关键信息基础设施保护协议

关键信息基础设施保护协议鉴于一方为运营关键信息基础设施（以下简称“关键基础设施”）的运营者（以下简称“运营者”），另一方为依据国家关于关键信息基础设施安全保护的规定和本协议约定，参与关键信息基础设施安全保护工作的相关方（以下简称“合作方”），包括但不限于国家网信部门、关键基础设施行业主管部门、网络安全监管部门、网络安全服务机构、数据处理者、供应链合作伙伴等（具体合作方身份根据实际情况确定，以下简称“合作方”），基于平等、自愿、公平和诚实信用的原则，为明确各方在关键信息基础设施安全保护工作中的权利与义务，经友好协商，达成协议如下：第一条定义除非本协议另有明确约定，下列词语具有以下含义：1.1“关键信息基础设施”是指在国民经济和社会生活中处于重要地位，其一旦遭到破坏、丧失功能或者信息泄露，可能严重危害国家安全、公共安全、经济安全、社会稳定和公众利益的网络、信息系统和设备。1.2“运营者”是指关键信息基础设施的所有者、管理者和运营者。1.3“合作方”是指根据本协议约定，参与关键信息基础设施安全保护工作的相关方。1.4“网络安全事件”是指因网络攻击、网络侵入、病毒传播、硬件故障、软件故障、人为操作失误等原因，导致关键信息基础设施的网络、系统、设备或数据遭到破坏、丧失功能或者信息泄露，影响或可能影响关键信息基础设施正常运行的突发事件。1.5“重要数据”是指涉及国家安全、国民经济运行、重要民生、重大公共利益等领域的个人信息和重要数据。1.6“数据处理者”是指接受运营者委托或者根据法律规定，处理运营者收集、存储、使用、加工、传输、提供、公开的重要数据或者重要数据的机构或者个人。1.7“供应链”是指提供关键信息基础设施所需的产品、服务和技术的全过程。1.8“安全保护等级”是指根据关键信息基础设施面临的威胁以及可能受到的破坏影响，对其安全保护要求划分的等级。1.9“应急响应”是指运营者及其相关方在网络安全事件发生时，为应对事件、减少损失、恢复业务而采取的行动。第二条保护原则与总体要求2.1各方在关键信息基础设施安全保护工作中遵循国家安全优先、保护与促进发展并重、全程管理、自主负责、最小权限、持续改进的原则。2.2运营者作为关键信息基础设施安全保护的第一责任人，应建立健全安全保护责任体系，明确各方职责，落实各项安全保护措施。2.3合作方应根据自身职责和本协议约定，履行相应的安全保护义务，协同运营者共同维护关键信息基础设施安全。第三条运营者责任3.1运营者应建立健全网络安全管理制度体系，包括但不限于安全规划、安全组织、安全策略、安全运营、安全评估、应急响应等制度，并根据国家法律法规、标准规范和本协议约定进行持续完善。3.2运营者应定期开展关键信息基础设施网络安全风险评估，全面分析面临的威胁和存在的脆弱性，并根据评估结果制定并落实风险处置方案。3.3运营者应部署必要的安全防护措施，包括物理安全防护、网络安全防护、主机安全防护、应用安全防护、数据安全防护等，提升关键信息基础设施的防护能力。3.4运营者应建立重要数据安全管理制度，对重要数据进行分类分级，采取加密、脱敏、访问控制等措施，确保重要数据安全。3.5运营者应建立供应链安全管理制度，对供应商进行安全审查，规范供应链产品和服务的安全要求，加强供应链安全管理。3.6运营者应建立健全网络安全事件应急预案，明确事件报告、处置、恢复、调查等流程，并定期组织应急演练，提升应急处置能力。3.7运营者应加强员工网络安全意识教育和技能培训，提高员工的安全意识和防护能力。3.8运营者应建立安全监测机制，对关键信息基础设施进行持续监测，及时发现并处置安全威胁。3.9运营者应及时向上级主管部门和网络安全服务机构通报网络安全事件和相关安全信息。第四条合作方权利与义务4.1国家网信部门、行业主管部门、网络安全监管部门：4.1.1行使对关键信息基础设施安全保护工作的监督检查权，对运营者及相关方落实安全保护措施情况进行监督检查，并依法进行处置。4.1.2为运营者及相关方提供关键信息基础设施安全保护的政策指导、标准规范、技术支持和培训服务。4.1.3组织或指导协调重大网络安全事件的应急处置工作，协调相关各方共同应对网络安全事件。4.1.4接收并处理运营者及相关方报送的网络安全事件信息和安全风险信息，进行宏观分析和预警。4.2网络安全服务机构：4.2.1根据本协议约定，为运营者提供安全评估、渗透测试、安全运维、应急响应、安全咨询等专业化服务。4.2.2及时向运营者报告服务过程中发现的安全风险和问题，并按照国家规定向监管部门报告重大安全风险。