國家互聯(lián)網(wǎng)信息辦公室關于《關鍵信息基礎設施安全保護條例(征求意見稿)》公開征求意見的通知
為保障關鍵信息基礎設施安全,根據(jù)《中華人民共和國網(wǎng)絡安全法》���,我辦會同相關部門起草了《關鍵信息基礎設施安全保護條例(征求意見稿)》��,現(xiàn)向社會公開征求意見��。有關單位和各界人士可以在2017年8月10日前���,通過以下方式提出意見:
一����、通過信函方式將意見寄至:北京市西城區(qū)車公莊大街11號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡安全協(xié)調局��,郵編100044,并在信封上注明“征求意見”���。
二��、通過電子郵件方式發(fā)送至:security@cac.gov.cn��。
附件:關鍵信息基礎設施安全保護條例(征求意見稿)
國家互聯(lián)網(wǎng)信息辦公室
2017年7月10日
關鍵信息基礎設施安全保護條例
(征求意見稿)
第一章 總則
第一條 為了保障關鍵信息基礎設施安全���,根據(jù)《中華人民共和國網(wǎng)絡安全法》����,制定本條例。
第二條 在中華人民共和國境內規(guī)劃����、建設�����、運營�、維護���、使用關鍵信息基礎設施,以及開展關鍵信息基礎設施的安全保護�,適用本條例。
第三條 關鍵信息基礎設施安全保護堅持頂層設計�����、整體防護��,統(tǒng)籌協(xié)調����、分工負責的原則�,充分發(fā)揮運營主體作用��,社會各方積極參與����,共同保護關鍵信息基礎設施安全���。
第四條 國家行業(yè)主管或監(jiān)管部門按照國務院規(guī)定的職責分工�,負責指導和監(jiān)督本行業(yè)��、本領域的關鍵信息基礎設施安全保護工作��。
國家網(wǎng)信部門負責統(tǒng)籌協(xié)調關鍵信息基礎設施安全保護工作和相關監(jiān)督管理工作���。國務院公安、國家安全���、國家保密行政管理�、國家密碼管理等部門在各自職責范圍內負責相關網(wǎng)絡安全保護和監(jiān)督管理工作��。
縣級以上地方人民政府有關部門按照國家有關規(guī)定開展關鍵信息基礎設施安全保護工作�。
第五條 關鍵信息基礎設施的運營者(以下稱運營者)對本單位關鍵信息基礎設施安全負主體責任�����,履行網(wǎng)絡安全保護義務�,接受政府和社會監(jiān)督�,承擔社會責任。
國家鼓勵關鍵信息基礎設施以外的網(wǎng)絡運營者自愿參與關鍵信息基礎設施保護體系。
第六條 關鍵信息基礎設施在網(wǎng)絡安全等級保護制度基礎上�,實行重點保護�����。
第七條 任何個人和組織發(fā)現(xiàn)危害關鍵信息基礎設施安全的行為�,有權向網(wǎng)信�、電信���、公安等部門以及行業(yè)主管或監(jiān)管部門舉報����。
收到舉報的部門應當及時依法作出處理����;不屬于本部門職責的�����,應當及時移送有權處理的部門。
有關部門應當對舉報人的相關信息予以保密��,保護舉報人的合法權益���。
第二章 支持與保障
第八條 國家采取措施����,監(jiān)測、防御�����、處置來源于中華人民共和國境內外的網(wǎng)絡安全風險和威脅�����,保護關鍵信息基礎設施免受攻擊、侵入����、干擾和破壞���,依法懲治網(wǎng)絡違法犯罪活動�����。
第九條 國家制定產(chǎn)業(yè)�、財稅�����、金融����、人才等政策��,支持關鍵信息基礎設施安全相關的技術、產(chǎn)品���、服務創(chuàng)新�����,推廣安全可信的網(wǎng)絡產(chǎn)品和服務��,培養(yǎng)和選拔網(wǎng)絡安全人才��,提高關鍵信息基礎設施的安全水平�。
第十條 國家建立和完善網(wǎng)絡安全標準體系�,利用標準指導��、規(guī)范關鍵信息基礎設施安全保護工作。
第十一條 地市級以上人民政府應當將關鍵信息基礎設施安全保護工作納入地區(qū)經(jīng)濟社會發(fā)展總體規(guī)劃��,加大投入���,開展工作績效考核評價��。
第十二條 國家鼓勵政府部門��、運營者���、科研機構��、網(wǎng)絡安全服務機構��、行業(yè)組織、網(wǎng)絡產(chǎn)品和服務提供者開展關鍵信息基礎設施安全合作��。
第十三條 國家行業(yè)主管或監(jiān)管部門應當設立或明確專門負責本行業(yè)���、本領域關鍵信息基礎設施安全保護工作的機構和人員,編制并組織實施本行業(yè)�����、本領域的網(wǎng)絡安全規(guī)劃,建立健全工作經(jīng)費保障機制并督促落實�。
