《关键信息基础设施安全保护条例》怎么学？看这里→

2003年，中办发27号文中首次提出我们要对基础网络和重要系统的安全进行重点保障。

2014年2月，中央网络安全和信息化领导小组第一次会议，习近平总书记指示，抓紧制定国家关键信息基础设施保护等方面的专项法规。在2016年11月7日通过的《中华人民共和国网络安全法》（以下简称《网络安全法》）中提出在网络安全等级保护制度的基础上对关键信息基础设施实行重点保护。

2021年4月27日，国务院第133次常务会议通过《条例》明确了关键信息基础设施安全保护涉及的范围，管理监督的组织机构，运营者的职责等内容，并于2021年9月1日正式施行。

《网络安全法》作为关键信息基础设施安全保护的上位法，为关键信息基础设施保护工作提供了指导性文件，同时《条例》也是《网络安全审查办法》的重要依据。

《条例》正式发布稿在《网络安全法》的基础上，进一步明确“国防科技工业”也属于关键信息基础设施的行业和领域。其对象是一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

《条例》中明确规定，国家网信部门作为统筹协调方、公安部门作为指导监管方，而电信主管部门则要履行保护和监督管理的工作，省级人民政府的有关部门要依据各自的职责，负责安全保护和监督管理。

根据《网络安全法》确立的框架下，进一步压实各方责任，坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。

《条例》共分为六章五十一条，对关键信息基础设施安全保护作出了一系列具体规定，包括总则（第一条-第七条）、关键信息基础设施认定（第八条-第十一条）、运营者责任义务（第十二条-第二十一条）、保障和促进（第二十二条-第三十八条）、法律责任（第三十九条-第四十九条）、附则（第五十条-第五十一条），为关键信息基础设施安全保护工作的具体落实指明了方向。

《条例》正式发布明确了关键信息基础设施运营者应关注的内容：

首先，《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律。在实行网络安全相关工作范畴内此法都将是基础依据。而制定《条例》的依据也是《网络安全法》。由于关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，在《网络安全法》中提出在网络安全等级保护制度的基础上对关键信息基础设施实行重点保护。

其次，在《条例》的第六章附则中，明确说明关键信息基础设施中的密码使用和管理，应满足相关法律、行政法规，因此，在涉及密码使用时应满足《中华人民共和国密码法》相关要求。

第三，《中华人民共和国数据安全法》作为《网络安全法》的配套法律，关键信息基础设施保护中应关注重要数据以及个人信息等。

第四，关键信息基础设施在国家网络空间安全中具有重要战略地位，为确保关键信息基础设施供应链安全，关键信息基础设施运营者应遵循《网络安全审查办法》要求，选择满足其防护要求的产品及服务。

一些特殊情况，如存储、处理涉及国家秘密信息的关键信息基础设施保护还应当遵守相关的保密要求；重要行业的关键信息基础设施应满足行业内的相关行政法规的要求。

《条例》中明确关键信息基础设施的范围，其首要环节是认定。保护工作部门需要确定认定规则，并依据认定规则开展认定工作。

第一，关键信息基础设施认定的责任部门为关键信息基础设施安全保护工作的部门，在《条例》的第二章第八条中定义，重要行业和领域的主管部门、监督管理部门为保护工作部门。也就是说关键信息基础设施认定主要由保护工作部门进行。

第二，对保护工作部门的具体职责进行说明，要求保护工作部门制定本行业、本领域的关键信息基础设施认定规则，依据认定规则进行关键信息基础设施识别认定，并将认定结果通知运营者和报国务院公安部门备案。并明确制定认定规则可考虑系统对于行业的重要程度、系统破坏带来的危害、最后就是系统对其他行业和领域的影响。

第三，明确认定结果是需要进行长期维护的，当关键信息基础设施发生较大变化时，运营者要主动上报变化情况，保护工作部门则应自收到报告起3个月内完成重新认定，并更新在国务院公安部门的备案情况。

第五章为《条例》的执行提供了责任保障。依照《网络安全法》有关规定，延续“谁主管、谁负责”的工作原则进行落实执行，在系统生命周期各阶段明确责任部门及安全职责。

法律责任部分细化了安全保护全过程中各个环节的职责和违反相应《条例》的具体处罚措施。对关键信息基础设施相关人员（运营者、主管人员、监管部门、保护部门、服务机构、个人）可能触发的违法违规行为进行了具体说明，并对相应的行为给出了具体的处罚措施（罚款、追究法律责任、拘留、治安管理处罚、刑事处罚）。

7.1 对运营者、主管责任人的相关责任约束

在安全事故发生前，运营者应当对关键信息基础设施的安全保护措施提前进行规划建设，包括每年至少一次检查、重大变化及时报告、采购安全产品或服务应进行安全审查以及配合管理部门的安全检查等，拒不改正或导致安全后果的将处罚金甚至追究法律责任。

对于安全事故发生后，运营者未报告相关部门的，也会处以相应的罚金。

7.2 对个人的相关责任约束

个人或组织实施非法侵入、干扰、破坏关键信息基础设施，危害其安全活动的，根据其造成的危害情节，依照《网络安全法》，没收违法所得，处15日以下拘留，并处相应的罚金。

对受到治安管理处罚的人员，5年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

7.3 对监管、保护、服务等工作人员的相关责任约束

网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行相关职责或者玩忽职守、滥用职权、徇私舞弊的、亦或者在检查过程中收取费用或变相收取费用的、以及泄露、出售、非法向他人提供相关工作信息的、或者发生重大责任事故的，会对相关监管、保护、服务人员给予处分，严重者会追究法律责任。

《条例》的正式发布引发了网络安全行业的强烈关注，《条例》提出关键信息基础设施安全保护的具体要求，规定了对于关键信息基础设施安全保护的适用范围、工作原则以及对运营者的处罚原则，明确了各部门对于关键信息基础设施安全保护的责任和义务，以及保障和促进措施，确定了关键信息基础设施的定义和认定流程等内容。为关键信息基础设施安全保护工作提供有力法治保障，使得关键信息基础设施安全保护工作的开展变得有章可循、有据可依，《条例》将是关键信息基础设施安全保护工作开展最为重要的指导文件之一。