(2021年4月27日***第133次常务会议通过 2021年7月30日中华公民共和国***令第745号公布 自2021年9月1日起施行)
第一章 总 则第一条 为了保障关键信息根本举动步伐安全,掩护网络安全,根据《中华公民共和国网络安全法》,制订本条例。
第二条 本条例所称关键信息根本举动步伐,是指公共通信和信息做事、能源、交通、水利、金融、公共做事、电子政务、国防科技工业等主要行业和领域的,以及其他一旦遭到毁坏、损失功能或者数据透露,可能严重危害国家安全、国计民生、公共利益的主要网络举动步伐、信息系统等。
第三条 在国家网信部门统筹折衷下,***公安部门卖力辅导监督关键信息根本举动步伐安全保护事情。***电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内卖力关键信息根本举动步伐安全保护和监督管理事情。
省级公民政府有关部门依据各自职责对关键信息根本举动步伐履行安全保护和监督管理。
第四条 关键信息根本举动步伐安全保护坚持综合折衷、分工卖力、依法保护,强化和落实关键信息根本举动步伐运营者(以下简称运营者)主体任务,充分发挥政府及社会各方面的浸染,共同保护关键信息根本举动步伐安全。
第五条 国家对关键信息根本举动步伐实施重点保护,采纳方法,监测、防御、处置来源于中华公民共和国境内外的网络安全风险和威胁,保护关键信息根本举动步伐免受攻击、侵入、滋扰和毁坏,依法惩处危害关键信息根本举动步伐安全的违法犯罪活动。
任何个人和组织不得履行造孽侵入、滋扰、毁坏关键信息根本举动步伐的活动,不得危害关键信息根本举动步伐安全。
第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的逼迫性哀求,在网络安全等级保护的根本上,采纳技能保护方法和其他必要方法,应对网络安全事宜,戒备网络攻击和违法犯罪活动,保障关键信息根本举动步伐安全稳定运行,掩护数据的完全性、保密性和可用性。
第七条 对在关键信息根本举动步伐安全保护事情中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。
第二章 关键信息根本举动步伐认定第八条 本条例第二条涉及的主要行业和领域的主管部门、监督管理部门是卖力关键信息根本举动步伐安全保护事情的部门(以下简称保护事情部门)。
第九条 保护事情部门结合本行业、本领域实际,制订关键信息根本举动步伐认定规则,并报***公安部门备案。
制订认定规则应该紧张考虑下列成分:
(一)网络举动步伐、信息系统等对付本行业、本领域关键核心业务的主要程度;
(二)网络举动步伐、信息系统等一旦遭到毁坏、损失功能或者数据透露可能带来的危害程度;
(三)对其他行业和领域的关联性影响。
第十条 保护事情部门根据认定规则卖力组织认定本行业、本领域的关键信息根本举动步伐,及时将认定结果关照运营者,并通报***公安部门。
第十一条 关键信息根本举动步伐发生较大变革,可能影响其认定结果的,运营者应该及时将干系情形报告保护事情部门。保护事情部门自收到报告之日起3个月内完成重新认定,将认定结果关照运营者,并通报***公安部门。
第三章 运营者任务责任第十二条 安全保护方法应该与关键信息根本举动步伐同步方案、同步培植、同步利用。
第十三条 运营者应该建立健全网络安全保护制度和任务制,保障人力、财力、物力投入。运营者的紧张卖力人对关键信息根本举动步伐安全保护负总责,领导关键信息根本举动步伐安全保护和重大网络安全事宜处置事情,组织研究办理重大网络安全问题。
第十四条 运营者应该设置专门安全管理机构,并对专门安全管理机构卖力人和关键岗位职员进行安全背景审查。审查时,公安机关、国家安全机关应该予以帮忙。
第十五条 专门安全管理机构详细卖力本单位的关键信息根本举动步伐安全保护事情,履行下列职责:
(一)建立健全网络安全管理、评价考察制度,制定关键信息根本举动步伐安全保护操持;
(二)组织推动网络安全防护能力培植,开展网络安全监测、检测和风险评估;
(三)按照国家及行业网络安全事宜应急预案,制订本单位应急预案,定期开展应急演习训练,处置网络安全事宜;
(四)认定网络安全关键岗位,组织开展网络安全事情考察,提出褒奖和惩办建议;
(五)组织网络安全教诲、培训;
(六)履行个人信息和数据安全保护任务,建立健全个人信息和数据安全保护制度;
(七)对关键信息根本举动步伐设计、培植、运行、掩护等做事履行安全管理;
(八)按照规定报告网络安全事宜和主要事变。
第十六条 运营者应该保障专门安全管理机构的运行经费、配备相应的职员,开展与网络安全和信息化有关的决策应该有专门安全管理机构职员参与。
第十七条 运营者应该自行或者委托网络安全做事机构对关键信息根本举动步伐每年至少进行一次网络安全检测和风险评估,对创造的安全问题及时整改,并按照保护事情部门哀求报送情形。
