关键信息基础设施安全保护条例(新编版)
专家解读《关键信息基础设施安全保护条例》开启关键信息基础设施安全保护新阶段
专家解读《关键信息基础设施安全保护条例》开启关键信息基础设施安全保护新阶段2021年7月30日,《关键信息基础设施安全保护条例》(以下简称《条例》)正式公布,标志着我国网络安全保护进入了以关键信息基础设施安全保护为重点的新阶段。
作为网络安全法的重要配套立法,《条例》积极应对国内外网络安全保护的主要问题和发展趋势,为下一步加强关键信息基础设施安全保护工作提供了重要法治保障。
一、关键信息基础设施安全保护立法是各国网络安全战略重要一环(一)全球网络安全局势复杂严峻对各国关键信息基础设施安全防护提出新挑战。
近期,多国基础设施和重要信息系统遭受网络攻击,引发全球震荡,对国家安全稳定造成巨大风险。
特别是2021年,美国最大的燃油管道运营商、全球最大的肉类加工企业均因黑客攻击而停摆,导致影响国家乃至全球经济运行的基础设施受损,对全产业链产生连锁影响,也引发了全球关于加强关键信息基础设施安全保护的思考。
近期,世界主要国家和地区均强化关键基础设施安全防护。
美国不仅大幅增加关键基础设施网络安全方面的资金投入,而且提出多部强化关键基础设施网络安全、预防勒索软件攻击等方面的法案和官方指南。
欧盟也在《欧盟安全联盟战略》中将提升关键基础设施的保护和恢复能力作为未来五年网络安全工作的重中之重。
(二)世界主要国家和地区将关键基础设施立法作为网络安全立法中最为关键的环节。
美欧在关键基础设施立法方面起步较早,美国早在2001年即颁布了《2001年关键基础设施保护法》,之后相继出台《改进关键基础设施网络安全行政令》《增强联邦政府网络与关键基础设施网络安全行政令》等相关立法。
随着网络安全形势的日益严峻,美国积极调整网络安全保护战略,近期发布了《2021年临时国家安全战略方针》《2021年关于加强国家网络安全的行政命令》等相关政策。
欧盟出台了《2008年欧盟关键基础设施认定和安全评估指令》《2016年网络与信息安全指令》等多部关键基础设施保护相关立法。
关键信息基础设施安全保护条例
关键信息基础设施安全保护条例文章属性•【制定机关】国务院•【公布日期】2021.07.30•【文号】中华人民共和国国务院令第745号•【施行日期】2021.09.01•【效力等级】行政法规•【时效性】现行有效•【主题分类】公共信息网络安全监察正文中华人民共和国国务院令第745号《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过,现予公布,自2021年9月1日起施行。
总理李克强2021年7月30日关键信息基础设施安全保护条例第一章总则第一条为了保障关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》,制定本条例。
第二条本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
第三条在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。
国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
第四条关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。
第五条国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。
第六条运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
湖北省电信设施建设与保护办法-湖北省人民政府令第406号
湖北省电信设施建设与保护办法正文:----------------------------------------------------------------------------------------------------------------------------------------------------湖北省人民政府令第406号《湖北省电信设施建设与保护办法》已经2019年5月9日省政府常务会议审议通过,现予公布,自2019年7月1日起施行。
省长王晓东2019年5月11日湖北省电信设施建设与保护办法目录第一章总则第二章规划与建设第三章管理与保护第四章法律责任第五章附则第一章总则第一条为了规范基础电信设施管理,加强电信设施建设与保护,保障电信设施安全,利用先进信息技术服务经济发展和社会民生,根据《中华人民共和国电信条例》和有关法律、法规,结合本省实际,制定本办法。
第二条本省行政区域内电信设施的规划、建设、管理、保护等活动,适用本办法。
本办法所称电信设施,是指组成公用电信网的所有设施,包括通信光(电)缆、通信管道、通信杆塔、通信分线箱(盒)、通信交接箱(间)、公用电话亭、通信基站、通信机房、供电设备、配套场地和安全设施等用于实现电信功能的通信交换设备、通信传输设备、通信配套设备和设施。
第三条县级以上人民政府应当加强对电信设施建设与保护工作的领导,制定支持电信设施建设与保护的措施,加大对农村地区、贫困地区、偏远地区、少数民族地区的电信设施规划和建设,统筹解决电信设施建设与保护中的重大问题。
第四条省电信管理机构负责本省电信设施建设与保护的组织协调、监督检查工作。
县级以上人民政府规划、建设、信息化、公安、自然资源、生态环境等相关行业主管部门应当根据各自职责,做好电信设施建设与保护的相关工作。
