关键信息基础设施安全保护条例

1. 关键信息基础设施安全保护条例

第一章　总　　则第一条　为了保障关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络安全法》，制定本条例。第二条　本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。第三条　在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。

　　省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。第四条　关键信息基础设施安全保护坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者（以下简称运营者）主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。第五条　国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动。

　　任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全。第六条　运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。第七条　对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人，按照国家有关规定给予表彰。第二章　关键信息基础设施认定第八条　本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门（以下简称保护工作部门）。第九条　保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。

　　制定认定规则应当主要考虑下列因素：

　　（一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；

　　（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；

　　（三）对其他行业和领域的关联性影响。第十条　保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。第十一条　关键信息基础设施发生较大变化，可能影响其认定结果的，运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定，将认定结果通知运营者，并通报国务院公安部门。第三章　运营者责任义务第十二条　安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。第十三条　运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。第十四条　运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时，公安机关、国家安全机关应当予以协助。第十五条　专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责：

　　（一）建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；

　　（二）组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；

　　（三）按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；

　　（四）认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议；

　　（五）组织网络安全教育、培训；

　　（六）履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；

　　（七）对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；

　　（八）按照规定报告网络安全事件和重要事项。

2. 关键信息基础设施安全保护条例实施时间

《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过，2021年7月30日，国务院总理李克强签署中华人民共和国国务院令第745号，公布《关键信息基础设施安全保护条例》，自2021年9月1日起施行。制定出台《条例》，建立专门保护制度，明确各方责任，提出保障促进措施，有利于进一步健全关键信息基础设施安全保护法律制度体系。《条例》从我国国情出发，借鉴国外通行做法，明确了关键信息基础设施的定义和认定程序。一是明确关键信息基础设施的定义。二是明确关键信息基础设施所在行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。三是明确由保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并组织认定本行业、本领域的关键信息基础设施。四是规定关键信息基础设施发生较大变化，可能影响其认定结果时，运营者应当及时报告保护工作部门，由保护工作部门重新认定。法律依据:《中华人民共和国数据安全法》已由第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过，将于9月1日起实施。其中，第三十一条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定。《中华人民共和国网络安全法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

3. 关键信息基础设施安全保护条例

关键信息基础设施安全保护条例是为了保障关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络安全法》制定的。关键信息基础设施安全直接关系到国家安全、国计民生和公共利益，关键信息基础设施的安全保护成为维护国家网络安全的重中之重。网络安全标准是保障国家关键信息基础设施的重要技术要素。从关键信息基础设施的识别认定、安全防护、检查评估、监测预警、应急处置等各个方面，都离不开标准的规范和引领。关键信息基础设施相关标准为各行业各领域关键信息基础设施识别提供指导，为提高运营者自身安全防护能力和水平提供技术支撑，为规范开展安全检查与评估提供标准依据，为统筹协调相关领域信息共享、监测预警、应急处置、考核评价等提供方法指引，为保障关键信息基础设施全生命周期安全提供标准化支撑。网络安全标准化工作为筑牢关键信息基础设施安全屏障，维护国家网络安全发挥越来越重要的作用。《中华人民共和国网络安全法》第三十九条  国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。第三十八条  关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。第三十四条  除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并定期进行演练；（五）法律、行政法规规定的其他义务。

4. 安全保护措施应当与关键信息基础设施什么

安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
《关键信息基础设施安全保护条例》第十二条　安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。



　　第十三条　运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。



　　第十四条　运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时，公安机关、国家安全机关应当予以协助。



　　第十五条　专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责：

　　（一）建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；

　　（二）组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；

　　（三）按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；

　　（四）认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议；

　　（五）组织网络安全教育、培训；

　　（六）履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；

　　（七）对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；

　　（八）按照规定报告网络安全事件和重要事项。

5. 基础设施安全中的关键信息基础设施包括

是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其衫滚他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

法律依据：
《关键信息基础设施安全保护条例》
第一条为了保障关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络安全法》，制定本条例。
第二条本条例所称关键信息基础设施族纯，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的兆塌咐，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

请点击输入图片描述（最多18字）

6. 关键信息基础设施的安全技术措施部署应遵循

关键信息基础设施需要加强体系化设计、系统化部署，不断完善法律法规、政策规范、技术标准、安全保护、安全保卫、安全保障等6大制度体系。其中很重要的策略是在关键信息基础设施保护中要立足自力更生，自主创新，防止“卡脖子”。按照《条例》要求，国家要支持关键信息基础设施安全防护技术创新和产业发展，组织力量实施关键信息基础设施安全技术攻关，在创新中培养人，在实践中锻炼人。相信在党中央的集中统一领导下，依据国家不断完善的法规政策，网信部门统筹协调，公安机关和各保护部门协同监管和指导，以及社会安全服务机构的大力支持，关键信息基础设施运营者主体责任的落实，国家关键信息基础设施保护能力一定会提升到一个新的高度，达到一个新的水平。

7. 安全保护措施应当与关键信息基础设施什么

安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
关键信息基础设施安全保护坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。
运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。


《关键信息基础设施安全保护条例》运营者职责
建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件。
认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议，组织网络安全教育、培训；履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；按照规定报告网络安全事件和重要事项。

8. 关键信息基础设施的安全技术措施部署应遵循什么

坚持“问题导向、实战引领、体系化防御”原则，守住关键，保住要害，指导监督关键信息基础设施安全保护工作，会同有关部门建立关键信息基础设施安全保护制度体系，指导监督运营者在网络安全等级保护制度基础上落实《条例》，切实维护关键信息基础设施安全。

没有网络安全就没有国家安全，没有信息化就没有现代化。
党中央、国务院高度重视关键信息基础设施安全保护工作，为进一步健全关键信息基础设施安全保护制度体系，制定出台了《关键信息基础设施安全保护条例》(以下简称《条例》)。