CobiNet(寧波)推薦文章網(wǎng)信辦發(fā)布《關鍵信息基礎設施安全保護條例(征求意見稿)》
為保障關鍵信息基礎設施安全����,2017年7月11日�����,網(wǎng)信辦發(fā)布《關鍵信息基礎設施安全保護條例(征求意見稿)》全文����,該體例是《網(wǎng)絡安全法》的重要配套法規(guī),值得高度關注��。
國家互聯(lián)網(wǎng)信息辦公室關于《關鍵信息基礎設施安全保護條例(征求意見稿)》公開征求意見的通知
為保障關鍵信息基礎設施安全����,根據(jù)《中華人民共和國網(wǎng)絡安全法》,我辦會同相關部門起草了《關鍵信息基礎設施安全保護條例(征求意見稿)》�,現(xiàn)向社會公開征求意見。有關單位和各界人士可以在2017年8月10日前���,通過以下方式提出意見:
一���、通過信函方式將意見寄至:北京市西城區(qū)車公莊大街11號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡安全協(xié)調局�����,郵編100044�����,并在信封上注明“征求意見”�。
二���、通過電子郵件方式發(fā)送至:security@cac.gov.cn����。
附件:關鍵信息基礎設施安全保護條例(征求意見稿)
國家互聯(lián)網(wǎng)信息辦公室
2017年7月10日
關鍵信息基礎設施安全保護條例
(征求意見稿)
第一章 總則
第一條 為了保障關鍵信息基礎設施安全�,根據(jù)《中華人民共和國網(wǎng)絡安全法》,制定本條例�����。
第二條 在中華人民共和國境內規(guī)劃�����、建設、運營�、維護����、使用關鍵信息基礎設施,以及開展關鍵信息基礎設施的安全保護�����,適用本條例�����。
第三條 關鍵信息基礎設施安全保護堅持頂層設計�、整體防護,統(tǒng)籌協(xié)調��、分工負責的原則�,充分發(fā)揮運營主體作用,社會各方積極參與����,共同保護關鍵信息基礎設施安全。
第四條 國家行業(yè)主管或監(jiān)管部門按照國務院規(guī)定的職責分工����,負責指導和監(jiān)督本行業(yè)�����、本領域的關鍵信息基礎設施安全保護工作�����。
國家網(wǎng)信部門負責統(tǒng)籌協(xié)調關鍵信息基礎設施安全保護工作和相關監(jiān)督管理工作�。國務院公安�����、國家安全�����、國家保密行政管理�、國家密碼管理等部門在各自職責范圍內負責相關網(wǎng)絡安全保護和監(jiān)督管理工作。
縣級以上地方人民政府有關部門按照國家有關規(guī)定開展關鍵信息基礎設施安全保護工作��。
第五條 關鍵信息基礎設施的運營者(以下稱運營者)對本單位關鍵信息基礎設施安全負主體責任�����,履行網(wǎng)絡安全保護義務,接受政府和社會監(jiān)督�����,承擔社會責任�����。
國家鼓勵關鍵信息基礎設施以外的網(wǎng)絡運營者自愿參與關鍵信息基礎設施保護體系。
第六條 關鍵信息基礎設施在網(wǎng)絡安全等級保護制度基礎上,實行重點保護����。
第七條 任何個人和組織發(fā)現(xiàn)危害關鍵信息基礎設施安全的行為,有權向網(wǎng)信����、電信、公安等部門以及行業(yè)主管或監(jiān)管部門舉報�����。
收到舉報的部門應當及時依法作出處理;不屬于本部門職責的�,應當及時移送有權處理的部門。
有關部門應當對舉報人的相關信息予以保密�,保護舉報人的合法權益��。
第二章 支持與保障
第八條 國家采取措施���,監(jiān)測、防御��、處置來源于中華人民共和國境內外的網(wǎng)絡安全風險和威脅�,保護關鍵信息基礎設施免受攻擊、侵入�、干擾和破壞,依法懲治網(wǎng)絡違法犯罪活動���。
第九條 國家制定產(chǎn)業(yè)��、財稅���、金融、人才等政策�����,支持關鍵信息基礎設施安全相關的技術����、產(chǎn)品����、服務創(chuàng)新���,推廣安全可信的網(wǎng)絡產(chǎn)品和服務�����,培養(yǎng)和選拔網(wǎng)絡安全人才,提高關鍵信息基礎設施的安全水平�����。
第十條 國家建立和完善網(wǎng)絡安全標準體系����,利用標準指導、規(guī)范關鍵信息基礎設施安全保護工作�����。
