《关键信息基础设施安全保护条例》解读

关键信息基础设施的定义

关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

当电力设施的重要信息系统遭受网络攻击时，可能引发重大电力安全事故或重大网络安全事件，对国家安全、国计民生和公共利益造成严重危害。

02

关键信息基础设施安全保护总体要求

关键信息基础设施安全保护坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。

国务院公安部门指导监督关键信息基础设施安全保护工作，国务院电信主管部门和其他有关部门及省级人民政府在各自范围内负责关进信息基础设施安全保护和监督管理工作，重点行业领域主管部门是行业保护工作部门，负责制定认定与变更规则，组织开展行业关键基础设施认定工作，并报备国务院公安部门。

03

关键信息基础设施运营者的责任

《关键信息基础设施安全保护条例》中明确了关键信息基础设施运营者的责任和义务，以保障关键信息基础设施安全。主要内容如下：

01

在进行关键信息基础设施认定工作时，网络安全保护措施必须同步考虑，即严格执行同步规划、同步建设、同步使用的“三同步”原则，不允许在认定工作结束后，再进行网络安全建设动作。

02

关键信息基础设施运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。

03

关键信息基础设施运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。

04

关键信息基础设施每年至少进行一次网络安全检测和风险评估，若存在问题，需要进行及时整改并上报保护工作部门。

05

当关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，应当向保护工作部门、公安机关报告。

06

关键信息基础设施运营者在进行关键信息基础设施网络安全保护时，采购的网络安全产品和服务需要安全可信，具备自主知识产权和具备相应销售许可证，不能影响国家安全。

07

当关键信息基础设施运营者发生合并、分立、解散等情况，应当及时报告保护工作部门，并按照保护工作部门的要求对关键信息基础设施进行处置。

04

关键信息基础设施运营者的具体工作

对于关键信息基础设施运营者的专门安全管理机构应落实以下8项具体保护工作：

01

建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；

02

组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；

03

按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；

04

认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议；

05

组织网络安全教育、培训；

06

履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；

07

对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；

08

按照规定报告网络安全事件和重要事项。

05

法律责任

规定关键信息基础设施运营者应落实安全保护的权利和义务及其负责人的职责，要求建立关键信息基础设施网络安全监测预警体系和信息通报制度，违反本条例将会受到行政处罚、判处罚金甚至要承担刑事责任。

关键信息基础设施安全保护条例