《关键信息基础设施安全保护条例全文学习PPT课件.pptx》由会员分享,可在线阅读,更多相关《关键信息基础设施安全保护条例全文学习PPT课件.pptx(81页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、关键信息基础设施安全保护条例,法律法规条例制度,-学习解读关键信息基础设施安全保护条例全文-,【颁布机关】中华人民共和国国务院【发布文号】国务院令第745号【发布日期】2021-07-30【实施日期】2021-09-01【效力级别】行政法规,前言,党中央、国务院高度重视关键信息基础设施安全保护工作。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。保障关键信息基础设施安全,对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。当前,关键信息基础设施面临的网络安全形势日趋严峻,网络攻击威胁上升,事故隐患易发多发,安全保护工作还存在法规制度
2、不完善、工作基础薄弱、资源力量分散、技术产业支撑不足等突出问题,亟待建立专门制度,明确各方责任,加快提升关键信息基础设施安全保护能力。2017年施行的中华人民共和国网络安全法规定,关键信息基础设施的具体范围和安全保护办法由国务院制定。出台条例旨在落实中华人民共和国网络安全法有关要求,将为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。,出台背景,在总体思路上主要把握了以下三点:一是坚持问题导向。针对关键信息基础设施安全保护工作实践中的突出问题,细化中华人民共和国网络安全法有关规定,将实践证明成熟有效的做法上升为法律制度,为保护工作提供法治保障。二是压实责任。坚持综合协调、分工负责、依
3、法保护,强化和落实关键信息基础设施运营者主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。三是做好与相关法律、行政法规的衔接。在中华人民共和国网络安全法确立的制度框架下,细化相关制度措施,同时处理好与相关法律、行政法规的关系。,制定条例的总体思路,条例第三条规定在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。,关键信息基础设施安全保护工作
4、,各部门的职责分工,条例从我国国情出发,借鉴国外通行做法,明确了关键信息基础设施的定义和认定程序。一是明确关键信息基础设施的定义。二是明确关键信息基础设施所在行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。三是明确由保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并组织认定本行业、本领域的关键信息基础设施。四是规定关键信息基础设施发生较大变化,可能影响其认定结果时,运营者应当及时报告保护工作部门,由保护工作部门重新认定。,关键信息基础设施如何认定?,依据中华人民共和国网络安全法有关规定,按照“谁主管谁负责”的原则,条例明确了保护工作部门对本行业、本
5、领域关键信息基础设施的安全保护责任:一是制定关键信息基础设施安全规划,明确保护目标、基本要求、工作任务、具体措施。二是建立健全网络安全监测预警制度,及时掌握关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。三是建立健全网络安全事件应急预案,定期组织应急演练。四是指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。五是定期组织开展网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。,条例对保护工作部门职责作了哪些规定?,条例在总则部分对运营者责任作了原则规定,要求运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,
6、在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。条例还设专章细化了有关义务要求,主要包括:一是建立健全网络安全保护制度和责任制,实行“一把手负责制”,明确运营者主要负责人负总责,保障人财物投入。二是设置专门安全管理机构,履行安全保护职责,参与本单位与网络安全和信息化有关的决策,并对机构负责人和关键岗位人员进行安全背景审查。三是对关键信息基础设施每年进行网络安全检测和风险评估,及时整改问题并按要求向保护工作部门报送情况。四是关键信息基础设施发生重大网络安全事件或者发现重大
7、网络安全威胁时,按规定向保护工作部门、公安机关报告。五是优先采购安全可信的网络产品和服务,并与提供者签订安全保密协议;可能影响国家安全的,应当按规定通过安全审查。,为强化和落实关键信息基础设施运营者主体责任,条例主要作了哪些规定?,保障关键信息基础设施安全,需要统筹资源和力量,全方位实施保护。条例在保障方面,一是明确建立网络安全信息共享机制,并规定工作中获取的信息只能用于维护网络安全,不得泄露、出售或者非法向他人提供。二是对国家有关部门开展安全检查作出规定,要求避免不必要的检查和交叉重复检查,检查不得收费,不得要求被检查单位购买指定产品和服务;同时规定任何个人和组织未经授权不得对关键信息基础设
8、施进行探测测试等活动。三是规定国家网信部门和国务院电信主管部门、公安部门等根据保护工作部门需要,提供技术支持和协助。四是明确国家对能源、电信等关键信息基础设施安全运行实施优先保障。五是规定公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。六是明确国家出台安全标准,指导规范关键信息基础设施安全保护工作。条例在支持促进方面,从人才培养、技术创新和产业发展、网络安全服务机构建设与管理、军民融合、表彰奖励等方面作了相应规定。,对于关键信息基础设施安全保护工作,条例明确了哪些保障和促进措施?,实践中,一些个人和组织擅自对关键信息基础
9、设施实施漏洞探测、渗透性测试等活动,影响关键信息基础设施安全。条例一是明确任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。二是规定未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。三是在法律责任章节中专门规定了相应罚则。,对实施危害关键信息基础设施安全活动的个人和组织,或未经授权或批准,对关键信息基础设施实施漏洞探测、渗透性测试等活动的个人和组织,
10、条例作了哪些规范?,中华人民共和国数据安全法已由第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过,将于9月1日起实施。其中,第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用中华人民共和国网络安全法的规定。中华人民共和国网络安全法第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。,关键信息基础设施中的重要数据出境如何进行?,
