护网—2025丨依法加强关键信息基础设施安全保护，筑牢国家网络安全屏障

随着网络和信息技术迅猛发展，网络安全已是国家安全的重要内容，而关键信息基础设施又是网络安全的重中之重。

保障关键信息基础设施的安全，对于维护国家网络安全、网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有十分重大的意义。

作为网络安全法的重要配套法规《关键信息基础设施安全保护条例》(以下简称“《条例》”)，它为建立健全关键信息基础设施安全保护体系，提升网络安全防护能力，提供了更具有操作性的法律依据。

什么是关键信息基础设施？

关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

开展关键信息基础设施安全保护工作，各部门的职责分工是什么？

《条例》第三条规定在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

关键信息基础设施如何认定？

《条例》从我国国情出发，借鉴国外通行做法，明确了关键信息基础设施的定义和认定程序。

一是明确关键信息基础设施的定义。

二是明确关键信息基础设施所在行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。

三是明确由保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并组织认定本行业、本领域的关键信息基础设施。

四是规定关键信息基础设施发生较大变化，可能影响其认定结果时，运营者应当及时报告保护工作部门，由保护工作部门重新认定。

谁是关键信息基础设施的保护部门？保护工作部门制定关键信息基础设施认定规则时应当主要考虑哪些因素？

《条例》第八条指出，重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。

《条例》第九条规定，保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。制定认定规则应当主要考虑下列因素：

(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;

(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;

(三)对其他行业和领域的关联性影响。

关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当向谁报告？

《条例》第十八条规定，关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当按照有关规定向保护工作部门、公安机关报告。

关键信息基础设施运营者主体责任是什么？

《条例》在总则部分对运营者责任作了原则规定，要求运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

《条例》还设专章细化了有关义务要求，主要包括：

一是建立健全网络安全保护制度和责任制，实行“一把手负责制”，明确运营者主要负责人负总责，保障人财物投入。

二是设置专门安全管理机构，履行安全保护职责，参与本单位与网络安全和信息化有关的决策，并对机构负责人和关键岗位人员进行安全背景审查。

三是对关键信息基础设施每年进行网络安全检测和风险评估，及时整改问题并按要求向保护工作部门报送情况。

四是关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，按规定向保护工作部门、公安机关报告。

五是优先采购安全可信的网络产品和服务，并与提供者签订安全保密协议;可能影响国家安全的，应当按规定通过安全审查。

有关部门在开展关键信息基础设施网络安全检查时能够收取费用吗？

有关部门在开展关键信息基础设施网络安全检查时，应当加强协同配合、信息沟通，避免不必要的检查和交叉重复检查。检查工作不得收取费用，不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。

对关键信息基础设施实施

实践中，一些个人和组织擅自对关键信息基础设施实施漏洞探测、渗透性测试等活动，影响关键信息基础设施安全。

为此，《条例》第三十一条规定，未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。

关键信息基础设施中的重要数据出境如何进行？

《中华人民共和国数据安全法》第三十一条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定。

《中华人民共和国网络安全法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。

因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的，依照其规定。