关键信息基础设施安全保护实施办法

关键信息基础设施安全保护实施办法关键信息基础设施（CriticalInformationInfrastructure,CII）是国家经济社会运行的神经中枢，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益。为保障关键信息基础设施安全稳定运行，规范其安全保护工作，特制定本实施办法。一、总则（一）适用范围本办法适用于中华人民共和国境内关键信息基础设施的运营者（以下简称“运营者”）及其安全保护工作。关键信息基础设施的范围包括但不限于：能源领域：电力、石油、天然气等能源生产、传输、存储和调度系统。交通领域：铁路、公路、水路、航空等交通运输系统的调度指挥、运营管理平台。金融领域：银行、证券、保险等金融机构的核心业务系统、支付清算系统。电信领域：基础电信网络、互联网骨干网、域名系统等。水利领域：大型水利枢纽、防洪抗旱指挥系统。卫生健康领域：全国及区域性医疗健康信息平台、疫情防控指挥系统。教育领域：国家级教育管理信息系统、重要科研机构的核心网络。应急管理领域：安全生产、自然灾害监测预警系统。政务领域：国家电子政务云、重要政务信息系统。其他领域：根据国家有关规定认定的其他关键信息基础设施。（二）基本原则统筹协调，分工负责：国家网信部门统筹协调关键信息基础设施安全保护工作，国务院有关部门和地方政府按照职责分工负责本行业、本地区的安全保护工作。重点保护，综合防范：以关键信息基础设施为核心，综合运用技术、管理、法律等手段，构建全方位、多层次的安全防护体系。动态调整，持续改进：根据技术发展和安全形势变化，动态调整关键信息基础设施范围和保护措施，持续提升安全防护能力。责任共担，协同联动：运营者承担主体责任，政府、社会、公众共同参与，形成协同联动的安全保护格局。（三）管理体制国家层面：国家互联网信息办公室（以下简称“国家网信办”）负责统筹协调全国关键信息基础设施安全保护工作，会同国务院公安部门、国家安全部门、密码管理部门等建立工作协调机制。行业层面：国务院电信主管部门、能源主管部门、交通主管部门、金融监管部门等行业主管部门（以下简称“行业主管部门”）负责指导和监督本行业关键信息基础设施安全保护工作。地方层面：地方各级网信部门、行业主管部门按照国家有关规定，负责本地区、本行业关键信息基础设施安全保护工作。二、关键信息基础设施的认定（一）认定标准关键信息基础设施的认定应当综合考虑以下因素：影响范围：该设施遭到破坏、丧失功能或者数据泄露后，可能对国家安全、国计民生、公共利益造成的危害程度。重要程度：该设施在本行业、本领域的核心地位和作用。技术复杂性：该设施的技术架构、数据规模、业务关联性等。替代难度：该设施一旦发生故障，恢复或替代的难度和成本。（二）认定程序申报：运营者应当按照行业主管部门的要求，向其申报本单位的关键信息基础设施。初审：行业主管部门对运营者的申报材料进行初审，提出初步认定意见。审核：国家网信办会同有关部门对初审意见进行审核，形成认定名单。公示：认定名单应当向社会公示，征求公众意见。公布：经公示无异议或者异议不成立的，由国家网信办公布关键信息基础设施名单。（三）动态调整关键信息基础设施的认定实行动态调整机制。有下列情形之一的，应当及时调整：该设施的重要程度发生显著变化。该设施的技术架构、业务模式发生重大调整。出现新的安全风险或威胁。其他需要调整的情形。三、运营者的安全保护义务（一）安全管理责任建立安全管理制度：运营者应当建立健全关键信息基础设施安全管理制度，明确安全管理责任，制定安全操作规程。设置安全管理机构：运营者应当设置专门的安全管理机构，配备与业务规模相适应的安全管理人员。开展安全培训：运营者应当定期对从业人员进行安全培训，提高其安全意识和操作技能。制定应急预案：运营者应当制定关键信息基础设施安全事件应急预案，定期组织演练，并根据演练结果及时修订预案。（二）技术防护措施安全防护技术：运营者应当采用符合国家有关规定的安全防护技术，包括但不限于：身份认证和访问控制技术。数据加密和脱敏技术。入侵检测和防御技术。漏洞扫描和修复技术。安全审计和日志分析技术。灾难备份和恢复技术。安全评估：运营者应当定期对关键信息基础设施进行安全评估，及时发现和整改安全隐患。网络安全等级保护：运营者应当按照国家网络安全等级保护制度的要求，对关键信息基础设施进行等级保护定级、备案、建设和整改。（三）数据安全保护数据分类分级：运营者应当对关键信息基础设施中的数据进行分类分级管理，明确不同级别数据的保护要求。数据备份与恢复：运营者应当对重要数据进行定期备份，并建立数据恢复机制。数据出境安全评估：运营者向境外提供关键信息基础设施的数据，应当按照国家有关规定进行安全评估。数据泄露应急处置：运营者应当建立数据泄露应急处置机制，一旦发生数据泄露事件，应当立即采取措施控制事态发展，并向有关部门报告。（四）供应链安全管理供应商管理：运营者应当对关键信息基础设施的供应商进行安全评估，选择符合安全要求的供应商。产品和服务安全审查：运营者采购的网络产品和服务，应当符合国家有关安全标准，并经过安全审查。