《關鍵信息基礎設施安全保護條例》36條重大修訂對比 - 網安 - 專業的網絡安全產業、社區、知識平臺

國務院總理李克強簽署第745號國務院令，《關鍵信息基礎設施安全保護條例》自2021年9月1日起施行。

2021年7月30日， 國務院發布《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）[國令第745號]，將于2021年9月1日起施行。 《條例》自2017年公開征求意見到正式發布歷時4年，全文共六章五十一條，其中，新增十條，重大修訂三十六條，章節結構與條款內容發生了較大調整，簡單直接對比難以展示修訂變化，因此本文對《關鍵信息技術設施保護條例》中設計網絡安全服務機構的條款進行了解讀，并重新梳理了條款對應關系，并在調整條款順序的基礎上做全文對照分析與修訂，供讀者參考。

關鍵信息基礎設施安全保護條例

(征求意見稿）

第一章總則

第一條 為了保障關鍵信息基礎設施安全，維護網絡安全，根據《中華人民共和國網絡安全法》，制定本條例。

第十八條第二條　下列單位運行、管理的網絡本條例所稱關鍵信息基礎設施，是指公共通信和信息系統，服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的，應當納入關鍵信息基礎設施保護范圍：重要網絡、信息系統等。

（一）政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位；

（二）電信網、廣播電視網、互聯網等信息重要網絡，以及提供云計算、大數據和其他大型公共設施、信息網絡服務的單位；

（三）國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位；

（四）廣播電臺、電視臺、通訊社等新聞單位；

（五）其他重點單位系統等。

第四條第三條　在國家行業主管或監管部門按照國務院規定的職責分工，網信部門統籌協調下，國務院公安部門負責指導和監督本行業、本領域的關鍵信息基礎設施安全保護工作。

國家網信國務院電信主管部門負責統籌協調關鍵信息基礎設施安全保護工作和相關監督管理工作。國務院公安、國家安全、國家保密和其他有關部門依照本條例和有關法律、行政管理、國家密碼管理等部門法規的規定，在各自職責范圍內負責相關網絡關鍵信息基礎設施安全保護和監督管理工作。

縣級以上地方省級人民政府有關部門按照國家有關規定開展依據各自職責對關鍵信息基礎設施實施安全保護工作和監督管理。

第五條第四條　關鍵信息基礎設施安全保護堅持綜合協調、分工負責、依法保護，強化和落實關鍵信息基礎設施的運營者（以下稱簡稱運營者）對本單位關鍵信息基礎設施安全負主體責任，履行網絡安全保護義務，接受充分發揮政府和社會監督，承擔及社會責任。

國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與各方面的作用，共同保護關鍵信息基礎設施保護體系安全。

第六條第五條　國家對關鍵信息基礎設施在網絡安全等級保護制度基礎上，實行重點保護。

第八條國家，采取措施，監測、防御、處置來源于中華人民共和國境內外的網絡安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞，依法懲治網絡危害關鍵信息基礎設施安全的違法犯罪活動。

任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動，不得危害關鍵信息基礎設施安全。

第六條　運營者依照本條例和有關法律、行政法規的規定以及國家標準的強制性要求，在網絡安全等級保護的基礎上，采取技術保護措施和其他必要措施，應對網絡安全事件，防范網絡攻擊和違法犯罪活動，保障關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。

第七條　對在關鍵信息基礎設施安全保護工作中取得顯著成績或者作出突出貢獻的單位和個人，按照國家有關規定給予表彰。

第三二章關鍵信息基礎設施范圍認定

第八條　本條例第二條涉及的重要行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門（以下簡稱保護工作部門）。

第十八條第九條　下列單位運行、管理的網絡設施和信息系統，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的，應當納入保護工作部門結合本行業、本領域實際，制定關鍵信息基礎設施保護范圍認定規則，并報國務院公安部門備案。

制定認定規則應當主要考慮下列因素：

（一）政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業網絡設施、信息系統等對于本行業、本領域的單位關鍵核心業務的重要程度；

（二）電信網、廣播電視網、互聯網等網絡設施、信息網絡，以及提供云計算、大系統等一旦遭到破壞、喪失功能或者數據和其他大型公共信息網絡服務的單位泄露可能帶來的危害程度；

（三）國防科工、大型裝備、化工、食品藥品等對其他行業和領域科研生產單位；

（四）廣播電臺、電視臺、通訊社等新聞單位；的關聯性影響。

（五）其他重點單位。

第十條　保護工作部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施，及時將認定結果通知運營者，并通報國務院公安部門。

