第一条 为了保障关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络安全法》，制定本条例。

根据《中华人民共和国宪法》第八十九条 第一款明确规定：作为最高国家行政机关，国务院可以“根据宪法和法律，规定行政措施，制定行政法规，发布决定和命令。”因此，制定行政法规是宪法赋予国务院的一项重要职权，也是国务院推进改革开放，组织经济建设，实现国家管理职能的重要手段。《中华人民共和国立法法》第九条规定“本法第八条规定的事项尚未制定法律的，全国人民代表大会及其常务委员会有权作出决定，授权国务院可以根据实际需要，对其中的部分事项先制定行政法规，但是有关犯罪和刑罚、对公民政治权利的剥夺和限制人身自由的强制措施和处罚、司法制度等事项除外。”

关键信息基础设施（以下简称关基）是经济社会运行的神经中枢，是网络安全的重中之重。保障关键信息基础设施安全，对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。当前，关键信息基础设施面临的网络安全形势日趋严峻，网络攻击威胁上升，事故隐患易发多发，安全保护工作还存在法规制度不完善、工作基础薄弱、资源力量分散、技术产业支撑不足等突出问题，亟待建立专门制度，明确各方责任，加快提升关键信息基础设施安全保护能力。[1]基于上述依据，本条明确了《关键信息基础设施保护条例》（以下简称条例）由国务院根据实际需要，在《中华人民共和国网络安全法》（以下简称网安法）中有关国家关键信息基础设施相关问题制定并发布。

《中华人民共和国网络安全法》在第3章第二节“关键信息基础设施运行安全”中通过9项条款定义了关键信息基础设施的范围、国家针对相关工作的分工概要、基本要求以及义务和责任。同时在第6章“法律责任”中在第59条第2款、第65、66条中提供有关违反关键信息基础设施保护的相关法律责任。

第二条 本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

《网安法》第31条定义关键信息基础设施为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益”

条例在此基础上增加了“国防科技工业”,国防科技工业作为国家战略性高技术产业，涵盖核、航天、航空、兵器、船舶、电子六大行业和中国核工业集团、中国核工业建设集团、中国航天科技集团、中国航天科工集团、中国航空工业集团、中国兵器工业集团、中国兵器装备集团、中国船舶工业集团、中国船舶重工集团、中国电子科技集团、中国电子信息产业集团等中国十一大军工集团。主管机构国防科技工业局。

美国政府最早提出关键信息基础设施定义。1998年5月，克林顿政府发布了第63号总统令《对关键基础设施保护的政策》，列举了信息和通信、银行和金融、供水、运输、电力、天然气与石油、应急服务、政府运转8个重点行业作为国家关键基础设施。其中前6类行业属于私营部门。2003年12月，美国发布第7号国家安全总统令《关键基础设施的识别、优先级和防护》，确定了17类关键基础设施和重要资源（CI/KR）：化学制品、商业设施、通信、大坝、国防工业基地、应急服务、能源和电力、金融服务、食品和农业、政府设施、公共健康和医疗、信息技术、商用核反应堆及核材料与废弃物、运输、饮用水和废水处理系统、邮政和货运服务、国家纪念碑和象征性标志。2008年3月，美国国土安全部宣布将关键制造业作为第18类CI/KR。2013年2月，美国发布13636号总统行政令《改进关键基础设施网络安全》和第21号总统政策指示《关键基础设施安全和弹性》，将关键基础设施重新确定为16类（不再沿用“重要资源”的概念）：化学制品、商业设施、通信、关键制造业、大坝、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、公共健康和医疗、信息技术、核反应堆及核材料与废弃物、运输、水和废水处理系统。^[2]

在本条例的指引下，我国需要进一步明确关键信息基础设施的范围、类型定义。

第三条 在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。

省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

依据《网安法》第8条规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责 范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。”条例提出，由国家网信部门负责关基工作的统筹协调。

根据《中华人民共和国人民警察法》第2章第6条规定“公安机关的人民警察按照职责分工，依法履行下列职责：（十二）监督管理计算机信息系统的安全保护工作；”之职能，由公安机关负责指导监督关键信息基础设施安全保护工作。

国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

第四条 关键信息基础设施安全保护坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者（以下简称运营者）主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。

关基工作的总体思路中提到坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。^[3]综合协调反映网信在本条例中的作用，通过网信部门协调国务院各部委开展相关工作；分工负责体现在本条例第3条中所要求“国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作”。公安机关依法指导监督具体保护工作的开展工作。关键信息基础设施运营者作为主体具体执行和履行关基保护工作。