第五条省电信管理机构应当会同省发展和改革、交通运输、广电、住房和城乡建设、电力等有关部门和单位,根据经济社会发展规划,建立交通道路、广播电视、市政设施、电力等公共基础设施与电信设施的共建共享机制。
2024年数据中心基础设施服务专项协议
20XX 专业合同封面COUNTRACT COVER甲方:XXX乙方:XXX2024年数据中心基础设施服务专项协议本合同目录一览1. 协议背景与定义1.1 背景说明1.2 术语解释2. 服务内容2.1 服务概述2.2 服务范围2.3 服务期限3. 服务费用与支付3.1 费用标准3.2 支付方式3.3 费用调整4. 服务质量保证4.1 服务指标4.2 服务响应时间4.3 服务质量评估5. 维护与支持5.1 技术支持5.2 维修服务5.3 培训服务6. 信息安全与合规6.1 数据保护6.2 网络安全6.3 合规要求7. 违约责任7.1 违约行为7.2 违约责任判定7.3 违约赔偿8. 争议解决8.1 协商解决8.2 调解解决8.3 法律途径9. 合同的生效、变更与终止9.1 生效条件9.2 合同变更9.3 合同终止10. 保密条款10.1 保密信息10.2 保密义务10.3 保密期限11. 法律适用与争议解决11.1 法律适用11.2 争议解决方式12. 其他条款12.1 通知与送达12.2 合同附件12.3 合同修订13. 合同的签署13.1 签署程序13.2 签署主体13.3 签署日期14. 附录14.1 服务项目明细14.2 技术参数要求14.3 服务等级协议(SLA)第一部分:合同如下:第一条协议背景与定义1.1 背景说明甲乙双方,为了更好地满足业务发展需求,确保数据中心基础设施的稳定运行,提升服务质量,经友好协商,就数据中心基础设施服务事项达成本专项协议。
1.2 术语解释(1)甲方:指(甲方公司名称)(2)乙方:指(乙方公司名称)(3)数据中心:指甲方提供给乙方的用于数据存储、处理和服务的场所及设备。
(4)基础设施服务:指乙方为甲方提供的数据中心设备维护、运行保障、技术支持等服务。
第二条服务内容2.1 服务概述乙方根据甲方的实际需求,为甲方提供数据中心基础设施的维护、运行保障和技术支持等服务。
4-信息安全技术 信息系统安全等级保护基本要求
ICS35.040L80中 华 人 民 共 和 国 国 家 标 准GB/T 22239—2008信息安全技术信息系统安全等级保护基本要求Information security technology —Baseline for classified protection of information system2008-06-19 发布中 华人 民 共 和 国 国 家 质 量 监 督 检 验 检 疫 总 局 中 国 国 家 标 准 化 管 理 委 员会 2008-11-01实施 发 布GB/T 22239—2008目次前言 (III)引言 (IV)信息系统安全等级保护基本要求 (1)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 (1)4 信息系统安全等级保护概述 (1)4.1 信息系统安全保护等级 (1)4.2 不同等级的安全保护能力 (1)4.3 基本技术要求和基本管理要求 (2)4.4 基本技术要求的三种类型 (2)5 第一级基本要求 (2)5.1 技术要求 (2)5.1.1 物理安全 (2)5.1.2 网络安全 (3)5.1.3 主机安全 (3)5.1.4 应用安全 (4)5.1.5 数据安全及备份恢复 (4)5.2 管理要求 (4)5.2.1 安全管理制度 (4)5.2.2 安全管理机构 (4)5.2.3 人员安全管理 (5)5.2.4 系统建设管理 (5)5.2.5 系统运维管理 (6)6 第二级基本要求 (7)6.1 技术要求 (7)6.1.1 物理安全 (7)6.1.2 网络安全 (8)6.1.3 主机安全 (9)6.1.4 应用安全 (10)6.1.5 数据安全及备份恢复 (11)6.2 管理要求 (11)6.2.1 安全管理制度 (11)6.2.2 安全管理机构 (11)6.2.3 人员安全管理 (12)6.2.4 系统建设管理 (12)6.2.5 系统运维管理 (14)7 第三级基本要求 (16)7.1 技术要求 (16)7.1.1 物理安全 (16)7.1.2 网络安全 (17)IGB/T 22239—20087.1.3 主机安全 (19)7.1.4 应用安全 (20)7.1.5 数据安全及备份恢复 (22)7.2 管理要求 (22)7.2.1 安全管理制度 (22)7.2.2 安全管理机构 (23)7.2.3 人员安全管理 (24)7.2.4 系统建设管理 (25)7.2.5 系统运维管理 (27)8 第四级基本要求 (30)8.1 技术要求 (30)8.1.1 物理安全 (30)8.1.2 网络安全 (32)8.1.3 主机安全 (33)8.1.4 应用安全 (35)8.1.5 数据安全及备份恢复 (37)8.2 管理要求 (37)8.2.1 安全管理制度 (37)8.2.2 安全管理机构 (38)8.2.3 人员安全管理 (39)8.2.4 系统建设管理 (40)8.2.5 系统运维管理 (42)9 第五级基本要求 (46)附录A (47)关于信息系统整体安全保护能力的要求 (47)附录B (49)基本安全要求的选择和使用 (49)参考文献 (51)IIGB/T 22239—2008 前言(略)IIIGB/T 22239—2008引言依据国家信息安全等级保护管理规定制定本标准。
信息化运维管理制度
