关键信息基础设施安全保护服务资质转让规定

关键信息基础设施安全保护服务资质转让规定一、资质转让的适用范围与基本原则（一）适用范围本规定所指的关键信息基础设施安全保护服务资质（以下简称“安保护资质”），是指经国家网信部门会同国务院有关部门认定，具备为关键信息基础设施运营者（以下简称“运营者”）提供安全保护服务能力的资质证书。资质转让仅适用于在中华人民共和国境内依法设立，且已取得安保护资质的企业法人（以下简称“转让方”），以及符合资质申请条件、拟通过受让方式获得资质的企业法人（以下简称“受让方”）。关键信息基础设施涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的信息系统、设施等。因此，安保护资质的转让直接关系到国家关键领域的信息安全，转让活动必须严格限定在符合国家网络安全战略的框架内。（二）基本原则安全优先原则：资质转让的核心前提是保障关键信息基础设施的安全稳定运行。转让方与受让方必须承诺，在转让前后均严格遵守国家网络安全相关法律法规，确保服务能力不出现断层，不降低安全保护标准。例如，转让方需在转让前完成在途项目的安全交接方案，受让方需承诺承接后严格按照原服务标准执行，必要时需升级安全防护措施。资质匹配原则：受让方的企业规模、技术实力、人员配置等必须与所受让的资质等级相匹配。不同等级的安保护资质对应不同的服务范围和能力要求，如一级资质可承接全国范围内的大型关键信息基础设施安全保护项目，而三级资质仅能承接区域内小型项目。受让方需满足对应等级资质的申请条件，包括但不限于具备相应数量的网络安全工程师、通过国家认可的安全技术认证等。公开透明原则：资质转让的全过程需接受国家网信部门及相关行业主管部门的监督。转让双方需提交完整的转让申请材料，包括转让协议、双方企业资质证明、人员配置清单等，且所有材料需真实、准确、可追溯。同时，转让过程中的重要节点，如申请受理、审核结果、资质变更等，需通过官方渠道向社会公示，接受公众监督。诚信守约原则：转让双方需签订正式的转让协议，明确双方的权利与义务，包括转让价格、服务承接方式、违约责任等内容。协议需符合国家法律法规要求，不得包含损害国家网络安全、侵犯第三方利益的条款。转让方需保证所转让的资质不存在任何权属纠纷，受让方需保证在获得资质后合法合规开展业务。二、资质转让的申请条件（一）转让方条件资质有效性：转让方所持有的安保护资质必须在有效期内，且无任何违法违规记录。资质有效期届满前6个月内不得申请转让，需完成资质延期后方可进行转让操作。同时，转让方在资质持有期间，需未因违反网络安全法律法规受到行政处罚，未发生过重大网络安全责任事故。无在途纠纷：转让方需确保不存在与安保护资质相关的未决诉讼、仲裁或行政处罚案件。例如，若转让方因未履行安全保护服务合同被运营者起诉，或因违规操作被网信部门立案调查，则不得申请资质转让，需待纠纷解决、处罚执行完毕后，方可重新申请。完成项目交接准备：转让方需对正在承接的关键信息基础设施安全保护项目进行梳理，制定详细的项目交接方案。方案需包括项目进度、安全风险点、后续服务计划等内容，并征得项目委托方（运营者）的书面同意。对于涉及国家核心机密的项目，需提前向相关主管部门报备，确保交接过程符合保密要求。（二）受让方条件基本资质条件：受让方需符合安保护资质申请的基本条件，包括依法设立、具有独立法人资格，企业注册资本满足对应等级资质要求（如一级资质注册资本不低于1000万元），具备与业务相适应的固定经营场所和技术设施等。此外，受让方需在近3年内未发生过重大网络安全事件，企业信用记录良好。技术与人员能力：受让方需具备与所受让资质等级相匹配的技术实力和人员配置。以一级资质为例，受让方需拥有不少于50名注册网络安全工程师，其中至少10人具备高级工程师职称；需具备自主研发的安全防护技术工具，如入侵检测系统、漏洞扫描平台等；需通过ISO27001信息安全管理体系认证、CMMI3级以上软件能力成熟度认证等。安全管理体系：受让方需建立完善的网络安全管理体系，包括安全管理制度、应急响应机制、数据保护措施等。例如，需制定《关键信息基础设施安全保护服务规范》《网络安全事件应急预案》等内部制度，明确各岗位的安全职责，定期开展安全培训和应急演练。同时，受让方需具备数据安全保护能力，确保在服务过程中不泄露运营者的敏感信息。合规承诺：受让方需提交书面承诺，承诺在获得资质后严格遵守国家网络安全法律法规，接受国家网信部门的监督检查，按时参加资质年度审核，及时报告重大网络安全事件。此外，受让方需承诺不将资质转借、出租给其他企业，不超出资质许可范围开展业务。