第五条 国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动。

任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全。

2007年公安部、国家保密局、国家密码管理局、国务院信息工作办公室联合发布《信息安全等级保护管理办法》，办法中提到“国家信息安全等级保护坚持自主定级、自主保护的原则。”由于关基系统事关国家安全，因此关基系统应该采取重点保护的原则，针对来自国内外的网络安全风险和威胁形成有效的应对措施，包括防御性、检测性、响应性和纠正性等多种手段。从而实现保护关基“免受攻击、侵入、干扰和破坏”同时基于现行立法针对危害关基行为依法惩治。

立法是一种威慑性措施，通过立法遏制犯罪行为和动机。针对关基危害的相关行为可以基于《中华人民共和国国家安全法》《中华人民共和国反间谍法》《中华人民共和国刑法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关立法进行惩治，未构成犯罪适用于《中华人民共和国治安管理处罚法》。等相关专业立法

第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

本条例依据《网安法》制定，细化相关制度措施，同时处理好与相关法律、行政法规的关系。依照本条规定，《中华人民共和国刑法》《中华人民共和国数据安全法》等一系列相关立法同样适用于本条例相关规定。因此，本条例充分补充了我国现行立法中针对关基保护到要求；同时为未来立法中针对关基要求提供接口和衔接。

本条充分强调关基保护是建立在网络安全等级保护基础上，充分说明，非关基系统适用网络安全等级保护，而关基需要在网络安全等级保护基础上构建进一步的强化要求和保护标准；

2003年《国家信息化领导小组关于加强信息安全保障工作的意见》中在加强信息安全保障工作的总体要求是：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础网络和重要信息系统安全，……“同时提出加强信息安全保障工作的主要原则”立足国情，以我为主，坚持管理与技术并重……“保障关基安全稳定运行的基本措施不仅仅是通过技术手段，还需要管理、人以及良好的工程过程控制等诸多手段共同进行。以达到“应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性”的目的和能力。全面体现习近平同志“没有网络安全就没有国家安全”的思想和宗旨。

第七条 对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人，按照国家有关规定给予表彰。

本条针对关基工作中做出贡献的单位及个人提供了奖励机制，例如：“五一“劳动奖章等精神和物质奖励行为。

第八条 本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门（以下简称保护工作部门）。

本条明确“谁主管，谁负责”的原则，依据《网安法》第三十二条规定“按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。”

由于关键信息基础设施的具体定义以及保护能力与实际业务紧密联系，网络安全工作应该在尽可能保证业务连续性的基础之上，当设施遭到重大攻击、破坏和损害时，组织能够降级使用，尽可能的降低对国家、社会产生的重大影响，因此，各行业主管部门在本专业领域下构建符合本行业领域的安全保护能力是当务之急。

第九条 保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。

制定认定规则应当主要考虑下列因素：

（一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；

（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；

（三）对其他行业和领域的关联性影响。

关键信息基础设施的认定工作需要建立在一个统一的标准框架之下，各行业、各领域主管部门结合本行业、本领域的业务特征各自开发行业标准。

笔者认为，关基的认定至少应该在业务重要性、所执行的任务的关键性、功能的必要性、数据的CIA等级以及承载业务所必须的软件、硬件、固件、通信、人员、供应链、物理环境与设施等方面综合考虑。

条例提供了认定的主要因素：构成关基的网络设施、信息系统等的重要程度以及收到破坏或丧失功能及数据泄露后产生的危害程度和行业、领域的关联影响。因此认定工作还需要通过进一步的量化标准，定义量化指标，才能有效的进行客观评价，避免形式化认定和主观性认定。

以关键制造业为例，制造业属于工业信息化管理范畴，但是如果制业机构所生产的产品是提供给医疗机构使用的医疗器械，从用途而言，其必须符合国家卫生健康领域相关要求，因此又可能受到国家卫健委的指令管理。因此，在形成认定活动中应充分考虑业务交叉情况下的认定主体和认定依据选择的问题。

第十条 保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。

根据《网安法》第三十二条和本条例第九条规定，行业主管部门作为保护工作部门在本行业、本领域认定具体的关基任务、业务、系统、数据等相关组件工作，并将认定结果通知运营者，同时向公安部门通报。

第十一条 关键信息基础设施发生较大变化，可能影响其认定结果的，运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定，将认定结果通知运营者，并通报国务院公安部门。

安全是动态的，当组织发生重大变更时，应该针对变更及受变更影响的相关范围重写建立风险评估。本条在动态安全的思想下，提出当关基发生较大变化时应在3个月内完成重写认定。