第二十條第十一條　新建、停運關鍵信息基礎設施，或關鍵信息基礎設施發生重大較大變化，可能影響其認定結果的，運營者應當及時將相關情況報告國家行業主管或監管部門。

國家行業主管或監管部門應當根據保護工作部門。保護工作部門自收到報告之日起3個月內完成重新認定，將認定結果通知運營者報告的情況及時進行識別調整，并按程序報送調整情況，并通報國務院公安部門。

第四三章運營者安全保護責任義務

第二十一條第十二條　建設安全保護措施應當與關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能，并保證安全技術措施同步規劃、同步建設、同步使用。

第二十二條第十三條　運營者應當建立健全網絡安全保護制度和責任制，保障人力、財力、物力投入。運營者的主要負責人是本單位對關鍵信息基礎設施安全保護工作第一責任人，負責建立健全網絡安全責任制并組織落實，對本單位負總責，領導關鍵信息基礎設施安全保護和重大網絡安全事件處置工作全面負責，組織研究解決重大網絡安全問題。

第二十四條第十四條　除本條例第二十三條外，運營者還應當按照國家法律法規的規定和相關國家標準的強制性要求，履行下列安全保護義務：

（一）設置專門網絡安全管理機構和網絡安全管理負責人，并對該，并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查；。審查時，公安機關、國家安全機關應當予以協助。

（二）定期對從業人員進行網絡安全教育、技術培訓和技能考核；

（三）對重要系統和數據庫進行容災備份，及時對系統漏洞等安全風險采取補救措施；

（四）制定網絡安全事件應急預案并定期進行演練；

（五）法律、行政法規規定的其他義務。

第二十五條第十五條　運營者網絡專門安全管理負責人機構具體負責本單位的關鍵信息基礎設施安全保護工作，履行下列職責：

（一）組織制定）建立健全網絡安全規章制度、操作規程并監督執行管理、評價考核制度，擬訂關鍵信息基礎設施安全保護計劃；

（二）組織對關鍵崗位人員的技能考核推動網絡安全防護能力建設，開展網絡安全監測、檢測和風險評估；

（三）組織按照國家及行業網絡安全事件應急預案，制定并實施本單位應急預案，定期開展應急演練，處置網絡安全教育和培訓計劃事件；

（四）認定網絡安全關鍵崗位，組織開展網絡安全檢查和應急演練，應對處置工作考核，提出獎勵和懲處建議；

（五）組織網絡安全事件教育、培訓；

（五六）按履行個人信息和數據安全保護責任，建立健全個人信息和數據安全保護制度；

（七）對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理；

（八）按照規定向國家有關部門報告網絡安全事件和重要事項、事件。

第十三條第十六條　國家行業主管或監管部門運營者應當設立或明確保障專門負責本行業、本領域關鍵信息基礎設施安全保護工作的管理機構和人員，編制并組織實施本行業、本領域的的運行經費、配備相應的人員，開展與網絡安全規劃，建立健全工作經費保障機制并督促落實。和信息化有關的決策應當有專門安全管理機構人員參與。

第二十八條第十七條　運營者應當建立健全關鍵信息基礎設施安全檢測評估制度，關鍵信息基礎設施上線運行前自行或者發生重大變化時應當進行安全檢測評估。

運營者應當自行或委托網絡安全服務機構對關鍵信息基礎設施的安全性和可能存在的風險隱患每年至少進行一次網絡安全檢測和風險評估，對發現的安全問題及時進行整改，并將有關按照保護工作部門要求報送情況報國家行業主管或監管部門。

第三十七條第十八條　國家行業主管或監管部門應當建立健全本行業、本領域的關鍵信息基礎設施發生重大網絡安全監測預警和信息通報制度，及時掌握本行業、本領域事件或者發現重大網絡安全威脅時，運營者應當按照有關規定向保護工作部門、公安機關報告。

發生關鍵信息基礎設施整體中斷運行狀況和或者主要功能故障、國家基礎信息以及其他重要數據泄露、較大規模個人信息泄露、造成較大經濟損失、違法信息較大范圍傳播等特別重大網絡安全風險，向有關運營者通報安全風險和相關事件或者發現特別重大網絡安全威脅時，保護工作信息。

國家行業主管或監管部門部門應當組織對安全監測信息進行研判，認為需要立即采取防范應對措施的，應當在收到報告后，及時向有關運營者發布預警信息和應急防范措施建議，并按照國家網絡安全事件應急預案的要求向有關網信部門、國務院公安部門報告。

