逐条解读 | 2021《关键信息基础设施安全保护条例》

2021年8月17日，国务院第745号令发布，公布《关键信息基础设施安全保护条例》(简称《条例》)，自2021年9月1日起施行。

关键信息基础设施是经济社会运行的神经中枢，是国家网络安全的重中之重。当前，关键信息基础设施面临的安全形势严峻，网络攻击威胁事件频发。制定出台《条例》，建立专门保护制度，明确各方责任，提出保障促进措施，有利于进一步健全关键信息基础设施安全保护法律制度体系。

近年来国家陆续颁发《网络安全法》和《数据安全法》，逐步构建我国网络空间安全法律体系，驱动政府、机构及企业，用更完善的安全防护体系，保护关键信息基础设施的安全，促进行业规范发展。了解熟悉《条例》责任要求，是从业者做好关基保护工作的基础，这里我们一起来逐条解读最新发布的《关键信息基础设施安全保护条例》。

1、评估认定由保卫部门负责

2、保护义务由责任单位负责

3、监督管理由网信、公安等部门负责

4、法律责任和《网络安全法》基本一致

5、产品采购和《网络安全审查办法》一致

6、强调数据安全，人员培训等工作

7、和《数据安全法》同一天正式实施（2021年9月1日）

关键信息基础设施安全保护条例

第一章　总则

第一条　为了保障关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络安全法》，制定本条例。

解读：依法治国，有法可依，有法必依。

第二条　本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

解读：关基设施的范围与定义。关基由国家认定。但关基体系可自愿参加(《网络安全法》 第三十一条：国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系)。

第三条　在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。

省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

解读：关基的国家主管部门，主要是网信部门统筹，公安部门指导监督，其它部门配合保护和监管。行业条保护监管结合区域块保护监管，也就是条条加块块。

第四条　关键信息基础设施安全保护坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者（以下简称运营者）主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。

解读：谁运营谁负责为前提，尽可能调动各方力量共同保护。

第五条　国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动。

任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全。

解读：关基保护不是一个人，还有国家做后盾。国家会不断完善国家级的网络安全监测、预警、防御、阻断和打击犯罪的能力。明确了非授权的侵入、干扰、破坏行为都是危害行为，意味着都要承担法律责任，“爬虫选手们”又得抖一抖咯。

第六条　运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

解读：关基基于等保，高于等保。关保的相关国家标准正在紧锣密鼓的制定中。

第七条　对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人，按照国家有关规定给予表彰。

解读：相信榜样的力量。具体实施没有出台之前，各地其实可以探索实践。

第二章　关键信息基础设施认定

第八条　本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门（以下简称保护工作部门）。

解读：强调了关基保护工作的部门是行业和领域的主管部门和监督管理部门。也就是保护以条条为主。

第九条　保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。

制定认定规则应当主要考虑下列因素：

( 一 ) 网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；

( 二 ) 网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；

( 三 ) 对其他行业和领域的关联性影响。

解读：认定关基设施的三大要素：重要度、危害度、关联度。

第十条　保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。

解读：认定工作主要由各国家部委完成，省级及以下的配合完成，认定结果等通知。信息同步到国务院公安部门，便于后续的监管工作落实。

第十一条　关键信息基础设施发生较大变化，可能影响其认定结果的，运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定，将认定结果通知运营者，并通报国务院公安部门。

解读：关基不是一成不变，重大变更要定义，要上报，要重新认定。变更结果要同步到公安部门。

第三章　运营者责任义务

第十二条　安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。

解读：与《网络安全法》的三同步原则保持一致，避免只管性能和功能，裸奔上线。

解读：与《网络安全法》的三同步原则保持一致，避免只管性能和功能，裸奔上线。

第十三条　运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。

解读：结合《党委（党组）网络安全工作责任制实施办法》就是，各单位的书记要保障网络安全的人力、财力、物力投入。发生网络安全事件的时候也要亲临一线，坐镇指挥。应急预案体系抓紧建设，各种大脑、中心、驾驶舱也要抓紧了。

第十四条　运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时，公安机关、国家安全机关应当予以协助。

解读：安全管理机构要是专门的。重要人员要背景审查，不仅是公安，国安都会协助，重要性不言而喻。

第十五条　专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责：

( 一 ) 建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；

( 二 ) 组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；

( 三 ) 按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；

( 四 ) 认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议；

( 五 ) 组织网络安全教育、培训；

( 六 ) 履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；

( 七 ) 对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；

( 八 ) 按照规定报告网络安全事件和重要事项。

解读：全领域、全范围、全生命周期的网络安全。不仅仅是买盒子，制度体系要完善，人员培训要做好，数据信息保起来，应急演练搞起来，安全运维做起来，事件处置报起来。

第十六条　运营者应当保障专门安全管理机构的运行经费、配备相应的人员，开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。

解读：再次强调人、财、物的保障。安全管理机构的担子越来越重了，你们单位的安全都要管，责任都要担。

第十七条　运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。

解读：每年一次体检（安全检测和风险评估），注意用词是“和”不是“或”哦！

两者的区别：安全检测是客观的现状结果，看看到底有多少窟窿；风险评估是主观的危害分析，关系到花多少银子，先补哪个洞。

第十八条　关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当按照有关规定向保护工作部门、公安机关报告。