通报主体：运营者

保护工作部门：行业主管部门

认定周期：不超过3个月

通报机关：公安部门

本条应完善补充如果认定结果发生变更应根据变更重新定义保护措施和手段；如认定结果未产生变更，应对变更范围及其受影响的范围进行风险评估，根据风险结果重新定义保护措施和手段；充分体现安全的动态性。

第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。

《网安法》第三十三条规定“第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。”

GB/T 20274-1信息安全技术 信息系统安全保障评估框架：简介和一般模型中定义了信息系统生命周期五个阶段，分别是规划组织、开发采购、实施交付、运行维护、废弃。安全措施的三同步原则是建立在整个生命周期每个阶段基础之上。

第十三条 运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。

安全是一个自上而下的工作，本条明确指出关键信息基础设施的运营者应该建立完善的网络安全管理制度，体系化的管理文件是构建管理安全的基础和核心，文件包括并不限于包含组织宏观愿景的总体安全管理文件、反映组织内部管理活动的制度、流程文件以及具体的操作员手册、作业指导书，同时针对文件建立相关的记录表单、收集日志文件，形成体系化的管理活动，通过PDCA过程构建良好的管理文化。

安全工作需要人力、物力、财力的支撑，在《党委（党组）网络安全工作责任制实施办法》第二条中提出“网络安全工作事关国家安全政权安全和经济社会发展。按照谁主管谁负责、属地管理的原则，各级党委（党组）对本地区本部门网络安全工作负主体责任，领导班子主要负责人是第一责任人，主管网络安全的领导班子成员是直接责任人。” 组织最高领导作为运营者的主要负责人应该为关键信息基础设施保护提供必要的资源，通过应急响应机制及时有效的处理重大网络安全事件，定期组织工作会议，针对组织面临的安全隐患及相关问题进行研讨。

第十四条 运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时，公安机关、国家安全机关应当予以协助。

本条依据《网安法》第三十四条第一款之规定“除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；”

首先应该明确岗位责任制关系，通过专门的安全管理机构统一协调本机构内部各个部门之间，与外部供应商及服务商之间的安全协调和监督管理工作，通过自评估、内部审计等多种形式与上级主管部门发起的检查评估、评测相辅相成。

背景调查是证明岗位人员胜任、合格和值得信赖的基本要素，根据《网安法》第六十三条规定“受到治安管理处罚的人员，五年内不得从事网络安全管理 和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。“

本条同时对执行背景调查工作时要求公安机关、国家安全机关履行配合协助义务。

第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责：

（一）建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；

（二）组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；

（三）按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；

（四）认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议；

（五）组织网络安全教育、培训；

（六）履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；

（七）对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；

（八）按照规定报告网络安全事件和重要事项。

本条主要针对组织安全管理机构的主要工作提供职责要求：

首先建立管理机制，实现文件化管理和流程化控制，定义网络安全度量指标作为依据。通过综合化的技术手段实现防护能力建设，定期的风险评估和持续监控是对当前组织风险管理的最佳实践活动

其次根据《网安法》第三十四条 除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（四）制定网络安全事件应急预案，并定期进行演练；“之要求，制定应急响应预案，完善应急响应相关支撑文件，通过定期演练不断修订和完善应急响应机制，从而降低事件发生的概率以及降低发生事件之后的影响程度。

第三、确定关键信息基础设施职业机制，明确定义岗位职能、工作职责以及考核机制。根据《网安法》第三十四条之第二款规定，定期对从业人员进行网络安全教育、技术培训和技能考核；并根据其工作情况建立奖惩机制。

第四、根据《中华人民共和国数据安全法》《民法典》《个人信息保护法》及《网安法》第三十四之第三款对重要系统和数据库进行容灾备份之规定，在建立健全个人信息保护的同时，应对重要系统和数据哭进行容灾备份。

最后要求在全生命周期落实关键信息基础设施的三同步工作要求，同时在发生安全事件后履行事件上报、通报和披露原则。

第十六条 运营者应当保障专门安全管理机构的运行经费、配备相应的人员，开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。

本条主要约定第一、机构应该为关键信息基础设施管理提供必要的经费与人员；其次在信息化与网络安全相关工作中要有专门安全管理机构人员参与并对有关网络安全问题提供决策性意见。

网络安全一票否决制在很对组织和企业已经形成惯性，“同步规划、同步建设、同步使用”的落实需要网络安全部门从需求开始就应该介入决策活动之中。

第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。

《网安法》第三十八条规定“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”