供应链风险评估：运营者应当定期对供应链安全风险进行评估，及时发现和处置供应链安全隐患。（五）应急处置与报告应急处置：运营者应当制定关键信息基础设施安全事件应急预案，明确应急处置流程和责任分工。一旦发生安全事件，应当立即启动应急预案，采取措施控制事态发展，降低损失。事件报告：运营者应当在发生安全事件后，按照规定向行业主管部门、网信部门、公安部门等报告事件情况。报告内容包括事件发生时间、地点、原因、影响范围、处置措施等。事件调查：运营者应当配合有关部门对安全事件进行调查，提供必要的技术支持和资料。四、政府部门的监督管理（一）监督检查检查内容：政府部门应当对运营者的安全管理制度、技术防护措施、数据安全保护、供应链安全管理等情况进行监督检查。检查方式：监督检查可以采取现场检查、远程监测、数据抽查等方式。检查结果处理：对检查中发现的安全隐患，政府部门应当责令运营者限期整改；对拒不整改或者整改不到位的，应当依法予以处罚。（二）安全评估定期评估：政府部门应当定期组织对关键信息基础设施的安全状况进行评估，评估结果作为调整保护措施的依据。专项评估：针对重大安全事件或新出现的安全风险，政府部门应当组织专项安全评估。（三）应急响应建立应急响应机制：政府部门应当建立关键信息基础设施安全事件应急响应机制，明确应急处置流程和责任分工。应急指挥：发生重大安全事件时，政府部门应当成立应急指挥机构，统一指挥应急处置工作。资源调配：政府部门应当协调有关单位和机构，为应急处置提供必要的技术支持和资源保障。（四）技术支持提供技术指导：政府部门应当为运营者提供安全技术指导，帮助其提升安全防护能力。共享威胁情报：政府部门应当建立威胁情报共享机制，及时向运营者通报安全威胁信息。开展技术研发：政府部门应当支持关键信息基础设施安全技术的研发和应用，推动安全技术创新。五、安全保护技术措施（一）网络安全防护边界防护：在关键信息基础设施的网络边界部署防火墙、入侵检测系统、入侵防御系统等设备，防止外部攻击。内部防护：在关键信息基础设施的内部网络部署访问控制设备、安全审计设备等，防止内部人员违规操作。无线安全：对关键信息基础设施的无线网络进行加密保护，防止未授权访问。（二）数据安全保护数据加密：对关键信息基础设施中的敏感数据进行加密存储和传输，防止数据泄露。数据脱敏：对非必要的敏感数据进行脱敏处理，降低数据泄露风险。数据备份：定期对关键信息基础设施中的数据进行备份，确保数据可恢复。（三）身份认证与访问控制多因素认证：对关键信息基础设施的用户采用多因素认证方式，提高身份认证的安全性。最小权限原则：按照最小权限原则，为用户分配访问权限，防止权限滥用。访问审计：对用户的访问行为进行审计，及时发现异常访问。（四）漏洞管理漏洞扫描：定期对关键信息基础设施进行漏洞扫描，及时发现系统漏洞。漏洞修复：对发现的漏洞，应当及时采取修复措施，防止漏洞被利用。漏洞通报：运营者应当及时向政府部门通报发现的重大漏洞。（五）安全监测与预警实时监测：对关键信息基础设施的网络流量、系统日志等进行实时监测，及时发现安全事件。预警机制：建立安全预警机制，对可能发生的安全事件进行预警。应急处置：一旦发生安全事件，应当立即启动应急处置预案，采取措施控制事态发展。六、法律责任（一）运营者的法律责任未履行安全保护义务的责任：运营者未按照本办法规定履行安全保护义务的，由有关部门责令限期改正；逾期未改正的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。发生安全事件的责任：运营者发生关键信息基础设施安全事件，造成严重后果的，由有关部门处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处二万元以上二十万元以下罚款；构成犯罪的，依法追究刑事责任。拒绝配合监督检查的责任：运营者拒绝、阻碍政府部门依法进行监督检查的，由有关部门责令改正；拒不改正的，处二万元以上二十万元以下罚款，对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。（二）政府部门的法律责任未履行监督管理职责的责任：政府部门未按照本办法规定履行监督管理职责的，由上级机关责令改正；情节严重的，对直接负责的主管人员和其他直接责任人员依法给予处分。滥用职权、玩忽职守的责任：政府部门工作人员在关键信息基础设施安全保护工作中滥用职权、玩忽职守、徇私舞弊的，依法给予处分；构成犯罪的，依法追究刑事责任。（三）其他主体的法律责任提供虚假材料的责任：运营者在申报关键信息基础设施时提供虚假材料的，由有关部门责令改正，处一万元以上十万元以下罚款。非法侵入、破坏关键信息基础设施的责任：任何组织和个人非法侵入、破坏关键信息基础设施的，依法承担民事责任；构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。七、附则（一）术语解释关键信息基础设施：指关系国家安全、国计民生、公共利益的重要网络设施、信息系统等。运营者：指关键信息基础设施的所有者、管理者和服务提供者。安全