第三十一條第十九條　運營者應當優先采購安全可信的網絡產品和服務，；采購網絡產品和服務可能影響國家安全的，應當按照國家網絡產品和服務安全審查辦法的要求，規定通過網絡安全審查，并與。

第二十條　運營者采購網絡產品和服務，應當按照國家有關規定與網絡產品和服務提供者簽訂安全保密協議，明確提供者的技術支持和安全保密義務與責任，并對義務與責任履行情況進行監督。

第二十一條　運營者發生合并、分立、解散等情況，應當及時報告保護工作部門，并按照保護工作部門的要求對關鍵信息基礎設施進行處置，確保安全。

第二四章 支持與保障和促進

第十三條第二十二條　國家行業主管或監管部門保護工作部門應當設立或明確專門負責制定本行業、本領域關鍵信息基礎設施安全規劃，明確保護目標、基本要求、工作的機構和人員，編制并組織實施本行業、本領域的網絡安全規劃，建立健全工作經費保障機制并督促落實任務、具體措施。

第三十六條第二十三條　國家網信部門統籌協調有關部門建立關鍵信息基礎設施網絡安全監測預警體系和信息通報制度，組織指導有關機構開展網絡安全信息共享機制，及時匯總、分析研判和通報工作，按照規定統一、共享、發布網絡安全監測預警威脅、漏洞、事件等信息。

第三十八條國家網信，促進有關部門統籌協調有關、保護工作部門、運營者以及有關研究機構、網絡安全服務機構建立關鍵信息基礎設施網絡安全信息共享機制，促進等之間的網絡安全信息共享。

第三十七條第二十四條　國家行業主管或監管部門保護工作部門應當建立健全本行業、本領域的關鍵信息基礎設施網絡安全監測預警和信息通報制度，及時掌握本行業、本領域關鍵信息基礎設施運行狀況和、安全風險，向有關運營者態勢，預警通報安全風險和相關工作信息。

國家行業主管或監管部門應當組織對網絡安全監測信息進行研判，認為需要立即采取防范應對措施的，應當及時向有關運營者發布預警信息和應急防范措施建議，并按照國家網絡威脅和隱患，指導做好安全事件應急預案的要求向有關部門報告防范工作。

第三十九條第二十五條　國家網信保護工作部門應當按照國家網絡安全事件應急預案的要求，統籌有關部門建立健全關鍵信息基礎設施網絡安全應急協作機制，加強網絡安全應急力量建設，指導協調有關部門組織跨行業、跨地域網絡安全應急演練。

國家行業主管或監管部門應當組織制定本行業、本領域的網絡安全事件應急預案，并定期組織應急演練，提升；指導運營者做好網絡安全事件應對和災難恢復能力。發生重大網絡安全事件或接到網信部門的預警信息后，應立即啟動應急預案處置，并根據需要組織應對，并及時報告有關情況提供技術支持與協助。

第四十條第二十六條　國家行業主管或監管部門保護工作部門應當定期組織對開展本行業、本領域關鍵信息基礎設施的網絡安全風險以及運營者履行安全保護義務的情況進行抽查檢查檢測，提出改進措施，指導、督促監督運營者及時整改檢測評估中發現的問題安全隱患、完善安全措施。

第二十七條　國家網信部門統籌協調有關國務院公安部門開展的抽查檢測、保護工作，避免交叉重復檢測評估部門對關鍵信息基礎設施進行網絡安全檢查檢測，提出改進措施。

第四十一條有關部門組織在開展關鍵信息基礎設施網絡安全檢測評估，應堅持客觀公正、高效透明的原則，采取科學的檢測評估方法，規范檢測評估流程，控制檢測評估風險檢查時，應當加強協同配合、信息溝通，避免不必要的檢查和交叉重復檢查。檢查工作不得收取費用，不得要求被檢查單位購買指定品牌或者指定生產、銷售單位的產品和服務。

第二十八條　運營者應當對對保護工作部門開展的關鍵信息基礎設施網絡安全檢查檢測工作，以及公安、國家安全、保密行政管理、密碼管理等有關部門依法實施的檢測評估開展的關鍵信息基礎設施網絡安全檢查工作應當予以配合，對檢測評估發現的問題及時進行整改。

第二十九條　在關鍵信息基礎設施安全保護工作中，國家網信部門和國務院電信主管部門、國務院公安部門等應當根據保護工作部門的需要，及時提供技術支持和協助。

第四十三條第三十條　網信部門、公安機關、保護工作部門等有關部門以及，網絡安全服務機構及其工作人員對于在關鍵信息基礎設施安全檢測評估保護工作中獲取的信息，只能用于維護網絡安全的需要，并嚴格按照有關法律、行政法規的要求確保信息安全，不得用于其他用途泄露、出售或者非法向他人提供。

