續(xù)改進：根據技術發(fā)展和安全形勢變化，動態(tài)調整關鍵信息基礎設施范圍和保護措施，持續(xù)提升安全防護能力。責任共擔，協(xié)同聯動：運營者承擔主體責任，政府、社會、公眾共同參與，形成協(xié)同聯動的安全保護格局。（三）管理體制國家層面：國家互聯網信息辦公室（以下簡稱“國家網信辦”）負責統(tǒng)籌協(xié)調全國關鍵信息基礎設施安全保護工作，會同國務院公安部門、國家安全部門、密碼管理部門等建立工作協(xié)調機制。行業(yè)層面：國務院電信主管部門、能源主管部門、交通主管部門、金融監(jiān)管部門等行業(yè)主管部門（以下簡稱“行業(yè)主管部門”）負責指導和監(jiān)督本行業(yè)關鍵信息基礎設施安全保護工作。地方層面：地方各級網信部門、行業(yè)主管部門按照國家有關規(guī)定，負責本地區(qū)、本行業(yè)關鍵信息基礎設施安全保護工作。二、關鍵信息基礎設施的認定（一）認定標準關鍵信息基礎設施的認定應當綜合考慮以下因素：影響范圍：該設施遭到破壞、喪失功能或者數據泄露后，可能對國家安全、國計民生、公共利益造成的危害程度。重要程度：該設施在本行業(yè)、本領域的核心地位和作用。技術復雜性：該設施的技術架構、數據規(guī)模、業(yè)務關聯性等。替代難度：該設施一旦發(fā)生故障，恢復或替代的難度和成本。（二）認定程序申報：運營者應當按照行業(yè)主管部門的要求，向其申報本單位的關鍵信息基礎設施。初審：行業(yè)主管部門對運營者的申報材料進行初審，提出初步認定意見。審核：國家網信辦會同有關部門對初審意見進行審核，形成認定名單。公示：認定名單應當向社會公示，征求公眾意見。公布：經公示無異議或者異議不成立的，由國家網信辦公布關鍵信息基礎設施名單。（三）動態(tài)調整關鍵信息基礎設施的認定實行動態(tài)調整機制。有下列情形之一的，應當及時調整：該設施的重要程度發(fā)生顯著變化。該設施的技術架構、業(yè)務模式發(fā)生重大調整。出現新的安全風險或威脅。其他需要調整的情形。三、運營者的安全保護義務（一）安全管理責任建立安全管理制度：運營者應當建立健全關鍵信息基礎設施安全管理制度，明確安全管理責任，制定安全操作規(guī)程。設置安全管理機構：運營者應當設置專門的安全管理機構，配備與業(yè)務規(guī)模相適應的安全管理人員。開展安全培訓：運營者應當定期對從業(yè)人員進行安全培訓，提高其安全意識和操作技能。制定應急預案：運營者應當制定關鍵信息基礎設施安全事件應急預案，定期組織演練，并根據演練結果及時修訂預案。（二）技術防護措施安全防護技術：運營者應當采用符合國家有關規(guī)定的安全防護技術，包括但不限于：身份認證和訪問控制技術。數據加密和脫敏技術。入侵檢測和防御技術。漏洞掃描和修復技術。安全審計和日志分析技術。災難備份和恢復技術。安全評估：運營者應當定期對關鍵信息基礎設施進行安全評估，及時發(fā)現和整改安全隱患。網絡安全等級保護：運營者應當按照國家網絡安全等級保護制度的要求，對關鍵信息基礎設施進行等級保護定級、備案、建設和整改。（三）數據安全保護數據分類分級：運營者應當對關鍵信息基礎設施中的數據進行分類分級管理，明確不同級別數據的保護要求。數據備份與恢復：運營者應當對重要數據進行定期備份，并建立數據恢復機制。數據出境安全評估：運營者向境外提供關鍵信息基礎設施的數據，應當按照國家有關規(guī)定進行安全評估。數據泄露應急處置：運營者應當建立數據泄露應急處置機制，一旦發(fā)生數據泄露事件，應當立即采取措施控制事態(tài)發(fā)展，并向有關部門報告。（四）供應鏈安全管理供應商管理：運營者應當對關鍵信息基礎設施的供應商進行安全評估，選擇符合安全要求的供應商。產品和服務安全審查：運營者采購的網絡產品和服務，應當符合國家有關安全標準，并經過安全審查。供應鏈風險評估：運營者應當定期對供應鏈安全風險進行評估，及時發(fā)現和處置供應鏈安全隱患。（五）應急處置與報告應急處置：運營者應當制定關鍵信息基礎設施安全事件應急預案，明確應急處置流程和責任分工。一旦發(fā)生安全事件，應當立即啟動應急預案，采取措施控制事態(tài)發(fā)展，降低損失。事件報告：運營者應當在發(fā)生安全事件后，按照規(guī)定向行業(yè)主管部門、網信部門、公安部門等報告事件情況。報告內容包括事件發(fā)生時間、地點、原因、影響范圍、處置措施等。事件調查：運營者應當配合有關部門對安全事件進行調查，提供必要的技術支持和資料。四、政府部門的監(jiān)督管理（一）監(jiān)督檢查檢查內容：政府部門應當對運營者的安全管理制度、技術防護措施、數據安全保護、供應鏈安全管理等情況進行監(jiān)督檢查。