11、国家网信部门负责关键信息基础设施安全保护工作的统筹协调。“党政军民学,东南西北中,党是领导一切的”。国家网信部门负责统筹协调关键信息基础设施安全保护工作,既是落实“党管互联网”原则的应有之义,也是确保党中央将关键信息基础设施安全保护的重要部署和重大举措落实到位的有力保障。国家网信部门位于关键信息基础设施安全保护责任体系的顶层,在具有全局性、方向性、基础性的问题上发挥关键作用,统筹协调国务院公安部门、保护工作部门开展工作。公安部门负责指导监督关键信息基础设施安全保护工作。条例赋予了公安部门除了打击网络违法犯罪之外更多的工作职能,具体体现在:关键信息基础设施认定规则备案、协助运营者开展安全背景审查
12、、为保护工作部门提供技术支持和协助等方面。除此之外,国家安全、保密行政管理、密码管理等部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。,综合保护体系的第一层是国家网信部门和国务院公安部门等国家有关职能部门,国务院电信主管部门和其他有关部门在各自职责范围内负责关键信息基础设施安全保护和监管管理工作。在关键信息基础设施保护体系中,保护工作部门是与运营者联系最密切、打交道最直接、具体职责最丰富的国家主管、监管部门。首先,关键信息基础设施的认定规则,由保护工作部门负责制定。开展关键信息基础设施保护,第一步是弄清关键信息基础设施保护的具体对象。条例规
13、定,认定关键信息基础设施,应结合本行业、本领域的实际情况和不同特点,综合考虑重要程度、破坏后的危害程度、与其他行业的关联性等因素。由此可见,关键信息基础设施的认定工作与行业关键业务高度相关,由保护工作部门制定认定规则最为合理。其次,保护工作部门是运营者的主要报告对象。运营者的报告义务主要有四种,分别在条例第十一条、十七条、十八条、二十一条中规定,主要有:影响关键信息基础设施认定结果的重大变化、年度网络安全检测和风险评估情况、发生重大网络安全事件和发现重大网络安全威胁、运营者发生合并分立解散等情况。以上四种情况的报告对象都为保护工作部门。第三,条例规定了保护工作部门对关键信息基础设施的保障促进职
14、能。具体包括:在本行业、本领域制定关键信息基础设施安全规划、建立监测预警制度、建立健全应急预案、定期组织应急演练、组织开展检查检测等。特别值得一提的是,前不久刚刚公开的党委(党组)网络安全工作责任制实施办法规定了行业主管监管部门对本行业本领域的网络安全工作所承担的一系列职责,与条例中对保护工作部门职责的规定相一致。条例的相关规定,既是贯彻落实党的方针路线政策的具体实践,也是把党的主张通过法定程序转化为国家法律法规的具体体现。,综合保护体系的第二层是保护工作部门,条例第四条规定,“强化和落实关键信息基础设施运营者主体责任”。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,应发挥政
15、府及社会各方面的作用,共同保护关键信息基础设施安全。尽管需要全社会共同保护,但仍然改变不了运营者在综合保护体系中的主体责任地位。条例第三章集中规定了运营者的主体责任义务,具体表现有:一是落实“三同步”安全要求。二是建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。三是设置专门安全管理机构。四是按照条例第十五条的规定,落实专门安全管理机构的各项职责。五是每年至少进行一次网络安全检测和风险评估。六是及时报告重大网络安全事件和网络安全威胁。七是优先采购安全可信的网络产品和服务。八是明确其网络产品和服务提供者的技术支持和安全保密义务与责任,并对履行情况进行监督。九是在发生合并、分立、解散等情
16、况时,及时报告保护工作部门,并按保护工作部门的要求进行处置。另外,条例不仅规定了运营者的责任义务,还充分发挥政府及社会各方面的支撑保障和协助支持作用,以增加运营者在开展关键信息基础设施保护工作方面的“获得感”。具体表现有:一是在开展机构负责人和关键岗位人员的安全背景审查方面,条例第十四条规定公安机关、国家安全机关应当予以协助。二是条例第七条规定,对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。三是条例第十六条规定开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与,改变了以往安全部门“有职无权”的困境。四是条例第二十五条规定在开展
17、网络安全事件处置时,可由保护工作部门提供技术支持与协助。五是条例第三十五条规定,国家采取措施,鼓励网络安全专门人才从事关键信息基础设施安全保护工作;将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。六是条例第三十二条规定,能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。,综合保护体系的第三层是关键信息基础设施运营者,条例第三条规定,省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。省级人民政府有关部门在关键信息基础设施保护工作体系中的职能主要体现在:一是根据条块管理的职责划分,在国家网信部门的统筹协调下,与国务院公安部门、保
18、护工作部门协调开展关键信息基础设施保护工作。二是根据党委(党组)网络安全工作责任制实施办法的规定,对本地区没有主管监管部门的运营者负指导监管责任。,省级人民政府有关部门,条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。虽然世界主要国家在关键信息基础设施范围的划分上略有差异(如表1所示),但大都是结合本国基本国情,将影响国民经济稳定运行和国家安全的重要基础设施纳入划分范围。,明确了关键信息基础设施的定义与认定,
19、条例第三条规定,在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。条例第四条规定,关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。,明确了关键信息基础设施保护的责任体系,条例强调运营者依照本条例和网络安全法等有关法律、行政法规的规定以及国家标准的强制
20、性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。运营者应当落实关键信息基础设施建设“三同步”要求;建立健全网络安全保护制度和责任制,保障人力、财力、物力投入;设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查;定期开展安全检测和风险评估,履行安全事件和威胁报告义务;落实网络安全审查要求;强化监测预警和信息共享等。,细化了关键信息基础设施运营者的责任义务,条例规定,国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有