4.2.3对运营者的敏感信息和技术秘密承担保密义务，未经运营者书面同意，不得向任何第三方泄露。4.3数据处理者/供应链合作伙伴：4.3.1遵守国家网络安全法律法规、相关行业标准及本协议约定，落实数据处理活动的安全保护措施。4.3.2明确在与运营者合作过程中各自的安全责任边界，履行相应的安全保护义务。4.3.3在发生安全事件时，按照约定向运营者或其他相关方通报情况，并配合进行应急处置。4.3.4对在合作过程中知悉的运营者的安全信息承担保密义务。4.4用户：4.4.1提高自身网络安全意识，学习并遵守运营者制定的安全使用规则。4.4.2配合运营者进行安全检查，及时报告发现的安全风险或可疑行为。4.4.3对自身账户和密码等个人信息负责，采取必要的安全防护措施。第五条应急响应与处置5.1各方应按照国家关于网络安全事件的分类分级标准，对网络安全事件进行分级。5.2运营者应建立网络安全事件报告制度，按照本协议约定及国家相关规定，及时向合作方和监管部门报告网络安全事件。5.3在网络安全事件发生时，各方应按照本协议约定和应急预案，采取相应的处置措施，包括但不限于：5.3.1隔离受感染系统或设备，防止事件扩散。5.3.2清除恶意程序，修复受损系统。5.3.3采取必要的措施，保障关键业务连续性。5.3.4保存相关证据，配合进行事件调查。5.4各方应定期组织应急演练，检验和提升应急响应能力。运营者应每年至少组织一次针对关键信息基础设施的应急演练。第六条信息通报与共享6.1各方应建立安全信息通报机制，及时通报网络安全威胁、漏洞、事件等信息。6.2运营者应及时向合作方和监管部门通报以下信息：6.2.1安全风险预警信息。6.2.2网络安全事件信息，包括事件类型、影响范围、处置情况等。6.2.3漏洞信息，包括漏洞描述、影响范围、修复建议等。6.2.4安全整改情况。6.3合作方应及时向运营者通报以下信息：6.3.1在服务过程中发现的安全风险和问题。6.3.2发生的网络安全事件信息。6.3.3其他与关键信息基础设施安全保护相关的信息。6.4各方应按照国家规定，建立安全威胁情报共享机制，促进安全威胁信息的共享和协同防御。第七条监督评估与检查7.1国家网信部门、行业主管部门、网络安全监管部门有权对运营者及相关方落实本协议及国家关于关键信息基础设施安全保护的规定情况进行监督检查。7.2监管部门可以采取现场检查、非现场检查、查阅资料、询问相关人员等方式进行监督检查。7.3运营者及相关方应配合监管部门的监督检查，如实提供相关资料和信息，不得拒绝、阻挠或隐瞒。7.4监管部门对监督检查中发现的问题，应向运营者及相关方下达整改通知书，并要求限期整改。7.5运营者及相关方应建立内部安全评估机制，定期对本协议的履行情况和安全保护工作效果进行评估，并根据评估结果进行改进。第八条保密条款8.1各方应对在本协议履行过程中知悉的对方的商业秘密、技术秘密、运营数据、用户信息以及其他敏感信息承担保密义务。8.2未经对方书面同意，任何一方不得向任何第三方泄露本协议约定的保密信息，但法律法规另有规定或监管机构要求的除外。8.3本协议约定的保密义务不因本协议的终止而解除，各方应在本协议终止后仍然履行保密义务。8.4因履行本协议需要知悉保密信息的第三方，应与本协议各方签订保密协议，并承担相应的保密义务。第九条违约责任与处理9.1任何一方违反本协议约定，给对方造成损失的，应承担赔偿责任。9.2运营者未能履行本协议第三条约定的安全保护义务，导致关键信息基础设施安全受到危害的，应承担相应的法律责任。9.3合作方未能履行本协议第四条约定的安全保护义务，导致关键信息基础设施安全受到危害的，应承担相应的法律责任。9.4任何一方违反本协议第八条约定的保密义务，给对方造成损失的，应承担赔偿责任。9.5发生违约行为时，守约方有权要求违约方停止违约行为、采取补救措施、赔偿损失，并有权根据本协议约定或法律规定解除本协议。第十条法律适用与争议解决10.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。10.2因本协议引起的或与本协议有关的任何争议，各方应首先通过友好协商解决；协商不成的，任何一方均有权向运营者所在地有管辖权的人民法院提起诉讼。第十一条协议的生效、变更与终止11.1本协议自各方签字或盖章之日起生效。11.2本协议的变更，须经各方书面同意。11.3本协议在下列情况下终止：11.3.1本协议约定的期限届满，且各