竭诚为您提供优质文档/双击可除信息化运维管理制度篇一:信息系统运行维护管理制度信息系统运行维护管理制度第一章总则一、为规范信息系统的运行维护管理工作,确保信息系统的安全可靠运行,切实提高生产效率和服务质量,使信息系统更好地服务于生产运营和管理,特制订本管理办法。
二、本管理办法适用于及其分支机构的信息系统,各分支机构和各部室可根据本办法制定相应的实施细则。
三、信息系统的维护内容在生产操作层面又分为机房环境维护、计算机硬件平台维护、配套网络维护、基础软件维护、应用软件维护五部分:1.计算机硬件平台指计算机主机硬件及存储设备;2.配套网络指保证信息系统相互通信和正常运行的网络组织,包括联网所需的交换机、路由器、防火墙等网络设备和局域网内连接网络设备的网线、传输、光纤线路等。
3.基础软件指运行于计算机主机之上的操作系统、数据库软件、中间件等公共软件;4.应用软件指运行于计算机系统之上,直接提供服务或业务的专用软件;5.机房环境指保证计算机系统正常稳定运行的基础设施,包含机房建筑、电力供应、空气调节、灰尘过滤、静电防护、消防设施、网络布线、维护工具等子系统。
四、运行维护管理的基本任务:1.进行信息系统的日常运行和维护管理,实时监控系统运行状态,保证系统各类运行指标符合相关规定;2.迅速而准确地定位和排除各类故障,保证信息系统正常运行,确保所承载的各类应用和业务正常;3.进行系统安全管理,保证信息系统的运行安全和信息的完整、准确;4.在保证系统运行质量的情况下,提高维护效率,降低维护成本。
5.本办法的解释和修改权属于信息化办公室。
第二章运行维护组织架构一、运行维护组织1.信息系统的运行维护管理遵循在统一的领导下,分级管理和维护的模式。
作为信息化办公室,牵头组织实施信息系统的维护管理工作。
原则上信息系统的维护工作应逐步集中。
2.信息系统的维护管理分两个层面:管理层面和操作层面。
在管理层面,信息化办公室,负责全处范围内信息系统的维护管理和考核。
内部控制制度
内部控制制度目录1. 内部控制制度概述 (2)1.1 内部控制制度的目的 (2)1.2 内部控制制度的范围和适用性 (3)1.3 组织对内部控制制度的承诺 (4)2. 组织结构与职责 (5)2.1 高级管理层的责任 (7)2.2 中层管理人员的职责 (8)2.3 基层员工的职责 (9)3. 风险评估与管理 (10)3.1 风险识别与评估方法 (12)3.2 风险管理策略与措施 (13)3.3 风险监控与报告机制 (14)4. 信息与通信安全 (16)4.1 信息分类与保护措施 (17)4.2 通信安全规定 (18)4.3 信息技术支持与维护 (19)5. 资金与资产管理 (21)5.1 资金管理制度 (22)5.2 资产管理规定 (23)5.3 对外部供应商和合作伙伴的管理 (24)6. 运营流程与作业控制 (24)6.1 主要业务流程描述 (26)6.2 作业控制规定 (26)6.3 对关键业务环节的监督与审计 (27)7. 人力资源与招聘政策 (28)7.1 人力资源规划与配置 (29)7.2 招聘与选拔流程 (31)7.3 员工培训与发展计划 (32)8. 结果报告与持续改进 (33)8.1 结果报告要求与频率 (34)8.2 发现问题的处理与改进措施 (36)8.3 对内部控制制度的持续监控和更新 (37)9. 其他相关事项 (38)9.1 对内部控制制度的宣传和培训要求 (39)9.2 对违反内部控制制度的处罚规定 (40)1. 内部控制制度概述公司秉承“(公司核心价值观)”为了确保业务的顺利运行、公司资产的安全和财务信息的可靠性,建立了完善的内部控制制度。
该制度旨在通过明确的责任分配、流程规范、风险防控机制以及信息监督体系,有效防范和治理各种经营风险,提升公司运营效率,保障公司长远发展。
战略管理和经营决策:制定及执行公司战略、控制重大投资项目、风险评估和管理等。
财务管理和会计核算:确保财务信息的准确完整、妥善保管现金和资产、设立精细的预算控制体系等。
网络数据安全管理条例
网络数据安全管理条例文章属性•【制定机关】国务院•【公布日期】2024.09.24•【文号】国务院令第790号•【施行日期】2025.01.01•【效力等级】行政法规•【时效性】尚未生效•【主题分类】公共信息网络安全监察正文中华人民共和国国务院令第790号《网络数据安全管理条例》已经2024年8月30日国务院第40次常务会议通过,现予公布,自2025年1月1日起施行。
总理李强2024年9月24日网络数据安全管理条例第一章总则第一条为了规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律,制定本条例。
第二条在中华人民共和国境内开展网络数据处理活动及其安全监督管理,适用本条例。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,符合《中华人民共和国个人信息保护法》第三条第二款规定情形的,也适用本条例。
在中华人民共和国境外开展网络数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
第三条网络数据安全管理工作坚持中国共产党的领导,贯彻总体国家安全观,统筹促进网络数据开发利用与保障网络数据安全。
第四条国家鼓励网络数据在各行业、各领域的创新应用,加强网络数据安全防护能力建设,支持网络数据相关技术、产品、服务创新,开展网络数据安全宣传教育和人才培养,促进网络数据开发利用和产业发展。
第五条国家根据网络数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对网络数据实行分类分级保护。