三、资质转让的申请与审核流程（一）申请材料提交转让双方需共同向国家网信部门指定的资质管理机构提交转让申请材料，材料包括但不限于：《关键信息基础设施安全保护服务资质转让申请表》，需明确转让方与受让方的基本信息、转让资质等级及编号、转让原因等；转让方与受让方的企业法人营业执照、组织机构代码证、税务登记证（或三证合一证书）复印件；转让方的安保护资质证书原件及复印件，以及资质有效期内的年度审核报告；受让方的资质申请条件证明材料，包括人员配置清单、技术能力证明、安全管理体系文件等；转让双方签订的《资质转让协议》，协议需明确转让价格、项目交接方式、违约责任等内容；转让方在途项目的交接方案及运营者的书面同意函；转让双方的信用报告及无违法违规记录证明。所有申请材料需加盖企业公章，一式三份，其中两份提交至资质管理机构，一份由转让双方留存。（二）初步审核资质管理机构在收到申请材料后，于15个工作日内完成初步审核。初步审核主要审查材料的完整性、真实性和合规性，包括：检查申请材料是否齐全，是否符合规定格式；核实转让方资质的有效性，是否存在违法违规记录；审查受让方是否基本符合资质申请条件，如注册资本、人员数量等是否达标；评估转让协议是否符合国家法律法规要求，是否存在损害国家网络安全的条款。若初步审核不通过，资质管理机构需向转让双方出具《审核意见通知书》，明确指出材料存在的问题及修改要求。转让双方需在规定时间内补充或修改材料，重新提交审核。（三）现场核查对于通过初步审核的转让申请，资质管理机构将组织专家开展现场核查。现场核查的内容包括：对转让方的核查：核查转让方的项目交接准备情况，包括在途项目的文档资料、安全防护措施的落实情况等；核实转让方的人员离职情况，确保核心技术人员的离职不会影响项目的正常交接；检查转让方的安全管理体系是否已完成向受让方的过渡准备。对受让方的核查：核查受让方的技术设施是否符合资质要求，如安全实验室、数据中心等是否具备相应的安全防护能力；抽查受让方网络安全工程师的专业能力，通过现场提问、实操考核等方式验证其技术水平；审查受让方的安全管理制度是否可有效执行，如应急响应流程是否清晰、数据保护措施是否到位等。现场核查结束后，专家需出具《现场核查报告》，明确核查结论及改进建议。若核查发现受让方存在技术能力不足、管理体系不完善等问题，受让方需在规定时间内完成整改，并提交整改报告，由资质管理机构重新组织核查。（四）最终审核与公示资质管理机构结合初步审核结果、现场核查报告及整改情况，进行最终审核。最终审核重点评估转让活动对关键信息基础设施安全的影响，包括：受让方的综合能力是否能够完全承接转让方的资质服务范围；项目交接方案是否能够保障在途项目的安全稳定运行；转让双方的合规承诺是否切实可行。最终审核通过后，资质管理机构将在官方网站及相关行业媒体上进行公示，公示期为10个工作日。公示期间，任何单位或个人均可对转让申请提出异议，资质管理机构需对异议内容进行调查核实，并及时反馈处理结果。（五）资质变更与交接公示无异议后，国家网信部门将向受让方颁发新的安保护资质证书，同时注销转让方的原资质证书。转让双方需在资质变更完成后30日内完成全部项目交接工作，包括技术文档移交、人员对接、安全设备调试等。交接完成后，转让方需向资质管理机构提交《项目交接完成报告》，受让方需提交《资质承接承诺书》，承诺严格履行资质相关义务。四、资质转让后的权利与义务（一）转让方的权利与义务权利（1）转让方有权按照转让协议约定收取转让费用。转让费用的金额需根据资质等级、转让方的技术积累、在途项目价值等因素合理确定，不得恶意抬高价格或进行不正当竞争。（2）转让方有权要求受让方按照协议约定承接在途项目，并对项目交接情况进行监督。若受让方未按要求完成交接，导致项目出现安全问题，转让方有权追究其违约责任。义务（1）转让方需在资质转让后6个月内，配合受让方完成技术交接和人员培训工作。包括向受让方提供原有的安全技术文档、工具源代码等资料，安排核心技术人员对受让方团队进行现场指导，确保受让方能够独立开展服务工作。（2）转让方需对在资质持有期间的服务质量承担连带责任。若在转让后发现转让方在服务过程中存在安全隐患或未履行合同义务，转让方需与受让方共同承担相应的法律责任。例如，若转让方在服务期间未及时修复系统漏洞，导致运营者遭受网络攻击，即使资质已转让，转让方仍需承担部分赔偿责任。（3）转让方需在资质注销后，及时清理与安保护资质相关的宣传资料，不得继续以原资质名义开展业务。例如，需删除官网、宣传册上关于原资质的内容，停止使用原资质证书进行投标等活动。（二）受让方的权利与义务权利（1）受让方有权在资质许可范围内开展关键信息基础设施安全保护服务业务。包括参与项目投标、与运营者签订服务合同、自主制定服务方案等，但需严格遵守资质等级对应的服务范围，不得越级承接项目。（2）受让方有权要求转让方提供必要的技术支持和资料移交。若转让方未按约定提供相关资料，影响受让方正常开展业务，受让方有权要求转让方承担违约责任，包括赔偿经济损失、延长技术支持期限等。