第十六條第三十一條　未經國家網信部門、國務院公安部門批準或者保護工作部門、運營者授權，任何個人和組織不得從事下列危害關鍵信息基礎設施的活動和行為：

（一）攻擊、侵入、干擾、破壞對關鍵信息基礎設施；

（二）非法獲取、出售或者未經授權向他人提供實施漏洞探測、滲透性測試等可能被專門用于影響或者危害關鍵信息基礎設施安全的技術資料等信息；

（三）未經授權對關鍵信息活動。對基礎設施開展滲透性、攻擊性掃描探測；

（四）明知他人從事危害關鍵信息基礎設施安全的活動，仍然為其提供互聯網接入、服務器托管、電信網絡存儲、通訊傳輸、廣告推廣、支付結算等幫助；

（五）其他危害關鍵信息基礎設施的實施漏洞探測、滲透性測試等活動和行為，應當事先向國務院電信主管部門報告。

第十四條第三十二條　國家采取措施，優先保障能源、電信、交通等等關鍵信息基礎設施安全運行。

能源、電信行業應當為采取措施，為其他行業和領域的關鍵信息基礎設施網絡安全事件應急處置與網絡功能恢復運行提供電力供應、網絡通信、交通運輸等方面的重點保障和支持。

第十五條第三十三條　公安機關等部門、國家安全機關依據各自職責依法偵查加強關鍵信息基礎設施安全保衛，防范打擊針對和利用關鍵信息基礎設施實施的違法犯罪活動。

第十條第三十四條　國家建立制定和完善網絡關鍵信息基礎設施安全標準體系，利用標準，指導、規范關鍵信息基礎設施安全保護工作。

第九條第三十五條　國家制定產業、財稅、金融、采取措施，鼓勵網絡安全專門人才等政策，從事關鍵信息基礎設施安全保護工作；將運營者安全管理人員、安全技術人員培訓納入國家繼續教育體系。

第三十六條　國家支持關鍵信息基礎設施安全相關的防護技術、產品、服務創新，推廣安全可信的網絡產品和服務，培養和選拔網絡安全人才，提高和產業發展，組織力量實施關鍵信息基礎設施的安全水平技術攻關。

第三十七條　國家加強網絡安全服務機構建設和管理，制定管理要求并加強監督指導，不斷提升服務機構能力水平，充分發揮其在關鍵信息基礎設施安全保護中的作用。

第三十八條　國家加強網絡安全軍民融合，軍地協同保護關鍵信息基礎設施安全。

第七五章　法律責任

第四十五條第三十九條　運營者不有下列情形之一的，由有關主管部門依據職責責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處10萬元以上100萬元以下罰款，對直接負責的主管人員處1萬元以上10萬元以下罰款：

（一）在關鍵信息基礎設施發生較大變化，可能影響其認定結果時未及時將相關情況報告保護工作部門的；

（二）安全保護措施未與關鍵信息基礎設施同步規劃、同步建設、同步使用的；

（三）未建立健全網絡安全保護制度和責任制的；

（四）未設置專門安全管理機構的；

（五）未對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查的；

（六）開展與網絡安全和信息化有關的決策沒有專門安全管理機構人員參與的；

（七）專門安全管理機構未履行本條例第二十條第一款、第二十一條、第二十三條、第二十四條、第二十六條、第二十七條、第二十八條、第三十條、第三十二條、第三十三條、第三十四條規定的第十五條規定的職責的；

（八）未對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估，未對發現的安全問題及時整改，或者未按照保護工作部門要求報送情況的；

（九）采購網絡產品和服務，未按照國家有關規定與網絡產品和服務提供者簽訂安全保密協議的；

（十）發生合并、分立、解散等情況，未及時報告保護工作部門，或者未按照保護工作部門的要求對關鍵信息基礎設施進行處置的。

第四十條　運營者在關鍵信息基礎設施發生重大網絡安全事件或者發現重大網絡安全威脅時，未按照有關規定向保護義務的，由有關主管工作部門、公安機關報告的，由保護工作部門、公安機關依據職責責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處十萬元10萬元以上一百萬元100萬元以下罰款，對直接負責的主管人員處一萬元1萬元以上十萬元10萬元以下罰款。