檢查方式：監(jiān)督檢查可以采取現場檢查、遠程監(jiān)測、數據抽查等方式。檢查結果處理：對檢查中發(fā)現的安全隱患，政府部門應當責令運營者限期整改；對拒不整改或者整改不到位的，應當依法予以處罰。（二）安全評估定期評估：政府部門應當定期組織對關鍵信息基礎設施的安全狀況進行評估，評估結果作為調整保護措施的依據。專項評估：針對重大安全事件或新出現的安全風險，政府部門應當組織專項安全評估。（三）應急響應建立應急響應機制：政府部門應當建立關鍵信息基礎設施安全事件應急響應機制，明確應急處置流程和責任分工。應急指揮：發(fā)生重大安全事件時，政府部門應當成立應急指揮機構，統(tǒng)一指揮應急處置工作。資源調配：政府部門應當協(xié)調有關單位和機構，為應急處置提供必要的技術支持和資源保障。（四）技術支持提供技術指導：政府部門應當為運營者提供安全技術指導，幫助其提升安全防護能力。共享威脅情報：政府部門應當建立威脅情報共享機制，及時向運營者通報安全威脅信息。開展技術研發(fā)：政府部門應當支持關鍵信息基礎設施安全技術的研發(fā)和應用，推動安全技術創(chuàng)新。五、安全保護技術措施（一）網絡安全防護邊界防護：在關鍵信息基礎設施的網絡邊界部署防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)等設備，防止外部攻擊。內部防護：在關鍵信息基礎設施的內部網絡部署訪問控制設備、安全審計設備等，防止內部人員違規(guī)操作。無線安全：對關鍵信息基礎設施的無線網絡進行加密保護，防止未授權訪問。（二）數據安全保護數據加密：對關鍵信息基礎設施中的敏感數據進行加密存儲和傳輸，防止數據泄露。數據脫敏：對非必要的敏感數據進行脫敏處理，降低數據泄露風險。數據備份：定期對關鍵信息基礎設施中的數據進行備份，確保數據可恢復。（三）身份認證與訪問控制多因素認證：對關鍵信息基礎設施的用戶采用多因素認證方式，提高身份認證的安全性。最小權限原則：按照最小權限原則，為用戶分配訪問權限，防止權限濫用。訪問審計：對用戶的訪問行為進行審計，及時發(fā)現異常訪問。（四）漏洞管理漏洞掃描：定期對關鍵信息基礎設施進行漏洞掃描，及時發(fā)現系統(tǒng)漏洞。漏洞修復：對發(fā)現的漏洞，應當及時采取修復措施，防止漏洞被利用。漏洞通報：運營者應當及時向政府部門通報發(fā)現的重大漏洞。（五）安全監(jiān)測與預警實時監(jiān)測：對關鍵信息基礎設施的網絡流量、系統(tǒng)日志等進行實時監(jiān)測，及時發(fā)現安全事件。預警機制：建立安全預警機制，對可能發(fā)生的安全事件進行預警。應急處置：一旦發(fā)生安全事件，應當立即啟動應急處置預案，采取措施控制事態(tài)發(fā)展。六、法律責任（一）運營者的法律責任未履行安全保護義務的責任：運營者未按照本辦法規(guī)定履行安全保護義務的，由有關部門責令限期改正；逾期未改正的，處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。發(fā)生安全事件的責任：運營者發(fā)生關鍵信息基礎設施安全事件，造成嚴重后果的，由有關部門處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處二萬元以上二十萬元以下罰款；構成犯罪的，依法追究刑事責任。拒絕配合監(jiān)督檢查的責任：運營者拒絕、阻礙政府部門依法進行監(jiān)督檢查的，由有關部門責令改正；拒不改正的，處二萬元以上二十萬元以下罰款，對直接負責的主管人員和其他直接責任人員處五千元以上五萬元以下罰款。（二）政府部門的法律責任未履行監(jiān)督管理職責的責任：政府部門未按照本辦法規(guī)定履行監(jiān)督管理職責的，由上級機關責令改正；情節(jié)嚴重的，對直接負責的主管人員和其他直接責任人員依法給予處分。濫用職權、玩忽職守的責任：政府部門工作人員在關鍵信息基礎設施安全保護工作中濫用職權、玩忽職守、徇私舞弊的，依法給予處分；構成犯罪的，依法追究刑事責任。（三）其他主體的法律責任提供虛假材料的責任：運營者在申報關鍵信息基礎設施時提供虛假材料的，由有關部門責令改正，處一萬元以上十萬元以下罰款。非法侵入、破壞關鍵信息基礎設施的責任：任何組織和個人非法侵入、破壞關鍵信息基礎設施的，依法承擔民事責任；構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。七、附則（一）術語解釋關鍵信息基礎設施：指關系國家安全、國計民生、公共利益的重要網絡設施、信息系統(tǒng)等。運營者：指關鍵信息基礎設施的所有者、管理者和服務提供者。安全