本条要求运营者每年至少进行一次风险评估和网络安全检测（目前关键信息基础设施检测标准尚在开发过程中），风险评估是对系统整体风险有效识别的重要手段，客观的风险评估是对组织对现有安全状态识别的重要手段和支撑，同时也是组织在未来建设网络体系的必要前提和保障。网络安全检测是国家或行业主管部门对网络安全状态的一种基准和要求，将风险评估和安全检测相互结合，能够更加充分有效的识别组织在风险和合规性中的不足和差距，以便提供改进措施和动机。

评估与检测活动可以由组织自行完成，也可以委托网络安全服务机构。近年来，国内一些行业制定了本行业的准入机制，要求具有符合本行业授权的机构方可实施相关工作，这是一种最佳实践，因此，组织也可以选择具有国家认可如：中国信息安全测评中心、中国网络安全技术认证中心，或者行业认可：通信管理局针对运营商行业等相关认证。行业认证应仅适用于本行业范围与领域。

完成风险评估和安全检测工作后，服务机构应出具安全解决方案并由被评估检测机构在指定的时间内实施整改，解决方案应符合组织的费效比原则，在不影响组织正常业务开展的原则下建立实施。

第十八条 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当按照有关规定向保护工作部门、公安机关报告。

发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时，保护工作部门应当在收到报告后，及时向国家网信部门、国务院公安部门报告。

本条针对关键信息基础设施（1）发生重大网络安全事件；（2）发现存在重大网络安全威胁时的工作要求：

首先应按照有关规定向保护工作部门（行业主管机构）和公安机关报告；

其次，判定事件类型（1）可用性（发生中断或主要功能故障；（2）保密性（重要数据泄露、较大规模个人信息泄露；判定事件影响（分级）（1）造成较大经济损失；（2）较大范围传播；并综合定义事件级别。由于完整性的破坏或损害可能造成可用性影响，也可能造成保密性影响，因此当发生完整性侵害事件应考虑根据侵害所造成的实际后果定义事件类型

最后，“按照有关规定向保护工作部门、公安机关报告”

第十九条 运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。

信息技术应用创新发展是目前的一项国家战略，也是当今形势下国家经济发展的新动能。发展信创是为了解决本质安全的问题。构成信创的关键原则自主可控、国家创新体系建设、国产替代，《网安法》第十六条提出“国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重 点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。”从采购选择而言，建立优先权原则，优先选择“安全可信”产品和服务；

在《网安法》第二十三条中指出“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动 安全认证和安全检测结果互认，避免重复认证、检测。”目前我国针对的产品检测机制分别由公安机关针对计算机安全专用产品检测销售许可、国家保密局针对涉密产品检测销售许可、国家密码管理局针对密码产品的检测销售许可以及工信部针对数通产品的检测销售许可四大体系构成，作为关键信息基础设施组织在选购产品时应选择使用具有相应销售许可的产品。

《网安法》第三十五条指出“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”《网络安全审查办法》第五条要求“运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。对于关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。”同时在《办法》的第七条针对申报网络安全审查的采购活动提供“运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。” 第八条针对运营者申报网络安全审查所需材料做出要求：（一）申报书；（二）关于影响或可能影响国家安全的分析报告；（三）采购文件、协议、拟签订的合同或拟提交的IPO材料等；（四）网络安全审查工作需要的其他材料。

第二十条 运营者采购网络产品和服务，应当按照国家有关规定与网络产品和服务提供者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督。

《网安法》第三十六条规定“关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供 者签订安全保密协议，明确安全和保密义务与责任。”

供应链管理问题已经成为全球面临的重大安全问题。供应链风险管理是确保供应链中的所有供应商或环节都是可靠的、值得信赖的、有信誉的组织，向其业务合作伙伴披露其做法和安全要求的手段。

供应链包括服务商、产品提供商、软件开发商、咨询顾问、专家团队。关键信息基础设施组织在采购相关服务时首先应签署保密协议，并在协议中明确约定需要保密的范围、内容、时间，以及产生秘密泄露（不管是有意的还是无意的）之后不构成犯罪时的责任，以及构成犯罪的责任体追溯权力。

针对供应链的持续的安全监控、管理和评估是必要的。在可能的情况下，为供应链中的每个实体建立最低安全要求。新硬件、软件或服务的安全要求应始终满足或超过最终产品中预期的安全性。这通常需要详细审查 SLA、合同和实际绩效，确保安全性是合同服务的规定组成部分。

第二十一条 运营者发生合并、分立、解散等情况，应当及时报告保护工作部门，并按照保护工作部门的要求对关键信息基础设施进行处置，确保安全。

企业在运营过程中由于资本和股权的变更，或其他不可抗力及法律要求的情形下会产生合并（兼并）、分立^[4]（拆分）、解散（倒闭）等情况；上述情况往往会产生合并过程中的不良系统接入导致原有的保护措施失效、分立过程中敏感信息的扩散、篡改和破坏以及解散后的敏感信息流失、篡改和损坏等问题。因此，当发生上述活动时，运营者需要事先向主管机构报告，主管机构应针对相应情况对关键信息基础设施进行安全处置，避免产生不良后果。