第四十七條第四十一條　運營者違反本條例第三十一條規定，使用未經安全審查或采購可能影響國家安全審查未通過的網絡產品或者和服務，未按照國家網絡安全規定進行安全審查的，由國家網信部門等有關主管部門依據職責責令停止使用改正，處采購金額一1倍以上十10倍以下罰款；，對直接負責的主管人員和其他直接責任人員處一萬元1萬元以上十萬元10萬元以下罰款。

第四十二條　運營者對保護工作部門開展的關鍵信息基礎設施網絡安全檢查檢測工作，以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的關鍵信息基礎設施網絡安全檢查工作不予配合的，由有關主管部門責令改正；拒不改正的，處5萬元以上50萬元以下罰款，對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款；情節嚴重的，依法追究相應法律責任。

第四十八條第四十三條　實個人違反本條例第十六條規定，施非法侵入、干擾、破壞關鍵信息基礎設施，危害其安全的活動尚不構成犯罪的，依照《中華人民共和國網絡安全法》有關規定，由公安機關沒收違法所得，處五日5日以下拘留，可以并處五萬元5萬元以上五十萬元50萬元以下罰款；情節較重的，處五日5日以上十五日15日以下拘留，可以并處十萬元10萬元以上一百萬元100萬元以下罰款；構成犯罪的，依法追究刑事責任。

單位有前款行為的，由公安機關沒收違法所得，處十萬元10萬元以上一百萬元100萬元以下罰款，并對直接負責的主管人員和其他直接責任人員依照前款規定處罰。

違反本條例第十六條第五條第二款和第三十一條規定，受到治安管理處罰的人員，5年內不得從事網絡安全管理和網絡運營關鍵崗位的工作；受到刑事處罰的人員，終身不得從事關鍵信息基礎設施網絡安全管理和網絡運營關鍵崗位的工作。

第五十條第四十四條　網信部門、公安機關、保護工作部門和其他有關部門及其工作人員有下列行為之一未履行關鍵信息基礎設施安全保護和監督管理職責或者玩忽職守、濫用職權、徇私舞弊的，依法對直接負責的主管人員和其他直接責任人員依法給予處分；構成犯罪的，依法追究刑事責任：

（一）在工作中利用職權索取、收受賄賂；

（二）玩忽職守、濫用職權；

（三）擅自泄露關鍵信息基礎設施有關信息、資料及數據文件；

（四）其他違反法定職責的行為。

第四十四條第四十五條　公安機關、保護工作部門和其他有關部門組織在開展關鍵信息基礎設施網絡安全檢測評估，不得向被檢測評估單位檢查工作中收取費用，不得或者要求被檢測評估檢查單位購買指定品牌或者指定生產、銷售單位的產品和服務的，由其上級機關責令改正，退還收取的費用；情節嚴重的，依法對直接負責的主管人員和其他直接責任人員給予處分。

第五十條第四十六條　網信部門、公安機關、保護工作部門等有關部門、網絡安全服務機構及其工作人員有下列行為之一的，將在關鍵信息基礎設施安全保護工作中獲取的信息用于其他用途，或者泄露、出售、非法向他人提供的，依法對直接負責的主管人員和其他直接責任人員依法給予處分；構成犯罪的，依法追究刑事責任：

（一）在工作中利用職權索取、收受賄賂；

（二）玩忽職守、濫用職權；

（三）擅自泄露關鍵信息基礎設施有關信息、資料及數據文件；

（四）其他違反法定職責的行為。

第五十一條第四十七條　關鍵信息基礎設施發生重大和特別重大網絡安全事件，經調查確定為責任事故的，除應當查明運營單位者責任并依法予以追究外，還應查明相關網絡安全服務機構及有關部門的責任，對有失職、瀆職及其他違法行為的，依法追究責任。

第四十九條第四十八條　國家機關電子政務關鍵信息基礎設施的運營者不履行本條例規定的網絡安全保護義務的，由其上級機關或者依照《中華人民共和國網絡安全法》有關機關責令改正；對直接負責的主管人員和其他直接負責人員依法給予處分規定予以處理。

第四十九條　違反本條例規定，給他人造成損害的，依法承擔民事責任。

違反本條例規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。

第八六章附則

第五十三條第五十條　存儲、處理涉及國家秘密信息的關鍵信息基礎設施的安全保護，還應當遵守保密法律、行政法規的規定。

關鍵信息基礎設施中的密碼使用和管理，還應當遵守密碼相關法律、行政法規的規定。

第五十四條軍事關鍵信息基礎設施的安全保護，由中央軍事委員會另行規定。

第五十五條第五十一條　本條例自****年**月**2021年9月1日起施行。