《关键信息基础设施保护条例》中涉及网络安全服务机构的条款

《关键信息基础设施保护条例》中涉及网络安全服务机构的条款

时间:2021-08-17 作者:安帝科技

编者按
《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过,现予公布,自2021年9月1日起施行。

总理 李克强
2021年7月30日

李克强签署国务院令,公布《关键信息基础设施安全保护条例》。国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。

《关键信息基础设施保护条例》中涉及网络安全服务机构的条款

第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。注:网络安全服务机构可配合运营者对“关基”进行网络安全检测和风险评估。

第二十三条 国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。
注:网络安全服务机构与监管部门、运营者之间共享威胁信息。

第三十条 网信部门、公安机关、保护工作部门等有关部门,网络安全服务机构及其工作人员对于在关键信息基础设施安全保护工作中获取的信息,只能用于维护网络安全,并严格按照有关法律、行政法规的要求确保信息安全,不得泄露、出售或者非法向他人提供。
注:网络安全服务机构及其工作人员在关基保护过程中获取掌握的信息,要确保安全不泄露、出售或向他人提供。数据安全的义务。

第三十七条 国家加强网络安全服务机构建设和管理,制定管理要求并加强监督指导,不断提升服务机构能力水平,充分发挥其在关键信息基础设施安全保护中的作用。
注:网络安全服务机构受国家有关部门的指导和监督,应不断提升能力水平,发挥关基保护的关键作用。

第四十六条 网信部门、公安机关、保护工作部门等有关部门、网络安全服务机构及其工作人员将在关键信息基础设施安全保护工作中获取的信息用于其他用途,或者泄露、出售、非法向他人提供的,依法对直接负责的主管人员和其他直接责任人员给予处分。
注:网络安全服务机构在关基保护过程所获取的信息用于其它用途,直接负责的主管人员和直接责任人要受处分。引申理解为网络安全服务机构的负责人也要担责受罚。

第四十七条 关键信息基础设施发生重大和特别重大网络安全事件,经调查确定为责任事故的,除应当查明运营者责任并依法予以追究外,还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。
注:网络安全服务机构要承担关基发生重大和特别重大网络安全事件后的连带责任。这对网络安全服务机构是一种严厉的约束和警示。