第十八条 关键信息根本举动步伐发生重大网络安全事宜或者创造重大网络安全威胁时,运营者应该按照有关规定向保护事情部门、公安机关报告。
发生关键信息根本举动步伐整体中断运行或者紧张功能故障、国家根本信息以及其他主要数据透露、较大规模个人信息透露、造成较大经济丢失、违法信息较大范围传播等特殊重大网络安全事宜或者创造特殊重大网络安全威胁时,保护事情部门应该在收到报告后,及时向国家网信部门、***公安部门报告。
第十九条 运营者应该优先采购安全可信的网络产品和做事;采购网络产品和做事可能影响国家安全的,应该按照国家网络安全规定通过安全审查。
第二十条 运营者采购网络产品和做事,应该按照国家有关规定与网络产品和做事供应者签订安全保密协议,明确供应者的技能支持和安全保密责任与任务,并对责任与任务履行情形进行监督。
第二十一条 运营者发生合并、分立、终结等情形,应该及时报告保护事情部门,并按照保护事情部门的哀求对关键信息根本举动步伐进行处置,确保安全。
第四章 保障和促进第二十二条 保护事情部门应该制订本行业、本领域关键信息根本举动步伐安全方案,明确保护目标、基本哀求、事情任务、详细方法。
第二十三条 国家网信部门统筹折衷有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事宜等信息,促进有关部门、保护事情部门、运营者以及网络安全做事机构等之间的网络安全信息共享。
第二十四条 保护事情部门应该建立健全本行业、本领域的关键信息根本举动步伐网络安全监测预警制度,及时节制本行业、本领域关键信息根本举动步伐运行状况、安全态势,预警通报网络安全威胁和隐患,辅导做好安全戒备事情。
第二十五条 保护事情部门应该按照国家网络安全事宜应急预案的哀求,建立健全本行业、本领域的网络安全事宜应急预案,定期组织应急演习训练;辅导运营者做好网络安全事宜应对处置,并根据须要组织供应技能支持与帮忙。
第二十六条 保护事情部门应该定期组织开展本行业、本领域关键信息根本举动步伐网络安全检讨检测,辅导监督运营者及时整改安全隐患、完善安全方法。
第二十七条 国家网信部门统筹折衷***公安部门、保护事情部门对关键信息根本举动步伐进行网络安全检讨检测,提出改进方法。
有关部门在开展关键信息根本举动步伐网络安全检讨时,应该加强协同合营、信息沟通,避免不必要的检讨和交叉重复检讨。检讨事情不得收取用度,不得哀求被检讨单位购买指定品牌或者指定生产、发卖单位的产品和做事。
第二十八条 运营者对保护事情部门开展的关键信息根本举动步伐网络安全检讨检测事情,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息根本举动步伐网络安全检讨事情应该予以合营。
第二十九条 在关键信息根本举动步伐安全保护事情中,国家网信部门和***电信主管部门、***公安部门等应该根据保护事情部门的须要,及时供应技能支持和帮忙。
第三十条 网信部门、公安机关、保护事情部门等有关部门,网络安全做事机构及其事情职员对付在关键信息根本举动步伐安全保护事情中获取的信息,只能用于掩护网络安全,并严格按照有关法律、行政法规的哀求确保信息安全,不得透露、***或者造孽向他人供应。
第三十一条 未经国家网信部门、***公安部门批准或者保护事情部门、运营者授权,任何个人和组织不得对关键信息根本举动步伐履行漏洞探测、渗透性测试等可能影响或者危害关键信息根本举动步伐安全的活动。对根本电信网络履行漏洞探测、渗透性测试等活动,应该事先向***电信主管部门报告。
第三十二条 国家采纳方法,优先保障能源、电信等关键信息根本举动步伐安全运行。
能源、电信行业应该采纳方法,为其他行业和领域的关键信息根本举动步伐安全运行供应重点保障。
第三十三条 公安机关、国家安全机关依据各自职责依法加强关键信息根本举动步伐安全保卫,戒备打击针对和利用关键信息根本举动步伐履行的违法犯罪活动。
第三十四条 国家制订和完善关键信息根本举动步伐安全标准,辅导、规范关键信息根本举动步伐安全保护事情。
第三十五条 国家采纳方法,鼓励网络安全专门人才从事关键信息根本举动步伐安全保护事情;将运营者安全管理职员、安全技能职员培训纳入国家连续教诲体系。
第三十六条 国家支持关键信息根本举动步伐安全防护技能创新和家当发展,组织力量履行关键信息根本举动步伐安全技能攻关。
第三十七条 国家加强网络安全做事机构培植和管理,制订管理哀求并加强监督辅导,不断提升做事机构能力水平,充分发挥其在关键信息根本举动步伐安全保护中的浸染。
第三十八条 国家加强网络安全军民领悟,军地协同保护关键信息根本举动步伐安全。