21、关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享;统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测,提出改进措施。 保护工作部门应当制定本行业、本领域关键信息基础设施安全规划,建立健全监测预警制度和网络安全事件应急预案,定期组织应急演练和网络安全检查检测。 国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要,及时提供技术支持和协助。 国家制定和完善关键信息基础设施安全标准,指导、规范关键信息基础设施安全保护工作。 此外,条例还在人才培养、技术创新和产业发展、网络安全服务机构建设与管理、表彰奖励等方面作了相应规定。,加强
22、了保障和促进措施,网信部门、公安机关、保护工作部门和其他有关部门及其工作人员要提高认识,落实好网络安全法和条例等相关法律法规,履行好关键信息基础设施安全保护监督管理和主体责任。,充分认识关键信息基础设施安全保护工作的重要性,针对条例实施,细化实施细则和相关指导意见,进一步完善配套标准规范体系,为关键信息基础设施的识别认定、安全防护、检查评估、监测预警、应急处置、考核评价等全生命周期安全提供方法规范和技术支撑。全国信息安全标准化技术委员会推动研制了信息安全技术 关键信息基础设施网络安全保护基本要求信息安全技术 关键信息基础设施安全控制措施信息安全技术 关键信息基础设施安全检查评估指南等9项重点国
23、家标准,为关键信息基础设施保护体系和能力建设提供了重要的技术支撑。,进一步完善标准规范体系,加强前沿网络安全技术研究,强化行业关键信息基础设施安全防护检查与风险评估,构建完善应急保障体系,建立态势感知、应急指挥等技术支撑手段。,加强面向关键信息基础设施全生命周期的安全保护体系和能力建设,总则,第一章,为了保障关键信息基础设施安全,维护网络安全,根据中华人民共和国网络安全法,制定本条例。,第一条,本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生
24、、公共利益的重要网络设施、信息系统等。,第二条,在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。,第三条,关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。,第四条,国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源
25、于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。,第五条,运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。,第六条,对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。
26、,第七条,关键信息基础设施认定,第二章,本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)。,第八条,保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。制定认定规则应当主要考虑下列因素:(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;(三)对其他行业和领域的关联性影响。,第九条,保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公
27、安部门。,第十条,关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。,第十一条,运营者责任义务,第三章,安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。,第十二条,运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。,第十三条,运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关
28、键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。,第十四条,专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;(五)组织网络安全教育、培训;(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;(七)对关键信息基
29、础设施设计、建设、运行、维护等服务实施安全管理;(八)按照规定报告网络安全事件和重要事项。,第十五条,运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。,第十六条,运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。,第十七条,关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露
30、、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。,第十八条,运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。,第十九条,运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。,第二十条,运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础
31、设施进行处置,确保安全。,第二十一条,保障和促进,第四章,保护工作部门应当制定本行业、本领域关键信息基础设施安全规划,明确保护目标、基本要求、工作任务、具体措施。,第二十二条,国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。,第二十三条,保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。,第二十四条,保护工作部门应当按
32、照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。,第二十五条,保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。,第二十六条,国家网信部门统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测,提出改进措施。有关部门在开展关键信息基础设施网络安全检查时,应当加强协同配合、信息沟通,避免不必要的检查和交叉重复检查。检查工作不得收取费用,不得要求被检查单位购买指定品牌或者指定生产、销售单位
