中华人民共和国国务院令 第 745 号 《关键信息基础设施安全保护条例》已经 2021 年 4 月 27 日国务院第 133 次常务会议 通过，现予公布，自 2021 年 9 月 1 日起施行。 总理 李克强 2021 年 7 月 30 日 m o c . 5 关键信息基础设施安全保护条例 第一章 总则 b u 第一条 为了保障关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络 安全法》，制定本条例。 h t i g 第二条 本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、 金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、 丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信 息系统等。 第三条 在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施 安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规 定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。 省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。 第四条 关键信息基础设施安全保护坚持综合协调、分工负责、依法保护，强化和落实 关键信息基础设施运营者（以下简称运营者）主体责任，充分发挥政府及社会各方面的作用， 共同保护关键信息基础设施安全。 第五条 国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于 中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干 扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动。 任何个人和组织不得实施非法侵入、于扰、破坏关键信息基础设施的活动，不得危害关 键信息基础设施安全。 第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求， 在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防 1 范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保 密性和可用性。 第七条 对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位 和个人，按照国家有关规定给予表彰。 第二章 关键信息基础设施认定 第八条 本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信 息基础设施安全保护工作的部门（以下简称保护工作部门） 。 第九条 保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并 报国务院公安部门备案。制定认定规则应当主要考虑下列因素： m o c . 5 （一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度； （二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程 度； （三）对其他行业和领域的关联性影响。 b u 第十条 保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施， 及时将认定结果通知运营者，并通报国务院公安部门。 h t i g 第十一条 关键信息基础设施发生较大变化，可能影响其认定结果的，运营者应当及时 将相关情况报告保护工作部门。保护工作部门自收到报告之日起 3 个月内完成重新认定，将 认定结果通知运营者，并通报国务院公安部门。 第三章 运营者责任义务 第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。 第十三条 运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投 入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全 保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。 第十四条 运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗 位人员进行安全背景审查。审查时，公安机关、国家安全机关应当予以协助。 第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行 下列职责： （一）建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划； （二）组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估； （三）按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演 练，处置网络安全事件； 2 （四）认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议； （五）组织网络安全教育、培训； （六）履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度； （七）对关键信息基础设施设计、建设、运行、维护等服务实施安全管理； （八）按照规定报告网络安全事件和重要事项。 第十六条 运营者应当保障专门安全管理机构的运行经费、配备相应的人员，开展与网 络安全和信息化有关的决策应当有专门安全管理机构人员参与。 第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进 行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报 送情况。 m o c . 5 第十八条 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运 营者应当按照有关规定向保护工作部门、公安机关报告。 发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数 据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网 络安全事件或者发现特别重大网络安全威胁时，保护工作部门应当在收到报告后，及时向国 家网信部门、国务院公安部门报告。 b u 第十九条 运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能 影响国家安全的，应当按照国家网络安全规定通过安全审查。 h t i g 第二十条 运营者采购网络产品和服务，应当按照国家有关规定与网络产品和服务提供 者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任，并对义务与责任履行 情况进行监督。 第二十一条 运营者发生合并、分立、解散等情况，应当及时报告保护工作部门，并按 照保护工作部门的要求对关键信息基础设施进行处置，确保安全。 第四章 保障和促进 第二十二条 保护工作部门应当制定本行业、本领域关键信息基础设施安全规划，明确 保护目标、基本要求、工作任务、具体措施。 第二十三条 国家网信部门统筹协调有关部门建立网络安全信息共享机制，及时汇总、 研判、共享、发布网络安全威胁、漏洞、事件等信息，促进有关部门、保护工作部门、运营 者以及网络安全服务机构等之间的网络安全信息共享。 第二十四条 保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全 监测预警制度，及时掌握本行业、本领域关键信息基础设施运行状况、安全态势，预警通报 网络安全威胁和隐患，指导做好安全防范工作。 第二十五条 保护工作部门应当按照国家网络安全事件应急预案的要求，建立健全本行 业、本领域的网络安全事件应急预案，定期组织应急演练；指导运营者做好网络安全事件应 3 对处置，并根据需要组织提供技术支持与协助。 第二十六条 保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安 全检查检测，指导监督运营者及时整改安全隐患、完善安全措施。 第二十七条 国家网信部门统筹协调国务院公安部门、保护工作部门对关键信息基础设 施进行网络安全检查检测，提出改进措施。 有关部门在开展关键信息基础设施网络安全检查时，应当加强协同配合、信息沟通，避 免不必要的检查和交叉重复检查。检查工作不得收取费用，不得要求被检查单位购买指定品 牌或者指定生产、销售单位的产品和服务。 第二十八条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作， 以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网 络安全检查工作应当予以配合。 m o c . 5 第二十九条 在关键信息基础设施安全保护工作中，国家网信部门和国务院电信主管部 门、国务院公安部门等应当根据保护工作部门的需要，及时提供技术支持和协助。 第三十条 网信部门、公安机关、保护工作部门等有关部门，网络安全服务机构及其工 作人员对于在关键信息基础设施安全保护工作中获取的信息，只能用于维护网络安全，并严 格按照有关法律、行政法规的要求确保信息安全，不得泄露、出售或者非法向他人提供。 b u 第三十一条 未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权， 任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关 键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先 向国务院电信主管部门报告。 h t i g 第三十二条 国家采取措施，优先保障能源、电信等关键信息基础设施安全运行。 能源、电信行业应当采取措施，为其他行业和领域的关键信息基础设施安全运行提供重 点保障。 第三十三条 公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保 卫，防范打击针对和利用关键信息基础设施实施的违法犯罪活动。 第三十四条 国家制定和完善关键信息基础设施安全标准，指导、规范关键信息基础设 施安全保护工作。 第三十五条 国家采取措施，鼓励网络安全专门人才从事关键信息基础设施安全保护工 作；将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。 第三十六条 国家支持关键信息基础设施安全防护技术创新和产业发展，组织力量实施 关键信息基础设施安全技术攻关。 第三十七条 国家加强网络安全服务机构建设和管理，制定管理要求并加强监督指导， 不断提升服务机构能力水平，充分发挥其在关键信息基础设施安全保护中的作用。 第三十八条 国家加强网络安全军民融合，军地协同保护关键信息基础设施安全。 4 第五章 法律责任 第三十九条 运营者有下列情形之一的，由有关主管部门依据职责责令改正，给予警告； 拒不改正或者导致危害网络安全等后果的，处 10 万元以上 100 万元以下罚款，对直接负责 的主管人员处 1 万元以上 10 万元以下罚款： （一）在关键信息基础设施发生较大变化，可能影响其认定结果时未及时将相关情况报 告保护工作部门的； （二）安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的； （三）未建立健全网络安全保护制度和责任制的； （四）未设置专门安全管理机构的； m o c . 5 （五）未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的； （六）开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的； （七）专门安全管理机构未履行本条例第十五条规定的职责的； （八）未对关键信息基础设施每年至少进行一次网络安全检测和风险评估，未对发现的 安全问题及时整改，或者未按照保护工作部门要求报送情况