第五章 法律任务第三十九条 运营者有下列环境之一的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接卖力的主管职员处1万元以上10万元以下罚款:
(一)在关键信息根本举动步伐发生较大变革,可能影响其认定结果时未及时将干系情形报告保护事情部门的;
(二)安全保护方法未与关键信息根本举动步伐同步方案、同步培植、同步利用的;
(三)未建立健全网络安全保护制度和任务制的;
(四)未设置专门安全管理机构的;
(五)未对专门安全管理机构卖力人和关键岗位职员进行安全背景审查的;
(六)开展与网络安全和信息化有关的决策没有专门安全管理机构职员参与的;
(七)专门安全管理机构未履行本条例第十五条规定的职责的;
(八)未对关键信息根本举动步伐每年至少进行一次网络安全检测和风险评估,未对创造的安全问题及时整改,或者未按照保护事情部门哀求报送情形的;
(九)采购网络产品和做事,未按照国家有关规定与网络产品和做事供应者签订安全保密协议的;
(十)发生合并、分立、终结等情形,未及时报告保护事情部门,或者未按照保护事情部门的哀求对关键信息根本举动步伐进行处置的。
第四十条 运营者在关键信息根本举动步伐发生重大网络安全事宜或者创造重大网络安全威胁时,未按照有关规定向保护事情部门、公安机关报告的,由保护事情部门、公安机关依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接卖力的主管职员处1万元以上10万元以下罚款。
第四十一条 运营者采购可能影响国家安全的网络产品和做事,未按照国家网络安全规定进行安全审查的,由国家网信部门等有关主管部门依据职责责令改正,处采购金额1倍以上10倍以下罚款,对直接卖力的主管职员和其他直接任务职员处1万元以上10万元以下罚款。
第四十二条 运营者对保护事情部门开展的关键信息根本举动步伐网络安全检讨检测事情,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息根本举动步伐网络安全检讨事情不予合营的,由有关主管部门责令改正;拒不改正的,处5万元以上50万元以下罚款,对直接卖力的主管职员和其他直接任务职员处1万元以上10万元以下罚款;情节严重的,依法深究相应法律任务。
第四十三条 履行造孽侵入、滋扰、毁坏关键信息根本举动步伐,危害其安全的活动尚不构成犯罪的,依照《中华公民共和国网络安全法》有关规定,由公安机关没收违法所得,处5日以下拘留,可以并处5万元以上50万元以下罚款;情节较重的,处5日以上15日以下拘留,可以并处10万元以上100万元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处10万元以上100万元以下罚款,并对直接卖力的主管职员和其他直接任务职员依照前款规定惩罚。
违反本条例第五条第二款和第三十一条规定,受到治安管理惩罚的职员,5年内不得从事网络安全管理和网络运营关键岗位的事情;受到刑事惩罚的职员,终生不得从事网络安全管理和网络运营关键岗位的事情。
第四十四条 网信部门、公安机关、保护事情部门和其他有关部门及其事情职员未履行关键信息根本举动步伐安全保护和监督管理职责或者玩忽职守、滥用权益、徇私舞弊的,依法对直接卖力的主管职员和其他直接任务职员给予处罚。
第四十五条 公安机关、保护事情部门和其他有关部门在开展关键信息根本举动步伐网络安全检讨事情中收取用度,或者哀求被检讨单位购买指定品牌或者指定生产、发卖单位的产品和做事的,由其上级机关责令改正,退还收取的用度;情节严重的,依法对直接卖力的主管职员和其他直接任务职员给予处罚。
第四十六条 网信部门、公安机关、保护事情部门等有关部门、网络安全做事机构及其事情职员将在关键信息根本举动步伐安全保护事情中获取的信息用于其他用场,或者透露、***、造孽向他人供应的,依法对直接卖力的主管职员和其他直接任务职员给予处罚。
第四十七条 关键信息根本举动步伐发生重大和特殊重大网络安全事宜,经调查确定为任务事件的,除应该查明运营者任务并依法予以深究外,还应查明干系网络安全做事机构及有关部门的任务,对有失落职、渎职及其他违法行为的,依法深究任务。
第四十八条 电子政务关键信息根本举动步伐的运营者不履行本条例规定的网络安全保护责任的,依照《中华公民共和国网络安全法》有关规定予以处理。
第四十九条 违反本条例规定,给他人造成危害的,依法承担民事任务。
违反本条例规定,构成违反治安管理行为的,依法给予治安管理惩罚;构成犯罪的,依法深究刑事任务。
第六章 附 则第五十条 存储、处理涉及国家秘密信息的关键信息根本举动步伐的安全保护,还应该遵守保密法律、行政法规的规定。
关键信息根本举动步伐中的密码利用和管理,还应该遵守干系法律、行政法规的规定。
第五十一条 本条例自2021年9月1日起施行。
来源 | 国家行政法规库
