中华人民共和国国务院令
第 745 号
《要害信息基础设施平安爱护条例》曾经 2021 年 4 月 27 日国务院第 133 次常务会议通过,现予颁布,自 2021 年 9 月 1 日起实施。
总理 李克强
2021 年 7 月 30 日
要害信息基础设施平安爱护条例
第一章 总 则
第一条 为了保障要害信息基础设施平安,保护网络安全,依据《中华人民共和国网络安全法》,制订本条例。
第二条 本条例所称要害信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和畛域的,以及其余一旦受到毁坏、丢失性能或者数据泄露,可能严重危害国家平安、国计民生、公共利益的重要网络设施、信息系统等。
第三条 在国家网信部门兼顾协调下,国务院公安部门负责领导监督要害信息基础设施平安爱护工作。国务院电信主管部门和其余无关部门按照本条例和无关法律、行政法规的规定,在各自职责范畴内负责要害信息基础设施平安爱护和监督管理工作。
省级人民政府无关部门根据各自职责对要害信息基础设施施行平安爱护和监督管理。
第四条 要害信息基础设施平安爱护保持综合协调、分工负责、依法爱护,强化和落实要害信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,独特爱护要害信息基础设施平安。
第五条 国家对要害信息基础设施履行重点保护,采取措施,监测、进攻、处理来源于中华人民共和国境内外的网络安全危险和威逼,爱护要害信息基础设施免受攻打、侵入、烦扰和毁坏,依法惩治危害要害信息基础设施平安的违法犯罪流动。
任何集体和组织不得施行非法侵入、烦扰、毁坏要害信息基础设施的流动,不得危害要害信息基础设施平安。
第六条 运营者按照本条例和无关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级爱护的根底上,采取技术保护措施和其余必要措施,应答网络安全事件,防备网络攻击和违法犯罪流动,保障要害信息基础设施平安稳固运行,保护数据的完整性、保密性和可用性。
第七条 对在要害信息基础设施平安爱护工作中获得显著成绩或者作出突出贡献的单位和集体,依照国家有关规定给予表彰。
第二章 要害信息基础设施认定
第八条 本条例第二条波及的重要行业和畛域的主管部门、监督管理部门是负责要害信息基础设施平安爱护工作的部门(以下简称爱护工作部门)。
第九条 爱护工作部门联合本行业、本畛域理论,制订要害信息基础设施认定规定,并报国务院公安部门备案。
制订认定规定该当次要思考下列因素:
(一)网络设施、信息系统等对于本行业、本畛域要害外围业务的重要水平;
(二)网络设施、信息系统等一旦受到毁坏、丢失性能或者数据泄露可能带来的危害水平;
(三)对其余行业和畛域的关联性影响。
第十条 爱护工作部门依据认定规定负责组织认定本行业、本畛域的要害信息基础设施,及时将认定后果告诉运营者,并通报国务院公安部门。
第十一条 要害信息基础设施产生较大变动,可能影响其认定后果的,运营者该当及时将相干状况报告爱护工作部门。爱护工作部门自收到报告之日起 3 个月内实现从新认定,将认定后果告诉运营者,并通报国务院公安部门。
第三章 运营者责任任务
第十二条 平安保护措施该当与要害信息基础设施同步布局、同步建设、同步应用。
第十三条 运营者该当建立健全网络安全爱护制度和责任制,保障人力、财力、物力投入。运营者的次要负责人对要害信息基础设施平安爱护负总责,领导要害信息基础设施平安爱护和重大网络安全事件处理工作,组织钻研解决重大网络安全问题。
第十四条 运营者该当设置专门平安管理机构,并对专门平安管理机构负责人和要害岗位人员进行平安背景审查。审查时,公安机关、国家平安机关该当予以帮助。
第十五条 专门平安管理机构具体负责本单位的要害信息基础设施平安爱护工作,履行下列职责:
(一)建立健全网络安全治理、评估考核制度,拟订要害信息基础设施平安爱护打算;
(二)组织推动网络安全防护能力建设,发展网络安全监测、检测和危险评估;
(三)依照国家及行业网络安全事件应急预案,制订本单位应急预案,定期发展应急演练,处理网络安全事件;
(四)认定网络安全要害岗位,组织发展网络安全工作考核,提出处分和表彰倡议;
(五)组织网络安全教育、培训;
(六)履行个人信息和数据安全爱护责任,建立健全个人信息和数据安全爱护制度;
(七)对要害信息基础设施设计、建设、运行、保护等服务施行平安治理;
(八)依照规定报告网络安全事件和重要事项。
第十六条 运营者该当保障专门平安管理机构的运行经费、装备相应的人员,发展与网络安全和信息化无关的决策该当有专门平安管理机构人员参加。