第十四條 能源����、電信、交通等行業(yè)應當為關鍵信息基礎設施網(wǎng)絡安全事件應急處置與網(wǎng)絡功能恢復提供電力供應����、網(wǎng)絡通信��、交通運輸?shù)确矫娴闹攸c保障和支持。
第十五條 公安機關等部門依法偵查打擊針對和利用關鍵信息基礎設施實施的違法犯罪活動。
第十六條 任何個人和組織不得從事下列危害關鍵信息基礎設施的活動和行為:
(一)攻擊、侵入�、干擾��、破壞關鍵信息基礎設施�����;
(二)非法獲取��、出售或者未經(jīng)授權向他人提供可能被專門用于危害關鍵信息基礎設施安全的技術資料等信息��;
(三)未經(jīng)授權對關鍵信息基礎設施開展?jié)B透性、攻擊性掃描探測����;
(四)明知他人從事危害關鍵信息基礎設施安全的活動���,仍然為其提供互聯(lián)網(wǎng)接入、服務器托管���、網(wǎng)絡存儲��、通訊傳輸���、廣告推廣���、支付結算等幫助;
(五)其他危害關鍵信息基礎設施的活動和行為��。
第十七條 國家立足開放環(huán)境維護網(wǎng)絡安全����,積極開展關鍵信息基礎設施安全領域的國際交流與合作���。
第三章 關鍵信息基礎設施范圍
第十八條 下列單位運行����、管理的網(wǎng)絡設施和信息系統(tǒng)���,一旦遭到破壞�����、喪失功能或者數(shù)據(jù)泄露��,可能嚴重危害國家安全�����、國計民生、公共利益的�,應當納入關鍵信息基礎設施保護范圍:
(一)政府機關和能源、金融、交通����、水利��、衛(wèi)生醫(yī)療����、教育、社保�、環(huán)境保護、公用事業(yè)等行業(yè)領域的單位�;
(二)電信網(wǎng)、廣播電視網(wǎng)����、互聯(lián)網(wǎng)等信息網(wǎng)絡�����,以及提供云計算���、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡服務的單位;
(三)國防科工����、大型裝備�����、化工、食品藥品等行業(yè)領域科研生產(chǎn)單位��;
(四)廣播電臺�����、電視臺、通訊社等新聞單位��;
(五)其他重點單位�����。
第十九條 國家網(wǎng)信部門會同國務院電信主管部門���、公安部門等部門制定關鍵信息基礎設施識別指南。
國家行業(yè)主管或監(jiān)管部門按照關鍵信息基礎設施識別指南�,組織識別本行業(yè)�����、本領域的關鍵信息基礎設施�,并按程序報送識別結果�。
關鍵信息基礎設施識別認定過程中,應當充分發(fā)揮有關專家作用�����,提高關鍵信息基礎設施識別認定的準確性�����、合理性和科學性。
第二十條 新建�、停運關鍵信息基礎設施���,或關鍵信息基礎設施發(fā)生重大變化的��,運營者應當及時將相關情況報告國家行業(yè)主管或監(jiān)管部門��。
國家行業(yè)主管或監(jiān)管部門應當根據(jù)運營者報告的情況及時進行識別調整����,并按程序報送調整情況��。
第四章 運營者安全保護
第二十一條 建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能�����,并保證安全技術措施同步規(guī)劃、同步建設��、同步使用���。
第二十二條 運營者主要負責人是本單位關鍵信息基礎設施安全保護工作第一責任人���,負責建立健全網(wǎng)絡安全責任制并組織落實,對本單位關鍵信息基礎設施安全保護工作全面負責���。
第二十三條 運營者應當按照網(wǎng)絡安全等級保護制度的要求����,履行下列安全保護義務,保障關鍵信息基礎設施免受干擾�����、破壞或者未經(jīng)授權的訪問,防止網(wǎng)絡數(shù)據(jù)泄漏或者被竊取����、篡改:
(一)制定內部安全管理制度和操作規(guī)程,嚴格身份認證和權限管理�;
(二)采取技術措施���,防范計算機病毒和網(wǎng)絡攻擊�、網(wǎng)絡侵入等危害網(wǎng)絡安全行為����;
(三)采取技術措施���,監(jiān)測�����、記錄網(wǎng)絡運行狀態(tài)�、網(wǎng)絡安全事件����,并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月;
(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密認證等措施����。