第六条国家积极参与网络数据安全相关国际规则和标准的制定,促进国际交流与合作。
第七条国家支持相关行业组织按照章程,制定网络数据安全行为规范,加强行业自律,指导会员加强网络数据安全保护,提高网络数据安全保护水平,促进行业健康发展。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
( 安全管理 )单位:_________________________姓名:_________________________日期:_________________________精品文档 / Word文档 / 文字可改关键信息基础设施安全保护条例(新编版)Safety management is an important part of production management. Safety and production are inthe implementation process关键信息基础设施安全保护条例(新编版)第一章总则第一条为了保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,制定本条例。
第二条在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。
第三条关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。
第四条国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。
国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。
国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。
县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。
第五条关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
第六条关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。
第七条任何个人和组织发现危害关键信息基础设施安全的行为,有权向网信、电信、公安等部门以及行业主管或监管部门举报。
收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。
第二章支持与保障第八条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动。
第九条国家制定产业、财税、金融、人才等政策,支持关键信息基础设施安全相关的技术、产品、服务创新,推广安全可信的网络产品和服务,培养和选拔网络安全人才,提高关键信息基础设施的安全水平。
第十条国家建立和完善网络安全标准体系,利用标准指导、规范关键信息基础设施安全保护工作。
第十一条地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,加大投入,开展工作绩效考核评价。
第十二条国家鼓励政府部门、运营者、科研机构、网络安全服务机构、行业组织、网络产品和服务提供者开展关键信息基础设施安全合作。
第十三条国家行业主管或监管部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保护工作的机构和人员,编制并组织实施本行业、本领域的网络安全规划,建立健全工作经费保障机制并督促落实。
第十四条能源、电信、交通等行业应当为关键信息基础设施网络安全事件应急处置与网络功能恢复提供电力供应、网络通信、交通运输等方面的重点保障和支持。
第十五条公安机关等部门依法侦查打击针对和利用关键信息基础设施实施的违法犯罪活动。
第十六条任何个人和组织不得从事下列危害关键信息基础设施的活动和行为:(一)攻击、侵入、干扰、破坏关键信息基础设施;(二)非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施安全的技术资料等信息;(三)未经授权对关键信息基础设施开展渗透性、攻击性扫描探测;(四)明知他人从事危害关键信息基础设施安全的活动,仍然为其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助;(五)其他危害关键信息基础设施的活动和行为。
第十七条国家立足开放环境维护网络安全,积极开展关键信息基础设施安全领域的国际交流与合作。
第三章关键信息基础设施范围第十八条下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;(四)广播电台、电视台、通讯社等新闻单位;(五)其他重点单位。
第十九条国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。
国家行业主管或监管部门按照关键信息基础设施识别指南,组织识别本行业、本领域的关键信息基础设施,并按程序报送识别结果。
关键信息基础设施识别认定过程中,应当充分发挥有关专家作用,提高关键信息基础设施识别认定的准确性、合理性和科学性。
第二十条新建、停运关键信息基础设施,或关键信息基础设施发生重大变化的,运营者应当及时将相关情况报告国家行业主管或监管部门。
国家行业主管或监管部门应当根据运营者报告的情况及时进行识别调整,并按程序报送调整情况。