第十一條 地市級以上人民政府應當將關鍵信息基礎設施安全保護工作納入地區(qū)經(jīng)濟社會發(fā)展總體規(guī)劃����,加大投入��,開展工作績效考核評價����。
第十二條 國家鼓勵政府部門��、運營者�����、科研機構���、網(wǎng)絡安全服務機構���、行業(yè)組織、網(wǎng)絡產(chǎn)品和服務提供者開展關鍵信息基礎設施安全合作��。
第十三條 國家行業(yè)主管或監(jiān)管部門應當設立或明確專門負責本行業(yè)�����、本領域關鍵信息基礎設施安全保護工作的機構和人員���,編制并組織實施本行業(yè)���、本領域的網(wǎng)絡安全規(guī)劃�����,建立健全工作經(jīng)費保障機制并督促落實�����。
第十四條 能源���、電信、交通等行業(yè)應當為關鍵信息基礎設施網(wǎng)絡安全事件應急處置與網(wǎng)絡功能恢復提供電力供應����、網(wǎng)絡通信����、交通運輸?shù)确矫娴闹攸c保障和支持。
第十五條 公安機關等部門依法偵查打擊針對和利用關鍵信息基礎設施實施的違法犯罪活動���。
第十六條 任何個人和組織不得從事下列危害關鍵信息基礎設施的活動和行為:
(一)攻擊���、侵入���、干擾、破壞關鍵信息基礎設施;
(二)非法獲取���、出售或者未經(jīng)授權向他人提供可能被專門用于危害關鍵信息基礎設施安全的技術資料等信息;
(三)未經(jīng)授權對關鍵信息基礎設施開展?jié)B透性��、攻擊性掃描探測;
(四)明知他人從事危害關鍵信息基礎設施安全的活動��,仍然為其提供互聯(lián)網(wǎng)接入���、服務器托管、網(wǎng)絡存儲�����、通訊傳輸���、廣告推廣�����、支付結算等幫助;
(五)其他危害關鍵信息基礎設施的活動和行為��。
第十七條 國家立足開放環(huán)境維護網(wǎng)絡安全�����,積極開展關鍵信息基礎設施安全領域的國際交流與合作����。
第三章 關鍵信息基礎設施范圍
第十八條 下列單位運行、管理的網(wǎng)絡設施和信息系統(tǒng)�,一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露�����,可能嚴重危害國家安全��、國計民生�����、公共利益的�����,應當納入關鍵信息基礎設施保護范圍:
(一)政府機關和能源��、金融��、交通��、水利���、衛(wèi)生醫(yī)療���、教育、社保���、環(huán)境保護�、公用事業(yè)等行業(yè)領域的單位;
(二)電信網(wǎng)�、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡��,以及提供云計算�、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡服務的單位;
(三)國防科工、大型裝備��、化工�����、食品藥品等行業(yè)領域科研生產(chǎn)單位;
(四)廣播電臺、電視臺�、通訊社等新聞單位;
(五)其他重點單位。
第十九條 國家網(wǎng)信部門會同國務院電信主管部門�、公安部門等部門制定關鍵信息基礎設施識別指南。
國家行業(yè)主管或監(jiān)管部門按照關鍵信息基礎設施識別指南����,組織識別本行業(yè)、本領域的關鍵信息基礎設施�,并按程序報送識別結果。
關鍵信息基礎設施識別認定過程中����,應當充分發(fā)揮有關專家作用,提高關鍵信息基礎設施識別認定的準確性�����、合理性和科學性�。
第二十條 新建、停運關鍵信息基礎設施����,或關鍵信息基礎設施發(fā)生重大變化的���,運營者應當及時將相關情況報告國家行業(yè)主管或監(jiān)管部門�����。
國家行業(yè)主管或監(jiān)管部門應當根據(jù)運營者報告的情況及時進行識別調整����,并按程序報送調整情況。
第四章 運營者安全保護
第二十一條 建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定�、持續(xù)運行的性能,并保證安全技術措施同步規(guī)劃���、同步建設���、同步使用。
第二十二條 運營者主要負責人是本單位關鍵信息基礎設施安全保護工作第一責任人�,負責建立健全網(wǎng)絡安全責任制并組織落實,對本單位關鍵信息基礎設施安全保護工作全面負責���。