发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时，保护工作部门应当在收到报告后，及时向国家网信部门、国务院公安部门报告。

解读：关基的特殊性决定了你家的大事也是大家的事，族长（保护工作部门）要出面。

第十九条　运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。

解读：与《网络安全审查办法》保持一致。注意提前报备审查，否则会面临严厉处罚。具体请学习《网络安全审查办法》。

第二十条　运营者采购网络产品和服务，应当按照国家有关规定与网络产品和服务提供者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督。

解读：做好供应链、供应商安全要管理，要有保密协议，要明确技术支持义务(如不能用停产耍赖)、保密义务、责任等，后续要进行监督。

第二十一条　运营者发生合并、分立、解散等情况，应当及时报告保护工作部门，并按照保护工作部门的要求对关键信息基础设施进行处置，确保安全。

解读：前述是运营者设施的重大变更，这里就直接是合并、分立、解散等更重大的变更了。

第四章　保障和促进

第二十二条　保护工作部门应当制定本行业、本领域关键信息基础设施安全规划，明确保护目标、基本要求、工作任务、具体措施。

解读：关基保护工作部门作为族长，族规得写好。

第二十三条　国家网信部门统筹协调有关部门建立网络安全信息共享机制，及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息，促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。

解读：各单位要和上级单位、网信办、公安等保持联系，经常互动，情报共享。

第二十四条　保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度，及时掌握本行业、本领域关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作。

解读：各行业、各领域要具备自己的安全监测预警能力。

第二十五条　保护工作部门应当按照国家网络安全事件应急预案的要求，建立健全本行业、本领域的网络安全事件应急预案，定期组织应急演练；指导运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助。

解读：各行业、各领域要建立应急预案，定期组织应急演练，并给下属单位提供实质性的帮助。

第二十六条　保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测，指导监督运营者及时整改安全隐患、完善安全措施。

解读：各行业、各领域要定期开展自查自纠，并及时整改提升。

第二十七条　国家网信部门统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测，提出改进措施。

有关部门在开展关键信息基础设施网络安全检查时，应当加强协同配合、信息沟通，避免不必要的检查和交叉重复检查。检查工作不得收取费用，不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。

解读：各单位要信息共享，避免山头主义，减少重复劳动，不得强买强卖。

第二十八条　运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。

解读：关基很重要，检查要合法的，尊重是相互的。

第二十九条　在关键信息基础设施安全保护工作中，国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要，及时提供技术支持和协助。

解读：国家网信、电信、公安部门要加强技术团队建设，给大家提供技术支持和协助。

第三十条　网信部门、公安机关、保护工作部门等有关部门，网络安全服务机构及其工作人员对于在关键信息基础设施安全保护工作中获取的信息，只能用于维护网络安全，并严格按照有关法律、行政法规的要求确保信息安全，不得泄露、出售或者非法向他人提供。

解读：监管单位也要保护好关基信息，不能灯下黑。

第三十一条　未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。

解读：明确扫描也是违法行为，渗透就更是了。针对基础电信网络的工具测试，授权前要先向国务院电信主管部门报告。避免你们演习搞的热火朝天，老大急的团团转。

第三十二条　国家采取措施，优先保障能源、电信等关键信息基础设施安全运行。

能源、电信行业应当采取措施，为其他行业和领域的关键信息基础设施安全运行提供重点保障。

解读：能源、电信是关基中的关基，是其他关基的基础。能力越大责任越大，其他关基兄弟就靠你们了。

第三十三条　公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫，防范打击针对和利用关键信息基础设施实施的违法犯罪活动。

解读：公安、国安加强关基的保卫，既要防范还要打击违法犯罪。

第三十四条　国家制定和完善关键信息基础设施安全标准，指导、规范关键信息基础设施安全保护工作。

解读：标准、指导、规范等都会有的，确实已经在制定中了。

第三十五条　国家采取措施，鼓励网络安全专门人才从事关键信息基础设施安全保护工作；将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。