第二十二条 保护工作部门应当制定本行业、本领域关键信息基础设施安全规划，明确保护目标、基本要求、工作任务、具体措施。

本条例第2章第九条明确规定了由行业主管部门负责制定本行业关键信息基础设施的认定及相关保护标准。本条进一步指出，根据《网安法》第三十二条规定“编制并组织实施本行业、本领域的关键信息基础设施安全规划”，通过规划“指导和监督关键信息基础设施运行安全保护工作。”在规划中，应明确保护目标、基本要求、保护的工作任务以及通过规划制定具体的保护措施。

第二十三条 国家网信部门统筹协调有关部门建立网络安全信息共享机制，及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息，促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。

《网安法》第三十九条规定“国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：……（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务 机构等之间的网络安全信息共享；”

基于情报的态势感知和事件管理机制成为全球网络安全的基础工作，通过网络安全信息共享机制，将威胁情报和漏洞信息相结合建设“超越未来”的网络空间安全能力，这就需要建立强大的情报共享体系。本条例明确各有关部门、保护工作部门以及运营者和网络安全服务机构能够基于已有的技术能力建立有效的事件管理和漏洞管理机制，及时通报、发布相关信息并通过国家网信部门的统一大数据平台实现“研判”当前和未来网络安全环境。

第二十四条 保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度，及时掌握本行业、本领域关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作。

国家在《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》和《信息安全技术信息安全事件分 类分级指南》（GB/Z 20986-2007）基础之上于 2017 年 4 月编制了《国家网络安全事件应急响应预案》，2017 年 11 月再次发布《公共互联网网络安全突发事件应急预案》。国家制定有关数据安全事件应急预案的工作将势在必行。应急响应工作是建立在风险评估基础之上，在应急响应准备阶段应切实做好风险评估，以便客观有效的制定响应预案。

《网安法》第三十四条规定“关键信息基础设施的运营者还应当履行下列安全保护义务：（四）制定网络安全事件应急预案，并定期进行演练；”本条在《网安法》第5章第五十二条规定“负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。”本条针对《网安法》上述条款明确具体实施相关工作的部门及要求。

第二十五条 保护工作部门应当按照国家网络安全事件应急预案的要求，建立健全本行业、本领域的网络安全事件应急预案，定期组织应急演练；指导运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助。

《网安法》第五十三条规定“国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。”同时第二款提出“负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。”

通过应急响应预案及演练，组织能够在安全事件发生后，根据国家建立的数据安全应急处置机制结合应急响应工作六大流程准备-确认-遏制根除-恢复-跟踪总结做好事件响应工作，同时建立事件上报、通报和披露机制

第二十六条 保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测，指导监督运营者及时整改安全隐患、完善安全措施。

各行业主管部门作为保护工作部门定期，通常为每年至少一次，或者当组织发生重大变更时应展开网络安全检查检测工作。由于检查工作中可能涉及的范围、数量、地域等多种情况影响，完全依赖于主管部门定期检查很难有效落实，因此，各行业主管部门应制定检查准则，督促组织自查自报，同时行业主管部门针对发现的问题组织专家组制定合理的解决方案，指导监督运营者及时整改完善。

第二十七条 国家网信部门统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测，提出改进措施。

有关部门在开展关键信息基础设施网络安全检查时，应当加强协同配合、信息沟通，避免不必要的检查和交叉重复检查。检查工作不得收取费用，不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。

《网安法》第三十九条规定 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；

国家网信部门作为检查检测工作的统筹协调，公安部门监督管理职能，具体由公安部门委派或行业主管部门开展具体检查检测工作，完成检查检测工作后应提出具体改进措施，消除组织现有的安全风险；

检查检测工作中应避免不必要的重复检查、多头检查，加重运营者负担。在检查工作中对检查机构和检查人员要求（1）不得收取费用；（2）不得从事商业性推荐行为；杜绝产生职务犯罪行为。

第二十八条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。

本条要求运营者在国家相关部门开展检查工作时应依法予以配合

第二十九条 在关键信息基础设施安全保护工作中，国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要，及时提供技术支持和协助。

本条针对关键信息基础设施运营者在保护工作中不能有效获得保护能力和不具备解决能力时，“国家网信部门、国务院电信主管部门、国务院公安部门应履行及时提供技术支持和协助”的义务和责任