义务（1）受让方需严格遵守国家网络安全法律法规，按照资质要求提供安全保护服务。需建立健全内部安全管理体系，定期开展安全评估和风险排查，及时发现并处置安全隐患。例如，需每月对承接的关键信息基础设施进行漏洞扫描，每季度开展一次全面的安全评估，并向运营者提交评估报告。（2）受让方需按时参加资质年度审核和动态核查。年度审核需提交上一年度的服务业绩报告、人员变动情况、安全事件处理记录等材料；动态核查则由资质管理机构不定期开展，对受让方的技术能力、服务质量等进行抽查。若未通过审核或核查，受让方需在规定时间内完成整改，逾期未整改的，资质将被吊销。（3）受让方需对在服务过程中获取的运营者敏感信息承担保密义务。不得泄露、篡改、出售运营者的业务数据、用户信息等敏感内容，需建立严格的数据访问控制机制，仅授权相关人员接触必要信息。若因受让方原因导致信息泄露，需承担相应的法律责任，包括赔偿运营者损失、接受行政处罚等。五、资质转让的监督管理与法律责任（一）监督管理日常监督：国家网信部门及相关行业主管部门负责对安保护资质转让后的企业进行日常监督。监督内容包括受让方的服务质量、安全管理体系运行情况、资质使用情况等。监督方式包括定期检查、不定期抽查、受理投诉举报等。例如，网信部门可通过远程监测系统对受让方的安全防护措施进行实时监控，发现异常及时发出预警。年度审核：受让方需在每年资质有效期届满前3个月内，向资质管理机构提交年度审核申请。年度审核重点审查受让方的资质保持情况，包括人员配置是否达标、技术能力是否提升、是否存在违法违规行为等。审核通过的，资质有效期延续；审核不通过的，责令限期整改，整改仍不合格的，吊销资质证书。动态核查：针对关键信息基础设施安全保护的新形势、新威胁，资质管理机构可开展动态核查。例如，当出现新型网络攻击手段时，可对受让方的应急响应能力进行专项核查；当国家网络安全政策发生调整时，可对受让方的合规情况进行全面核查。动态核查结果将作为资质延续、升级或吊销的重要依据。（二）法律责任转让方的法律责任（1）若转让方隐瞒资质存在的问题，如未披露违法违规记录、在途项目纠纷等，导致受让方遭受损失的，转让方需承担赔偿责任。同时，国家网信部门将对转让方处以警告、罚款等行政处罚，情节严重的，将禁止其在3年内再次申请安保护资质。（2）若转让方在资质转让后继续以原资质名义开展业务，将被认定为非法从事关键信息基础设施安全保护服务，依法没收违法所得，并处以违法所得1倍以上5倍以下的罚款；情节严重的，将被追究刑事责任。受让方的法律责任（1）若受让方在资质转让后降低服务标准，导致关键信息基础设施出现安全事件，将根据事件的严重程度承担相应责任。造成一般安全事件的，责令限期整改，并处以10万元以上50万元以下的罚款；造成重大安全事件的，吊销资质证书，并处以50万元以上100万元以下的罚款，同时追究相关责任人的法律责任。（2）若受让方未按规定参加年度审核或动态核查，逾期未整改的，资质管理机构将吊销其资质证书。受让方在资质被吊销后3年内不得再次申请安保护资质。（3）若受让方泄露运营者敏感信息，将按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规进行处罚，包括责令停止违法行为、没收违法所得、处以罚款等；造成严重后果的，将依法追究刑事责任。中介机构的法律责任若存在中介机构参与资质转让活动，且存在提供虚假材料、协助双方规避审核等违法行为，国家网信部门将对中介机构处以警告、罚款等行政处罚，情节严重的，吊销其相关业务许可证；构成犯罪的，依法追究刑事责任。六、资质转让的特殊情形处理（一）企业合并、分立中的资质转让当企业因合并、分立导致安保护资质需要转移时，需按照本规定的相关要求进行申请，但可适当简化审核流程。例如，合并后的企业若继承了原企业的全部技术能力和人员配置，且符合资质等级要求，可直接申请资质变更，无需重新进行现场核查。但需提交合并协议、资产负债表、人员安置方案等材料，证明合并后的企业具备相应的服务能力。（二）资质升级与转让的衔接若转让方同时申请资质升级和转让，需先完成资质升级审核，再进行转让申请。资质升级需满足更高等级的资质条件，如增加人员配置、提升技术能力等。升级完成后，转让方需将升级后的资质转让给受让方，受让方需满足升级后资质的申请条件。例如，转让方原持有二级资质，在申请升级为一级资质并通过审核后，方可将一级资质转让给符合一级资质条件的受让方。（三）跨境资质转让的限制安保护资质属于涉及国家关键信息安全的资质，原则上禁止向境外企业转让。若因特殊情况需进行跨境转让，需经国家网信部门会同国务院有关部门进行严格审查，审查内容包括受让方所在国家的网络安全政策、受让方的背景情况、转让对国家关键信息基础设施安全的影响等。经审查批准后方可进行转让，且转让后需建立严格的跨境数据流动监管机制，确保敏感信