第二十四條 除本條例第二十三條外���,運營者還應當按照國家法律法規(guī)的規(guī)定和相關國家標準的強制性要求�,履行下列安全保護義務:
(一)設置專門網(wǎng)絡安全管理機構和網(wǎng)絡安全管理負責人���,并對該負責人和關鍵崗位人員進行安全背景審查;
(二)定期對從業(yè)人員進行網(wǎng)絡安全教育���、技術培訓和技能考核���;
(三)對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份,及時對系統(tǒng)漏洞等安全風險采取補救措施�����;
(四)制定網(wǎng)絡安全事件應急預案并定期進行演練;
(五)法律�、行政法規(guī)規(guī)定的其他義務。
第二十五條 運營者網(wǎng)絡安全管理負責人履行下列職責:
(一) 組織制定網(wǎng)絡安全規(guī)章制度、操作規(guī)程并監(jiān)督執(zhí)行���;
(二)組織對關鍵崗位人員的技能考核�����;
(三)組織制定并實施本單位網(wǎng)絡安全教育和培訓計劃�;
(四)組織開展網(wǎng)絡安全檢查和應急演練���,應對處置網(wǎng)絡安全事件��;
(五)按規(guī)定向國家有關部門報告網(wǎng)絡安全重要事項��、事件�����。
第二十六條 運營者網(wǎng)絡安全關鍵崗位專業(yè)技術人員實行執(zhí)證上崗制度�。
執(zhí)證上崗具體規(guī)定由國務院人力資源社會保障部門會同國家網(wǎng)信部門等部門制定��。
第二十七條 運營者應當組織從業(yè)人員網(wǎng)絡安全教育培訓�����,每人每年教育培訓時長不得少于1個工作日���,關鍵崗位專業(yè)技術人員每人每年教育培訓時長不得少于3個工作日。
第二十八條 運營者應當建立健全關鍵信息基礎設施安全檢測評估制度�����,關鍵信息基礎設施上線運行前或者發(fā)生重大變化時應當進行安全檢測評估����。
運營者應當自行或委托網(wǎng)絡安全服務機構對關鍵信息基礎設施的安全性和可能存在的風險隱患每年至少進行一次檢測評估����,對發(fā)現(xiàn)的問題及時進行整改�,并將有關情況報國家行業(yè)主管或監(jiān)管部門。
第二十九條 運營者在中華人民共和國境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內存儲。因業(yè)務需要��,確需向境外提供的����,應當按照個人信息和重要數(shù)據(jù)出境安全評估辦法進行評估;法律��、行政法規(guī)另有規(guī)定的��,依照其規(guī)定��。
第五章 產(chǎn)品和服務安全
第三十條 運營者采購、使用的網(wǎng)絡關鍵設備�、網(wǎng)絡安全專用產(chǎn)品,應當符合法律����、行政法規(guī)的規(guī)定和相關國家標準的強制性要求��。
第三十一條 運營者采購網(wǎng)絡產(chǎn)品和服務�,可能影響國家安全的�����,應當按照網(wǎng)絡產(chǎn)品和服務安全審查辦法的要求,通過網(wǎng)絡安全審查����,并與提供者簽訂安全保密協(xié)議。
第三十二條 運營者應當對外包開發(fā)的系統(tǒng)���、軟件��,接受捐贈的網(wǎng)絡產(chǎn)品����,在其上線應用前進行安全檢測�。
第三十三條 運營者發(fā)現(xiàn)使用的網(wǎng)絡產(chǎn)品��、服務存在安全缺陷�、漏洞等風險的,應當及時采取措施消除風險隱患��,涉及重大風險的應當按規(guī)定向有關部門報告��。
第三十四條 關鍵信息基礎設施的運行維護應當在境內實施。因業(yè)務需要�,確需進行境外遠程維護的,應事先報國家行業(yè)主管或監(jiān)管部門和國務院公安部門���。
第三十五條 面向關鍵信息基礎設施開展安全檢測評估�,發(fā)布系統(tǒng)漏洞����、計算機病毒���、網(wǎng)絡攻擊等安全威脅信息,提供云計算���、信息技術外包等服務的機構�����,應當符合有關要求�����。
具體要求由國家網(wǎng)信部門會同國務院有關部門制定����。
第六章 監(jiān)測預警���、應急處置和檢測評估
第三十六條 國家網(wǎng)信部門統(tǒng)籌建立關鍵信息基礎設施網(wǎng)絡安全監(jiān)測預警體系和信息通報制度�����,組織指導有關機構開展網(wǎng)絡安全信息匯總、分析研判和通報工作����,按照規(guī)定統(tǒng)一發(fā)布網(wǎng)