第三十条 网信部门、公安机关、保护工作部门等有关部门，网络安全服务机构及其工作人员对于在关键信息基础设施安全保护工作中获取的信息，只能用于维护网络安全，并严格按照有关法律、行政法规的要求确保信息安全，不得泄露、出售或者非法向他人提供。

《中华人民共和国网络安全法》 第 4 章第四十五条中明确了“依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。”

本条明确指出网信部门、公安机关、保护工作部门等有关部门，网络安全服务机构及其工作人员在工作中获得的相关信息的使用限定和保护责任和义务。

第三十一条 未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。

本条针对网络安全从业人员行为做出法律规制。

针对关键信息基础设施的未经授权的行为包括：漏洞扫描、漏洞挖掘、渗透测试、验证性测试等活动明确禁止。

由于漏洞总是存在，而漏洞的发现与漏洞的修复活动往往存在不可预测的时间差，在这种时间差的影响下，漏洞的不良发布一定会造成被发布漏洞组织的重大损害。同时在漏洞探测过程中还有可能因为技术问题、工具问题、手段问题、时间问题以及业务触发的级联故障等情况下导致系统的不可用。

2021年7月，工业和信息化部 国家互联网信息办公室 公安部关于印发网络产品安全漏洞管理规定的通知中对漏洞的发现、上报、共享、利用、修复等活动做出了明确规定，国家鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。同时针对漏洞的上述行为也做出了严格的约定。

第三十二条 国家采取措施，优先保障能源、电信等关键信息基础设施安全运行。

能源、电信行业应当采取措施，为其他行业和领域的关键信息基础设施安全运行提供重点保障。

本条特别强调在关键信息基础设施领域中优先对能源和电信行业运行建立保障。

能源（如：电力、供水、供暖）与电信（数据业务、语音业务、传输业务等）行业为所有行业提供基础支撑和骨干架构，攸关大局。通过能源和电信系统的破坏产生的级联故障可能会导致整个业务平台产生致命损害，因此，针对能源与电信行业的保护是整个关键信息基础设施的重中之重。

第三十三条 公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫，防范打击针对和利用关键信息基础设施实施的违法犯罪活动。

根据《中华人民共和国人民警察法》第六条规定公安机关的人民警察按照职责分工，依法履行下列职责：(一)预防、制止和侦查违法犯罪活动；（二）维护社会治安秩序，制止危害社会治安秩序的行为；（十二）监督管理计算机信息系统的安全保护工作；同时在第七条中规定公安机关的人民警察对违反治安管理或者其他公安行政管理法律、法规的个人或者组织，依法可以实施行政强制措施、行政处罚。

根据《中华人民共和国国家安全法》第四十二条规定“国家安全机关、公安机关依法搜集涉及国家安全的情报信息，在国家安全工作中依法行使侦查、拘留、预审和执行逮捕以及法律规定的其他职权。” 第五十九条明确指出“国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。”

针对关键信息基础设施实施的违法犯罪活动由公安机关和国家安全机关依据相关立法赋予的责任具体实施保卫工作。

第三十四条 国家制定和完善关键信息基础设施安全标准，指导、规范关键信息基础设施安全保护工作。

根据《网安法》第十五条规定“国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。”

专业标准的制定是建立关键信息基础设施的必要保证，国家鼓励制定行之有效的关键信息基础设施标准，国家标准管理委员会根据关键信息基础设施技术的发展和关键信息基础设施产业和信创的发展组织相关行业、学术机构、 科研团体、高校及安全专家共同开发相关标准。本条根据标准化法的规定，明确国家支持标准的制定工作。

目前，针对关键信息基础设施需要制定从关基的认定、检测、技术要求、管理要求、实施细则等一系列相关标准来支撑关键信息基础设施工作的开展。

第三十五条 国家采取措施，鼓励网络安全专门人才从事关键信息基础设施安全保护工作；将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。

国家继续教育体系是针对国家专业技术

第三十六条 国家支持关键信息基础设施安全防护技术创新和产业发展，组织力量实施关键信息基础设施安全技术攻关。

《国家信息化领导小组关于加强信息安全保障工作的意见》中指出“要采取积极措施，组织和动员各方面力量，密切跟踪世界先进技术的发展，加强信息安全关键技术和相关核心技术的研究开发，提高自主创新能力，促进技术转化，加快产业化进程。

《网安法》第十六条提出“国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。”本条进一步提出支持对涉及关键信息基础设施相关技术创新和产业发展。