解读：关保人才很吃香，速来！继续教育可不只是学知识，还有抵税等好处哦。

第三十六条　国家支持关键信息基础设施安全防护技术创新和产业发展，组织力量实施关键信息基础设施安全技术攻关。

解读：关基保护的技术创新、产业发展、技术攻关前景广阔，甩开膀子干起来。

第三十七条　国家加强网络安全服务机构建设和管理，制定管理要求并加强监督指导，不断提升服务机构能力水平，充分发挥其在关键信息基础设施安全保护中的作用。

解读：关基保护不能只靠盒子，服务也很重要。

第三十八条　国家加强网络安全军民融合，军地协同保护关键信息基础设施安全。

解读：军民鱼水情，技术交流会更亲。

第五章　法律责任

第三十九条　运营者有下列情形之一的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：

( 一 ) 在关键信息基础设施发生较大变化，可能影响其认定结果时未及时将相关情况报告保护工作部门的；

( 二 ) 安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的；

( 三 ) 未建立健全网络安全保护制度和责任制的；

( 四 ) 未设置专门安全管理机构的；

( 五 ) 未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的；

( 六 ) 开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的；

( 七 ) 专门安全管理机构未履行本条例第十五条规定的职责的；

( 八 ) 未对关键信息基础设施每年至少进行一次网络安全检测和风险评估，未对发现的安全问题及时整改，或者未按照保护工作部门要求报送情况的；

( 九 ) 采购网络产品和服务，未按照国家有关规定与网络产品和服务提供者签订安全保密协议的；

( 十 ) 发生合并、分立、解散等情况，未及时报告保护工作部门，或者未按照保护工作部门的要求对关键信息基础设施进行处置的。

解读：检查发现问题先警告。拒不改正的，经济上双重处罚：单位罚10-100万，个人罚1-10万。安全工作不上心，赔了夫人又折兵！

第四十条　运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，未按照有关规定向保护工作部门、公安机关报告的，由保护工作部门、公安机关依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。

解读：想自己大事化小，小事化了？经济上双重处罚：单位罚10-100万，个人罚1-10万！

第四十一条　运营者采购可能影响国家安全的网络产品和服务，未按照国家网络安全规定进行安全审查的，由国家网信部门等有关主管部门依据职责责令改正，处采购金额1倍以上10倍以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。

解读：同《网络安全审查办法》及《网络安全法》一致，不报备并通过审查就采购的，单位罚采购金额的1-10倍，个人（主管及直接责任人）分别罚1-10万。

第四十二条　运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的，由有关主管部门责令改正；拒不改正的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节严重的，依法追究相应法律责任。

解读：不配合检查的，先责令改正。不改的单位罚5-50万，个人罚1-10万。情节严重的还要追究相应法律责任。

第四十三条　实施非法侵入、干扰、破坏关键信息基础设施，危害其安全的活动尚不构成犯罪的，依照《中华人民共和国网络安全法》有关规定，由公安机关没收违法所得，处5日以下拘留，可以并处5万元以上50万元以下罚款；情节较重的，处5日以上15日以下拘留，可以并处10万元以上100万元以下罚款。

单位有前款行为的，由公安机关没收违法所得，处10万元以上100万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反本条例第五条第二款和第三十一条规定，受到治安管理处罚的人员，5年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

解读：个人干坏事的，不仅拘留、罚款，还可能会判刑，关键是以后在这行就混不下去了。单位干坏事的，法人、实际控制人、技术总监、技术员等都跑不了。

第四十四条　网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行关键信息基础设施安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊的，依法对直接负责的主管人员和其他直接责任人员给予处分。

解读：给监管单位的人员敲敲警钟。责任担起来，活干起来，歪心思不要动，真正的为关基服务，为人民服务。

第四十五条　公安机关、保护工作部门和其他有关部门在开展关键信息基础设施网络安全检查工作中收取费用，或者要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务的，由其上级机关责令改正，退还收取的费用；情节严重的，依法对直接负责的主管人员和其他直接责任人员给予处分。

解读：想发财就别当官，想赚钱去下海。吃拿卡要使不得，强买强卖更不行。

第四十六条　网信部门、公安机关、保护工作部门等有关部门、网络安全服务机构及其工作人员将在关键信息基础设施安全保护工作中获取的信息用于其他用途，或者泄露、出售、非法向他人提供的，依法对直接负责的主管人员和其他直接责任人员给予处分。

解读：关基信息安全出问题，从下到上都要处分。同《网络安全法》第七十三条。

第四十七条　关键信息基础设施发生重大和特别重大网络安全事件，经调查确定为责任事故的，除应当查明运营者责任并依法予以追究外，还应查明相关网络安全服务机构及有关部门的责任，对有失职、渎职及其他违法行为的，依法追究责任。

解读：关基单位出事不仅是运营者的问题，服务机构、监管单位等都要过堂。选择服务质量过硬的服务机构（天帷信息）是最优策略，你好，我好，大家好！

第四十八条　电子政务关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的，依照《中华人民共和国网络安全法》有关规定予以处理。

解读：对于电子政务方面的关基运营者不履行网络安全保护义务的，按《网络安全法》处理。

如：《网络安全法》第七十二条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。

第四十九条　违反本条例规定，给他人造成损害的，依法承担民事责任。

违反本条例规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

解读：针对关基干坏事的，根据危害大小，可能会承担民事责任、治安管理处罚和刑事责任。

第六章　附则

第五十条　存储、处理涉及国家秘密信息的关键信息基础设施的安全保护，还应当遵守保密法律、行政法规的规定。

关键信息基础设施中的密码使用和管理，还应当遵守相关法律、行政法规的规定。

解读：关基单位的合规审计部有的忙了。《网络安全法》、《保密法》、《密码法》、《数据安全法》等法律法规都得学，要不然合规工作做不好。可以考虑采购第三方服务（天帷信息），让专业的人干专业的事。

第五十一条　本条例自2021年9月1日起施行。

解读：时间紧，任务重！