第二十三條 運營者應當按照網(wǎng)絡安全等級保護制度的要求���,履行下列安全保護義務,保障關鍵信息基礎設施免受干擾�����、破壞或者未經(jīng)授權的訪問,防止網(wǎng)絡數(shù)據(jù)泄漏或者被竊取�����、篡改:
(一)制定內部安全管理制度和操作規(guī)程�����,嚴格身份認證和權限管理;
(二)采取技術措施�,防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為;
(三)采取技術措施���,監(jiān)測�����、記錄網(wǎng)絡運行狀態(tài)�����、網(wǎng)絡安全事件���,并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月;
(四)采取數(shù)據(jù)分類�、重要數(shù)據(jù)備份和加密認證等措施��。
第二十四條 除本條例第二十三條外�,運營者還應當按照國家法律法規(guī)的規(guī)定和相關國家標準的強制性要求�����,履行下列安全保護義務:
(一)設置專門網(wǎng)絡安全管理機構和網(wǎng)絡安全管理負責人��,并對該負責人和關鍵崗位人員進行安全背景審查;
(二)定期對從業(yè)人員進行網(wǎng)絡安全教育�、技術培訓和技能考核;
(三)對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份,及時對系統(tǒng)漏洞等安全風險采取補救措施;
(四)制定網(wǎng)絡安全事件應急預案并定期進行演練;
(五)法律���、行政法規(guī)規(guī)定的其他義務��。
第二十五條 運營者網(wǎng)絡安全管理負責人履行下列職責:
(一) 組織制定網(wǎng)絡安全規(guī)章制度�、操作規(guī)程并監(jiān)督執(zhí)行;
(二)組織對關鍵崗位人員的技能考核;
(三)組織制定并實施本單位網(wǎng)絡安全教育和培訓計劃;
(四)組織開展網(wǎng)絡安全檢查和應急演練����,應對處置網(wǎng)絡安全事件;
(五)按規(guī)定向國家有關部門報告網(wǎng)絡安全重要事項、事件����。
第二十六條 運營者網(wǎng)絡安全關鍵崗位專業(yè)技術人員實行執(zhí)證上崗制度�����。
執(zhí)證上崗具體規(guī)定由國務院人力資源社會保障部門會同國家網(wǎng)信部門等部門制定�。
第二十七條 運營者應當組織從業(yè)人員網(wǎng)絡安全教育培訓�,每人每年教育培訓時長不得少于1個工作日,關鍵崗位專業(yè)技術人員每人每年教育培訓時長不得少于3個工作日����。
第二十八條 運營者應當建立健全關鍵信息基礎設施安全檢測評估制度,關鍵信息基礎設施上線運行前或者發(fā)生重大變化時應當進行安全檢測評估����。
運營者應當自行或委托網(wǎng)絡安全服務機構對關鍵信息基礎設施的安全性和可能存在的風險隱患每年至少進行一次檢測評估,對發(fā)現(xiàn)的問題及時進行整改���,并將有關情況報國家行業(yè)主管或監(jiān)管部門��。
第二十九條 運營者在中華人民共和國境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內存儲�。因業(yè)務需要����,確需向境外提供的,應當按照個人信息和重要數(shù)據(jù)出境安全評估辦法進行評估;法律、行政法規(guī)另有規(guī)定的�����,依照其規(guī)定��。
第五章 產(chǎn)品和服務安全
第三十條 運營者采購��、使用的網(wǎng)絡關鍵設備����、網(wǎng)絡安全專用產(chǎn)品�����,應當符合法律���、行政法規(guī)的規(guī)定和相關國家標準的強制性要求����。
第三十一條 運營者采購網(wǎng)絡產(chǎn)品和服務���,可能影響國家安全的�����,應當按照網(wǎng)絡產(chǎn)品和服務安全審查辦法的要求��,通過網(wǎng)絡安全審查�,并與提供者簽訂安全保密協(xié)議。
第三十二條 運營者應當對外包開發(fā)的系統(tǒng)���、軟件�����,接受捐贈的網(wǎng)絡產(chǎn)品����,在其上線應用前進行安全檢測����。
第三十三條 運營者發(fā)現(xiàn)使用的網(wǎng)絡產(chǎn)品、服務存在安全缺陷��、漏洞等風險的�,應當及時采取措施消除風險隱患,涉及重大風險的應當按規(guī)定向有關部門報告��。