第三十七条 国家加强网络安全服务机构建设和管理，制定管理要求并加强监督指导，不断提升服务机构能力水平，充分发挥其在关键信息基础设施安全保护中的作用。

《网安法》第十七条提出“国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。”服务机构作为供应链中的重要一环可能成为一个威胁向量，在国际惯例中当供应链组件提供商正在提供服务时，可能需要定义服务级别要求 (SLR)。SLR 是对供应商产品或服务的服务和性能期望的声明。通常，客户/客户在建立 SLA 之前提供 SLR。

在针对关键信息基础设施提供服务时，国家网信部门、国务院公安部门以及行业主管部门需要根据行业特色建立基于能力成熟度的关键信息基础设施服务能力评价要求和考核指标。一方面作为运营者选择机构的准入机制，另一方面要求服务商能够不断提升服务水平和能力，提高成熟度，降低成本，高质量的完成服务工作；同时也能够为第三方认证认可机构评价服务团队提供指标和依据。

第三十八条 国家加强网络安全军民融合，军地协同保护关键信息基础设施安全。

国防科技工业作为国家战略性产业，涵盖核、航天、航空、兵器、船舶、电子等多个行业，是国家安全和国防建设的脊梁，是军民融合发展的重点领域，实施军民融合发展战略的重要组成部分。推进军民融合深度发展对提升中国特色先进国防科技工业水平、支撑国防军队建设、推动科学技术进步、服务经济社会发展具有重要意义。

在军民融合发展战略下，国防科技技术在民用领域中的不良使用、泄露、破坏会造成国家安全、社会环境的重大影响，因此在这种环境下，要求军工领域和民用企业共同构建保护机制。

第三十九条 运营者有下列情形之一的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：

（一）在关键信息基础设施发生较大变化，可能影响其认定结果时未及时将相关情况报告保护工作部门的；

（二）安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的；

（三）未建立健全网络安全保护制度和责任制的；

（四）未设置专门安全管理机构的；

（五）未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的；

（六）开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的；

（七）专门安全管理机构未履行本条例第十五条规定的职责的；

（八）未对关键信息基础设施每年至少进行一次网络安全检测和风险评估，未对发现的安全问题及时整改，或者未按照保护工作部门要求报送情况的；

（九）采购网络产品和服务，未按照国家有关规定与网络产品和服务提供者签订安全保密协议的；

（十）发生合并、分立、解散等情况，未及时报告保护工作部门，或者未按照保护工作部门的要求对关键信息基础设施进行处置的。

本条主要针对未能有效履行关键信息基础设施运营者责任和义务行为的处罚。有关部门通过检查、抽查、评估、测评等多种手段定期执行监督检查工作，在监督检查工作中发现未履行责任和义务行为时，应予以警告并责令限期整改，限期未完成整改或导致后果的，实施处罚机制。

第四十条 运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，未按照有关规定向保护工作部门、公安机关报告的，由保护工作部门、公安机关依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。

本条针对网络安全事件制定。本条针对两种情况，1. 发生重大网络安全事件未履行报告责任和义务（直接处罚）；2. 发现存在网络安全威胁未尽保护义务并未履行报告责任和义务（拒不改正或者导致后果）；

处罚对象：关键信息基础设施承载机构、直接负责的主管人员

处罚条件：责令改正，给予警告

                 拒不改正，导致后果

第四十一条 运营者采购可能影响国家安全的网络产品和服务，未按照国家网络安全规定进行安全审查的，由国家网信部门等有关主管部门依据职责责令改正，处采购金额1倍以上10倍以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。

《网络安全审查办法》第十条针对采购活动中可能产生的国家风险做出约定“网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险，主要考虑以下因素：（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；（五）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；（六）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险；（七）其他可能危害关键信息基础设施安全和国家数据安全的因素。

在实施具体采购活动中，如果未能相关审查义务时，适用于本条。

处罚对象：直接主管人员和其他直接责任人员

第四十二条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的，由有关主管部门责令改正；拒不改正的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节严重的，依法追究相应法律责任。

本条针对国家有关部门在开展关键信息基础设施网络安全检查工作时，针对运营者不履行配合义务行为的规制要求。

第四十三条 实施非法侵入、干扰、破坏关键信息基础设施，危害其安全的活动尚不构成犯罪的，依照《中华人民共和国网络安全法》有关规定，由公安机关没收违法所得，处5日以下拘留，可以并处5万元以上50万元以下罚款；情节较重的，处5日以上15日以下拘留，可以并处10万元以上100万元以下罚款。

单位有前款行为的，由公安机关没收违法所得，处10万元以上100万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反本条例第五条第二款和第三十一条规定，受到治安管理处罚的人员，5年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