33、的产品和服务。,第二十七条,运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。,第二十八条,在关键信息基础设施安全保护工作中,国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要,及时提供技术支持和协助。,第二十九条,网信部门、公安机关、保护工作部门等有关部门,网络安全服务机构及其工作人员对于在关键信息基础设施安全保护工作中获取的信息,只能用于维护网络安全,并严格按照有关法律、行政法规的要求确保信息安全,不得泄露、出售或者非法向他人提供。,第三十条,
34、未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。,第三十一条,国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。,第三十二条,公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。,第三十三条,国家制定和完善关键信息基础设施安全标准,
35、指导、规范关键信息基础设施安全保护工作。,第三十四条,国家采取措施,鼓励网络安全专门人才从事关键信息基础设施安全保护工作;将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。,第三十五条,国家支持关键信息基础设施安全防护技术创新和产业发展,组织力量实施关键信息基础设施安全技术攻关。,第三十六条,国家加强网络安全服务机构建设和管理,制定管理要求并加强监督指导,不断提升服务机构能力水平,充分发挥其在关键信息基础设施安全保护中的作用。,第三十七条,国家加强网络安全军民融合,军地协同保护关键信息基础设施安全。,第三十八条,法律责任,第五章,运营者有下列情形之一的,由有关主管部门依据职责责令改正
36、,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款:(一)在关键信息基础设施发生较大变化,可能影响其认定结果时未及时将相关情况报告保护工作部门的;(二)安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的;(三)未建立健全网络安全保护制度和责任制的;(四)未设置专门安全管理机构的;(五)未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的;(六)开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的;(七)专门安全管理机构未履行本条例第十五条规定的职责的;(八)未对关键信息基础设施每年至少
37、进行一次网络安全检测和风险评估,未对发现的安全问题及时整改,或者未按照保护工作部门要求报送情况的;(九)采购网络产品和服务,未按照国家有关规定与网络产品和服务提供者签订安全保密协议的;(十)发生合并、分立、解散等情况,未及时报告保护工作部门,或者未按照保护工作部门的要求对关键信息基础设施进行处置的。,第三十九条,运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,未按照有关规定向保护工作部门、公安机关报告的,由保护工作部门、公安机关依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下
38、罚款。,第四十条,运营者采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查的,由国家网信部门等有关主管部门依据职责责令改正,处采购金额1倍以上10倍以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。,第四十一条,运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的,由有关主管部门责令改正;拒不改正的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节严重的,依法追究相应法律责任。
39、,第四十二条,实施非法侵入、干扰、破坏关键信息基础设施,危害其安全的活动尚不构成犯罪的,依照中华人民共和国网络安全法有关规定,由公安机关没收违法所得,处5日以下拘留,可以并处5万元以上50万元以下罚款;情节较重的,处5日以上15日以下拘留,可以并处10万元以上100万元以下罚款。单位有前款行为的,由公安机关没收违法所得,处10万元以上100万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。违反本条例第五条第二款和第三十一条规定,受到治安管理处罚的人员,5年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
40、,第四十三条,网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行关键信息基础设施安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊的,依法对直接负责的主管人员和其他直接责任人员给予处分。,第四十四条,公安机关、保护工作部门和其他有关部门在开展关键信息基础设施网络安全检查工作中收取费用,或者要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务的,由其上级机关责令改正,退还收取的费用;情节严重的,依法对直接负责的主管人员和其他直接责任人员给予处分。,第四十五条,网信部门、公安机关、保护工作部门等有关部门、网络安全服务机构及其工作人员将在关键信息基础设施安全保护工作中获取的
41、信息用于其他用途,或者泄露、出售、非法向他人提供的,依法对直接负责的主管人员和其他直接责任人员给予处分。,第四十六条,关键信息基础设施发生重大和特别重大网络安全事件,经调查确定为责任事故的,除应当查明运营者责任并依法予以追究外,还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。,第四十七条,电子政务关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的,依照中华人民共和国网络安全法有关规定予以处理。,第四十八条,违反本条例规定,给他人造成损害的,依法承担民事责任。违反本条例规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。,第四十九条,附则,第六章,存储、处理涉及国家秘密信息的关键信息基础设施的安全保护,还应当遵守保密法律、行政法规的规定。关键信息基础设施中的密码使用和管理,还应当遵守相关法律、行政法规的规定。,第五十条,本条例自2021年9月1日起施行。,第五十一条,汇报结束 感情聆听,法律法规条例制度,学习解读关键信息基础设施安全保护条例全文,
黑公网安备:91230400333293403D