第三十四條 關鍵信息基礎設施的運行維護應當在境內實施。因業(yè)務需要�,確需進行境外遠程維護的,應事先報國家行業(yè)主管或監(jiān)管部門和國務院公安部門�����。
第三十五條 面向關鍵信息基礎設施開展安全檢測評估����,發(fā)布系統(tǒng)漏洞、計算機病毒���、網(wǎng)絡攻擊等安全威脅信息,提供云計算��、信息技術外包等服務的機構�,應當符合有關要求。
具體要求由國家網(wǎng)信部門會同國務院有關部門制定����。
第六章 監(jiān)測預警、應急處置和檢測評估
第三十六條 國家網(wǎng)信部門統(tǒng)籌建立關鍵信息基礎設施網(wǎng)絡安全監(jiān)測預警體系和信息通報制度�,組織指導有關機構開展網(wǎng)絡安全信息匯總、分析研判和通報工作���,按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡安全監(jiān)測預警信息��。
第三十七條 國家行業(yè)主管或監(jiān)管部門應當建立健全本行業(yè)���、本領域的關鍵信息基礎設施網(wǎng)絡安全監(jiān)測預警和信息通報制度�����,及時掌握本行業(yè)�、本領域關鍵信息基礎設施運行狀況和安全風險�,向有關運營者通報安全風險和相關工作信息。
國家行業(yè)主管或監(jiān)管部門應當組織對安全監(jiān)測信息進行研判�,認為需要立即采取防范應對措施的,應當及時向有關運營者發(fā)布預警信息和應急防范措施建議���,并按照國家網(wǎng)絡安全事件應急預案的要求向有關部門報告�����。
第三十八條 國家網(wǎng)信部門統(tǒng)籌協(xié)調有關部門�����、運營者以及有關研究機構��、網(wǎng)絡安全服務機構建立關鍵信息基礎設施網(wǎng)絡安全信息共享機制�����,促進網(wǎng)絡安全信息共享����。
第三十九條 國家網(wǎng)信部門按照國家網(wǎng)絡安全事件應急預案的要求,統(tǒng)籌有關部門建立健全關鍵信息基礎設施網(wǎng)絡安全應急協(xié)作機制�����,加強網(wǎng)絡安全應急力量建設�,指導協(xié)調有關部門組織跨行業(yè)、跨地域網(wǎng)絡安全應急演練��。
國家行業(yè)主管或監(jiān)管部門應當組織制定本行業(yè)���、本領域的網(wǎng)絡安全事件應急預案,并定期組織演練�����,提升網(wǎng)絡安全事件應對和災難恢復能力����。發(fā)生重大網(wǎng)絡安全事件或接到網(wǎng)信部門的預警信息后��,應立即啟動應急預案組織應對���,并及時報告有關情況。
第四十條 國家行業(yè)主管或監(jiān)管部門應當定期組織對本行業(yè)��、本領域關鍵信息基礎設施的安全風險以及運營者履行安全保護義務的情況進行抽查檢測�,提出改進措施,指導����、督促運營者及時整改檢測評估中發(fā)現(xiàn)的問題。
國家網(wǎng)信部門統(tǒng)籌協(xié)調有關部門開展的抽查檢測工作����,避免交叉重復檢測評估。
第四十一條 有關部門組織開展關鍵信息基礎設施安全檢測評估���,應堅持客觀公正���、高效透明的原則,采取科學的檢測評估方法����,規(guī)范檢測評估流程��,控制檢測評估風險����。
運營者應當對有關部門依法實施的檢測評估予以配合�,對檢測評估發(fā)現(xiàn)的問題及時進行整改。
第四十二條 有關部門組織開展關鍵信息基礎設施安全檢測評估����,可采取下列措施:
(一)要求運營者相關人員就檢測評估事項作出說明;
(二)查閱、調取�、復制與安全保護有關的文檔、記錄;
(三)查看網(wǎng)絡安全管理制度制訂���、落實情況以及網(wǎng)絡安全技術措施規(guī)劃����、建設��、運行情況;
(四)利用檢測工具或委托網(wǎng)絡安全服務機構進行技術檢測;
(五)經(jīng)運營者同意的其他必要方式����。
第四十三條 有關部門以及網(wǎng)絡安全服務機構在關鍵信息基礎設施安全檢測評估中獲取的信息,只能用于維護網(wǎng)絡安全的需要��,不得用于其他用途��。
第四十四條 有關部門組織開展關鍵信息基礎設施安全檢測評估���,不得向被檢測評估單位收取費用��,不得要求被檢測評估單位購買指定品牌或者指定生產(chǎn)�、銷售單位的產(chǎn)品和服務�����。