本条针对实施非法侵入、干扰、破坏关键信息基础设施，危害其安全的活动尚不构成犯罪的行为的规制措施。

本条针对从事关键信息基础设施岗位人员背景调查提供曾经受到治安管理处罚法或者刑事处罚人员的禁业依据。

第四十四条 网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行关键信息基础设施安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊的，依法对直接负责的主管人员和其他直接责任人员给予处分。

本条例责任主体分别为：网信部门、公安机关、实施关键信息基础设施行业主管部门和其他有关部门及其工作人员

责任约定：未履行第3章运营者责任义务中所规定的相关要求

渎职：是指国家机关工作人员滥用职权、玩忽职守或者徇私舞弊，妨害国家机关的正常管理活动，致使国家和人民利益遭受严重损失的行为。“玩忽职守”严重不负责任，不履行或不认真履行职责；“滥用职权”超越职权，违法决定、处理其无权决定、处理的事项；“徇私舞弊”为了私情或牟取私利，玩忽职守、滥用职权的行为。

失职行为，本法中追溯的失职行为在刑法中表现为国家机关工作人员签订、履行合同失职罪

不构成犯罪的，由任免机构或监察机关安全管理权限，根据违法行为的性制、情节及危害程度，决定给予行政处分或处罚；构成犯罪，根据相关法律法规由检察机关依法提请诉讼。

第四十五条 公安机关、保护工作部门和其他有关部门在开展关键信息基础设施网络安全检查工作中收取费用，或者要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务的，由其上级机关责令改正，退还收取的费用；情节严重的，依法对直接负责的主管人员和其他直接责任人员给予处分。

本条从根本上制止执法过程中强加于关键信息基础设施运营者的不良服务和合同关系。规范网络安全市场行为。

第四十六条 网信部门、公安机关、保护工作部门等有关部门、网络安全服务机构及其工作人员将在关键信息基础设施安全保护工作中获取的信息用于其他用途，或者泄露、出售、非法向他人提供的，依法对直接负责的主管人员和其他直接责任人员给予处分。

本条沿袭《网安法》第七十三条规定“网信部门和有关部门违反本法第三十条规定，将在履行网络安全保护职责中获取的信息用于其他用途的，对直接负责的主管人员和其他直接责任人员依法给予处分。”

第四十七条 关键信息基础设施发生重大和特别重大网络安全事件，经调查确定为责任事故的，除应当查明运营者责任并依法予以追究外，还应查明相关网络安全服务机构及有关部门的责任，对有失职、渎职及其他违法行为的，依法追究责任。

1. 责任范围：

1. 发生重大和特别重大网络安全事件

2. 责任实体：

1. 关键信息基础设施运营者

2. 网络安全服务机构

3. 有关部门（监管机构、招投标机构及构成事件相关的其他活动机构）

3. 行为裁定：

1. “玩忽职守”严重不负责任，不履行或不认真履行职责；

2. “滥用职权”超越职权，违法决定、处理其无权决定、处理的事项；

3. “徇私舞弊”为了私情或牟取私利，玩忽职守、滥用职权的行为。

4. 渎职罪：是指国家机关工作人员滥用职权、玩忽职守或者徇私舞弊，妨害国家机关的正常管理活动，致使国家和人民利益遭受严重损失的行为。

5. 失职行为，本法中追溯的失职行为在刑法中表现为国家机关工作人员签订、履行合同失职罪

第四十八条 电子政务关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的，依照《中华人民共和国网络安全法》有关规定予以处理。

《网安法》第七十二条规定“国家机关政务网络的运营者不履行本法规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予 处分。”

第四十九条 违反本条例规定，给他人造成损害的，依法承担民事责任。

违反本条例规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

本条申明在不同条件下的惩治机制，将《民法典》《治安管理处罚法》以及《刑法》等相关立法引入条例法律责任，进一步延伸和扩大条例的规制范围和立法接口。

第五十条 存储、处理涉及国家秘密信息的关键信息基础设施的安全保护，还应当遵守保密法律、行政法规的规定。

关键信息基础设施中的密码使用和管理，还应当遵守相关法律、行政法规的规定。

该条明确指出，关基保护在实际范围中涵盖了涉密信息系统，打破了传统网络安全保护机制中将涉密和非涉密系统分而治之的局面。针对涉密信息系统的关键信息基础设施保护还应该遵循《中华人民共和国保守国家秘密法》的相关条款。

随着《中华人民共和国密码法》的颁布和执行，针对关键信息基础设施中有关密码的使用和管理应符合《密码法》相关要求。

第五十一条 本条例自2021年9月1日起施行。

本条申明条例执行时间为2021年9月1日