第十七条 运营者该当自行或者委托网络安全服务机构对要害信息基础设施每年至多进行一次网络安全检测和危险评估,对发现的平安问题及时整改,并依照爱护工作部门要求报送状况。
第十八条 要害信息基础设施产生重大网络安全事件或者发现重大网络安全威逼时,运营者该当依照无关规定向爱护工作部门、公安机关报告。
产生要害信息基础设施整体中断运行或者次要性能故障、国家根底信息以及其余重要数据泄露、较大规模个人信息泄露、造成较大经济损失、守法信息较大范畴流传等特地重大网络安全事件或者发现特地重大网络安全威逼时,爱护工作部门该当在收到报告后,及时向国家网信部门、国务院公安部门报告。
第十九条 运营者该当优先洽购平安可信的网络产品和服务;洽购网络产品和服务可能影响国家平安的,该当依照国家网络安全规定通过平安审查。
第二十条 运营者洽购网络产品和服务,该当依照国家有关规定与网络产品和服务提供者签订平安窃密协定,明确提供者的技术支持和平安窃密任务与责任,并对任务与责任履行状况进行监督。
第二十一条 运营者产生合并、分立、遣散等状况,该当及时报告爱护工作部门,并依照爱护工作部门的要求对要害信息基础设施进行处理,确保安全。
第四章 保障和促成
第二十二条 爱护工作部门该当制订本行业、本畛域要害信息基础设施平安布局,明确爱护指标、根本要求、工作工作、具体措施。
第二十三条 国家网信部门兼顾协调无关部门建设网络安全信息共享机制,及时汇总、研判、共享、公布网络安全威逼、破绽、事件等信息,促成无关部门、爱护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。
第二十四条 爱护工作部门该当建立健全本行业、本畛域的要害信息基础设施网络安全监测预警制度,及时把握本行业、本畛域要害信息基础设施运行状况、平安态势,预警通报网络安全威逼和隐患,领导做好平安防备工作。
第二十五条 爱护工作部门该当依照国家网络安全事件应急预案的要求,建立健全本行业、本畛域的网络安全事件应急预案,定期组织应急演练;领导运营者做好网络安全事件应答处理,并依据须要组织提供技术支持与帮助。
第二十六条 爱护工作部门该当定期组织发展本行业、本畛域要害信息基础设施网络安全查看检测,领导监督运营者及时整改安全隐患、欠缺安全措施。
第二十七条 国家网信部门兼顾协调国务院公安部门、爱护工作部门对要害信息基础设施进行网络安全查看检测,提出改良措施。
无关部门在发展要害信息基础设施网络安全查看时,该当增强协同配合、信息沟通,防止不必要的检查和穿插反复查看。查看工作不得收取费用,不得要求被查看单位购买指定品牌或者指定生产、销售单位的产品和服务。
第二十八条 运营者对爱护工作部门发展的要害信息基础设施网络安全查看检测工作,以及公安、国家平安、窃密行政治理、明码治理等无关部门依法发展的要害信息基础设施网络安全查看工作该当予以配合。
第二十九条 在要害信息基础设施平安爱护工作中,国家网信部门和国务院电信主管部门、国务院公安部门等该当依据爱护工作部门的须要,及时提供技术支持和帮助。
第三十条 网信部门、公安机关、爱护工作部门等无关部门,网络安全服务机构及其工作人员对于在要害信息基础设施平安爱护工作中获取的信息,只能用于保护网络安全,并严格依照无关法律、行政法规的要求确保信息安全,不得泄露、发售或者非法向别人提供。
第三十一条 未经国家网信部门、国务院公安部门批准或者爱护工作部门、运营者受权,任何集体和组织不得对要害信息基础设施施行破绽探测、渗透性测试等可能影响或者危害要害信息基础设施平安的流动。对根底电信网络施行破绽探测、渗透性测试等流动,该当当时向国务院电信主管部门报告。
第三十二条 国家采取措施,优先保障能源、电信等要害信息基础设施平安运行。
能源、电信行业该当采取措施,为其余行业和畛域的要害信息基础设施平安运行提供重点保障。
第三十三条 公安机关、国家平安机关根据各自职责依法增强要害信息基础设施平安捍卫,防备打击针对和利用要害信息基础设施施行的违法犯罪流动。
第三十四条 国家制订和欠缺要害信息基础设施平安规范,领导、标准要害信息基础设施平安爱护工作。
第三十五条 国家采取措施,激励网络安全专门人才从事要害信息基础设施平安爱护工作;将运营者平安管理人员、平安技术人员培训纳入国家持续教育体系。
第三十六条 国家反对要害信息基础设施平安防护技术创新和产业倒退,组织力量施行要害信息基础设施平安技术攻关。
第三十七条 国家增强网络安全服务机构建设和治理,制订治理要求并加强监督领导,一直晋升服务机构能力程度,充分发挥其在要害信息基础设施平安爱护中的作用。
第三十八条 国家增强网络安全军民交融,军地协同爱护要害信息基础设施平安。
第五章 法律责任
第三十九条 运营者有下列情景之一的,由无关主管部门根据职责责令改过,给予正告;拒不改过或者导致危害网络安全等结果的,处 10 万元以上 100 万元以下罚款,对间接负责的主管人员处 1 万元以上 10 万元以下罚款:
(一)在要害信息基础设施产生较大变动,可能影响其认定后果时未及时将相干状况报告爱护工作部门的;
(二)平安保护措施未与要害信息基础设施同步布局、同步建设、同步应用的;
(三)未建立健全网络安全爱护制度和责任制的;
(四)未设置专门平安管理机构的;
(五)未对专门平安管理机构负责人和要害岗位人员进行平安背景审查的;
(六)发展与网络安全和信息化无关的决策没有专门平安管理机构人员参加的;
(七)专门平安管理机构未履行本条例第十五条规定的职责的;
(八)未对要害信息基础设施每年至多进行一次网络安全检测和危险评估,未对发现的平安问题及时整改,或者未依照爱护工作部门要求报送状况的;
(九)洽购网络产品和服务,未依照国家有关规定与网络产品和服务提供者签订平安窃密协定的;
(十)产生合并、分立、遣散等状况,未及时报告爱护工作部门,或者未依照爱护工作部门的要求对要害信息基础设施进行处理的。
第四十条 运营者在要害信息基础设施产生重大网络安全事件或者发现重大网络安全威逼时,未依照无关规定向爱护工作部门、公安机关报告的,由爱护工作部门、公安机关根据职责责令改过,给予正告;拒不改过或者导致危害网络安全等结果的,处 10 万元以上 100 万元以下罚款,对间接负责的主管人员处 1 万元以上 10 万元以下罚款。
第四十一条 运营者洽购可能影响国家平安的网络产品和服务,未依照国家网络安全规定进行平安审查的,由国家网信部门等无关主管部门根据职责责令改过,处洽购金额 1 倍以上 10 倍以下罚款,对间接负责的主管人员和其余间接责任人员处 1 万元以上 10 万元以下罚款。
第四十二条 运营者对爱护工作部门发展的要害信息基础设施网络安全查看检测工作,以及公安、国家平安、窃密行政治理、明码治理等无关部门依法发展的要害信息基础设施网络安全查看工作不予配合的,由无关主管部门责令改过;拒不改过的,处 5 万元以上 50 万元以下罚款,对间接负责的主管人员和其余间接责任人员处 1 万元以上 10 万元以下罚款;情节严重的,依法追究相应法律责任。
第四十三条 施行非法侵入、烦扰、毁坏要害信息基础设施,危害其平安的流动尚不构成犯罪的,按照《中华人民共和国网络安全法》无关规定,由公安机关没收守法所得,处 5 日以下扣留,能够并处 5 万元以上 50 万元以下罚款;情节较重的,处 5 日以上 15 日以下扣留,能够并处 10 万元以上 100 万元以下罚款。
单位有前款行为的,由公安机关没收守法所得,处 10 万元以上 100 万元以下罚款,并对间接负责的主管人员和其余间接责任人员按照前款规定处罚。
违反本条例第五条第二款和第三十一条规定,受到治安管理处罚的人员,5 年内不得从事网络安全治理和网络经营要害岗位的工作;受到刑事处罚的人员,一生不得从事网络安全治理和网络经营要害岗位的工作。
第四十四条 网信部门、公安机关、爱护工作部门和其余无关部门及其工作人员未履行要害信息基础设施平安爱护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊的,依法对间接负责的主管人员和其余间接责任人员给予处罚。
第四十五条 公安机关、爱护工作部门和其余无关部门在发展要害信息基础设施网络安全查看工作中收取费用,或者要求被查看单位购买指定品牌或者指定生产、销售单位的产品和服务的,由其下级机关责令改过,退还收取的费用;情节严重的,依法对间接负责的主管人员和其余间接责任人员给予处罚。
第四十六条 网信部门、公安机关、爱护工作部门等无关部门、网络安全服务机构及其工作人员将在要害信息基础设施平安爱护工作中获取的信息用于其余用处,或者泄露、发售、非法向别人提供的,依法对间接负责的主管人员和其余间接责任人员给予处罚。
第四十七条 要害信息基础设施产生重大和特地重大网络安全事件,经考察确定为责任事故的,除该当查明运营者责任并依法予以查究外,还应查明相干网络安全服务机构及无关部门的责任,对有尽职、失职及其他违法行为的,依法追究责任。
第四十八条 电子政务要害信息基础设施的运营者不履行本条例规定的网络安全爱护任务的,按照《中华人民共和国网络安全法》无关规定予以解决。
第四十九条 违反本条例规定,给别人造成侵害的,依法承当民事责任。
违反本条例规定,形成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第六章 附 则
第五十条 存储、解决波及国家机密信息的要害信息基础设施的平安爱护,还该当恪守窃密法律、行政法规的规定。
要害信息基础设施中的明码应用和治理,还该当恪守相干法律、行政法规的规定。
第五十一条 本条例自 2021 年 9 月 1 日起实施。