第七章 法律責任
第四十五條 運營者不履行本條例第二十條第一款�、第二十一條、第二十三條����、第二十四條、第二十六條���、第二十七條��、第二十八條����、第三十條、第三十二條��、第三十三條���、第三十四條規(guī)定的網(wǎng)絡安全保護義務的�,由有關主管部門依據(jù)職責責令改正��,給予警告;拒不改正或者導致危害網(wǎng)絡安全等后果的�,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款���。
第四十六條 運營者違反本條例第二十九條規(guī)定�,在境外存儲網(wǎng)絡數(shù)據(jù)�,或者向境外提供網(wǎng)絡數(shù)據(jù)的,由國家有關主管部門依據(jù)職責責令改正���,給予警告��,沒收違法所得�,處五萬元以上五十萬元以下罰款��,并可以責令暫停相關業(yè)務�����、停業(yè)整頓��、關閉網(wǎng)站�、吊銷相關業(yè)務許可證;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第四十七條 運營者違反本條例第三十一條規(guī)定�,使用未經(jīng)安全審查或安全審查未通過的網(wǎng)絡產(chǎn)品或者服務的,由國家有關主管部門依據(jù)職責責令停止使用����,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第四十八條 個人違反本條例第十六條規(guī)定�,尚不構成犯罪的,由公安機關沒收違法所得����,處五日以下拘留,可以并處五萬元以上五十萬元以下罰款;情節(jié)較重的���,處五日以上十五日以下拘留��,可以并處十萬元以上一百萬元以下罰款;構成犯罪的���,依法追究刑事責任��。
單位有前款行為的����,由公安機關沒收違法所得����,處十萬元以上一百萬元以下罰款,并對直接負責的主管人員和其他直接責任人員依照前款規(guī)定處罰�。
違反本條例第十六條規(guī)定,受到刑事處罰的人員��,終身不得從事關鍵信息基礎設施安全管理和網(wǎng)絡運營關鍵崗位的工作�����。
第四十九條 國家機關關鍵信息基礎設施的運營者不履行本條例規(guī)定的網(wǎng)絡安全保護義務的�,由其上級機關或者有關機關責令改正;對直接負責的主管人員和其他直接負責人員依法給予處分。
第五十條 有關部門及其工作人員有下列行為之一的�����,對直接負責的主管人員和其他直接責任人員依法給予處分;構成犯罪的,依法追究刑事責任:
(一)在工作中利用職權索取�、收受賄賂;
(二)玩忽職守、濫用職權;
(三)擅自泄露關鍵信息基礎設施有關信息�����、資料及數(shù)據(jù)文件;
(四)其他違反法定職責的行為�。
第五十一條 關鍵信息基礎設施發(fā)生重大網(wǎng)絡安全事件����,經(jīng)調查確定為責任事故的,除應當查明運營單位責任并依法予以追究外�,還應查明相關網(wǎng)絡安全服務機構及有關部門的責任,對有失職���、瀆職及其他違法行為的�����,依法追究責任����。
第五十二條 境外的機構��、組織、個人從事攻擊���、侵入�����、干擾��、破壞等危害中華人民共和國的關鍵信息基礎設施的活動��,造成嚴重后果的���,依法追究法律責任;國務院公安部門、國家安全機關和有關部門并可以決定對該機構���、組織����、個人采取凍結財產(chǎn)或者其他必要的制裁措施�。
第八章 附則
第五十三條 存儲、處理涉及國家秘密信息的關鍵信息基礎設施的安全保護�,還應當遵守保密法律、行政法規(guī)的規(guī)定��。
關鍵信息基礎設施中的密碼使用和管理,還應當遵守密碼法律�����、行政法規(guī)的規(guī)定����。
第五十四條 軍事關鍵信息基礎設施的安全保護��,由中央軍事委員會另行規(guī)定���。
第五十五條 本條例自****年**月**日起施行�����。
文章編輯:CobiNet(寧波)����,本公司專注于電訊配件,銅纜綜合布線系列領域產(chǎn)品研發(fā)生產(chǎn)七類,六類,超五類屏蔽網(wǎng)線雙絞屏蔽線及相關模塊配件,歡迎來電咨詢0574 88168918��;
我們是配線架�,萬兆網(wǎng)絡配線架,屏蔽網(wǎng)絡配線架�����,光纖配線架,1/2U配線架,1/2U網(wǎng)絡配線架 生產(chǎn)廠家����。
