【2024年凉州区网络安全宣传周】一图读懂《关键信息基础设施安全保护条例》(附全文)
《关键信息基础设施安全保护条例》
第一章 总则
为确保关键信息基础设施的安全,以及维护网络环境的稳定爱游戏登录入口网页版平台,依据《中华人民共和国网络安全法》的相关规定,特此颁布本条例。
本条例所定义的关键信息基础设施,涵盖了诸如公共通信与信息服务、能源供应、交通运输、水利设施、金融系统、公共服务、电子政务以及国防科技工业等关键行业和领域。此外,还包括那些一旦遭受破坏、功能丧失或数据泄露,可能对国家安全、国家经济、人民生活以及公共利益造成严重危害的网络设施和信息系统。
在国家网信部门的统一协调下,国务院公安机关承担了关键信息基础设施安全保护工作的指导和监督职责。国务院电信管理机构以及其他相关部门,根据本条例及有关法律法规的规定,在其职责范围内,负责关键信息基础设施的安全保护与监督管理。同时,省级政府相关部门亦依据各自职责,对关键信息基础设施进行安全保护和监督管理。
第四条 在关键信息基础设施的安全防护工作中,我们秉持全面协调、明确分工、依法执行的原则,着重强化并执行运营者(以下简称运营者)在安全保护方面的主要责任,同时充分调动政府以及社会各界各方的积极作用,共同确保关键信息基础设施的安全。
第五条 我国对关键信息基础设施实施特别防护,通过采取一系列措施,对来自国内外可能存在的网络安全风险和威胁进行监测、防御和处置,确保这些基础设施不受攻击、非法侵入、干扰或破坏,并依照法律规定严厉打击那些危害关键信息基础设施安全的违法犯罪行为。个人与机构均不得进行非法侵入、干扰或破坏关键信息基础设施的行为,同时亦不得对关键信息基础设施的安全构成威胁。
第六条 运营者需遵循本条例及相关法律法规、行政规章和国家标准的强制要求,基于网络安全等级保护原则,实施技术防护手段及其他必要手段,以应对网络安全事件,预防网络攻击及违法行为,确保关键信息基础设施的安全稳定运行,并维护数据的完整性、保密性及可用性。
第七条,对于在关键信息基础设施安全保护领域业绩斐然或贡献卓越的机构与个人,将依照国家相关法规实施表彰。
第二章 关键信息基础设施认定
第八条 本条例第二条所指明的关键行业与领域,其主管部门以及负责监督管理的机构,均为承担关键信息基础设施安全防护职责的部门(以下简称保护工作部门)。
第九条,保护工作部门需依据本行业、本领域的实际情况,制定出关键信息基础设施的认定规范,同时,将这些规范上报至国务院公安部门,并完成备案手续。
制定认定规则应当主要考虑下列因素:
本行业和本领域的关键核心业务,对网络设施和信息系统等要素的依赖性极高。
网络基础设施、信息系统等一旦遭受损害、功能失效或数据泄露,其可能造成的危害程度。
(三)对其他行业和领域的关联性影响。
第十条 规定爱游体育app下载官网,保护工作部门需依据既定规则,负责对行业内、领域内的关键信息基础设施进行组织认定,并迅速将认定结论告知运营单位,同时向国务院公安部门进行信息通报。
若关键信息基础设施发生显著变动,可能对认定结果产生影响,运营方需立即向相关部门上报相关状况。相关部门自接到报告后,应在3个月内完成重新认定工作,并将认定结果告知运营方,同时向国务院公安部门通报。
第三章 运营者责任义务
第十二条 规划、建设及使用安全防护措施需与关键信息基础设施保持一致,三者应同步进行。
第十三条 规定运营者需构建完善的网络安全防护体系及责任机制,确保人力、财力、物力的充足投入。运营者的首要责任人需对关键信息基础设施的安全防护承担全面责任,并领导相关安全保护及重大网络安全事件的应对工作,同时负责组织研究并解决重大网络安全问题。
第十四条规定,运营单位需设立独立的安全管理机构,同时要对该机构的负责人及关键岗位的员工进行安全背景的审查。在此过程中,公安机关和国家安全机关需提供必要的协助。
第十五条规定,特定安全管理机构负责本单位的要害信息基础设施的安全防护任务,其职责包括:
(一)构建完善的网络安全管理体系和评价考核机制,制定针对关键信息基础设施的安全防护方案。
推动网络安全防护能力的提升,组织实施网络安全监测、检测活动,同时进行风险评估。
依据国家与行业针对网络安全事件的预案要求,本部门需编制相应的应急预案,并定期组织应急演练活动,以应对和处理网络安全方面的突发事件。
(四)明确网络安全要害职位,开展网络安全绩效评估,提出激励与惩戒的提议;
(五)组织网络安全教育、培训;
确保承担个人信息与数据安全的防护职责,构建完善的信息与数据安全防护体系。
对关键信息基础设施的设计、建设、运营、维护等环节,均需执行严格的安全管理措施。
(八)按照规定报告网络安全事件和重要事项。
第十六条 规定运营者需确保专门安全管理机构的运营资金充足,并配备相应的工作人员。在进行与网络安全和信息化相关的决策时,必须由专门安全管理机构的工作人员参与。
第十七条 规定,运营方需亲自执行或委托专业的网络安全服务提供者,对核心信息基础设施实施年度网络安全检测和风险评价,对于识别出的安全隐患应立即进行整改,同时,还需根据相关部门的保护工作要求,及时上报相关情况。
第十八条 在关键信息基础设施遭遇重大网络安全事件,或者察觉到重大网络安全威胁的情况下,运营单位需依据相关法规,向网络安全保护部门及公安机关进行汇报。当关键信息基础设施出现全面停运或核心功能失效、国家关键信息及关键数据遭到泄露、大量个人信息外泄、引发显著的经济损失、违法违规信息在广泛区域内传播等极其严重的网络安全事件发生,或者发现此类重大网络安全威胁时,相关保护机构需在接到通报后,迅速向国家互联网信息办公室和国务院公安部门进行汇报。
第十九条,运营方需优先选购那些安全可靠的网络产品与服务;若采购的这些产品与服务可能对国家安全构成影响,则必须依照国家网络安全的相关规定,进行严格的安全审查。
第二十条,运营单位在购买网络产品与服务时,需依据国家相关法规,与供应商缔结安全保密合同,具体规定供应商的技术支持、安全保密的职责和担当爱游戏app官方入口最新版本,同时,还需对供应商履行这些职责和担当的情况进行有效监督。
第二十一条 若运营者遭遇合并、分立或解散等情形,须立即向相关部门上报,并遵照其指导对关键信息基础设施进行处理,务必保障其安全。
监制:王信贤 审核:李发伟