第四章运营者安全保护第二十一条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第二十二条运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人,负责建立健全网络安全责任制并组织落实,对本单位关键信息基础设施安全保护工作全面负责。
第二十三条运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障关键信息基础设施免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,严格身份认证和权限管理;(二)采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为;(三)采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密认证等措施。
第二十四条除本条例第二十三条外,运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求,履行下列安全保护义务:(一)设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份,及时对系统漏洞等安全风险采取补救措施;(四)制定网络安全事件应急预案并定期进行演练;(五)法律、行政法规规定的其他义务。
第二十五条运营者网络安全管理负责人履行下列职责:(一)组织制定网络安全规章制度、操作规程并监督执行;(二)组织对关键岗位人员的技能考核;(三)组织制定并实施本单位网络安全教育和培训计划;(四)组织开展网络安全检查和应急演练,应对处置网络安全事件;(五)按规定向国家有关部门报告网络安全重要事项、事件。
第二十六条运营者网络安全关键岗位专业技术人员实行执证上岗制度。
执证上岗具体规定由国务院人力资源社会保障部门会同国家网信部门等部门制定。
第二十七条运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于1个工作日,关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。
第二十八条运营者应当建立健全关键信息基础设施安全检测评估制度,关键信息基础设施上线运行前或者发生重大变化时应当进行安全检测评估。
运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行一次检测评估,对发现的问题及时进行整改,并将有关情况报国家行业主管或监管部门。
第二十九条运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。
因业务需要,确需向境外提供的,应当按照个人信息和重要数据出境安全评估办法进行评估;法律、行政法规另有规定的,依照其规定。
第五章产品和服务安全第三十条运营者采购、使用的网络关键设备、网络安全专用产品,应当符合法律、行政法规的规定和相关国家标准的强制性要求。
第三十一条运营者采购网络产品和服务,可能影响国家安全的,应当按照网络产品和服务安全审查办法的要求,通过网络安全审查,并与提供者签订安全保密协议。
第三十二条运营者应当对外包开发的系统、软件,接受捐赠的网络产品,在其上线应用前进行安全检测。
第三十三条运营者发现使用的网络产品、服务存在安全缺陷、漏洞等风险的,应当及时采取措施消除风险隐患,涉及重大风险的应当按规定向有关部门报告。
第三十四条关键信息基础设施的运行维护应当在境内实施。
因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和国务院公安部门。
第三十五条面向关键信息基础设施开展安全检测评估,发布系统漏洞、计算机病毒、网络攻击等安全威胁信息,提供云计算、信息技术外包等服务的机构,应当符合有关要求。
具体要求由国家网信部门会同国务院有关部门制定。
第六章监测预警、应急处置和检测评估第三十六条国家网信部门统筹建立关键信息基础设施网络安全监测预警体系和信息通报制度,组织指导有关机构开展网络安全信息汇总、分析研判和通报工作,按照规定统一发布网络安全监测预警信息。
第三十七条国家行业主管或监管部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度,及时掌握本行业、本领域关键信息基础设施运行状况和安全风险,向有关运营者通报安全风险和相关工作信息。
国家行业主管或监管部门应当组织对安全监测信息进行研判,认为需要立即采取防范应对措施的,应当及时向有关运营者发布预警信息和应急防范措施建议,并按照国家网络安全事件应急预案的要求向有关部门报告。
第三十八条国家网信部门统筹协调有关部门、运营者以及有关研究机构、网络安全服务机构建立关键信息基础设施网络安全信息共享机制,促进网络安全信息共享。
第三十九条国家网信部门按照国家网络安全事件应急预案的要求,统筹有关部门建立健全关键信息基础设施网络安全应急协作机制,加强网络安全应急力量建设,指导协调有关部门组织跨行业、跨地域网络安全应急演练。
国家行业主管或监管部门应当组织制定本行业、本领域的网络安全事件应急预案,并定期组织演练,提升网络安全事件应对和灾难恢复能力。
发生重大网络安全事件或接到网信部门的预警信息后,应立即启动应急预案组织应对,并及时报告有关情况。
第四十条国家行业主管或监管部门应当定期组织对本行业、本领域关键信息基础设施的安全风险以及运营者履行安全保护义务的情况进行抽查检测,提出改进措施,指导、督促运营者及时整改检测评估中发现的问题。