網路安全法規定關鍵信息設施

① 中華人民共和國網路安全法規定關鍵信息基礎設施的運營者在中華人民共和國境內

《中華人民共和國網路安全法》規定關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。

《中華人民共和國網路安全法》第三十七條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

第三十八條關鍵信息基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估，並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

第三十九條國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護採取下列措施：

（一）對關鍵信息基礎設施的安全風險進行抽查檢測，提出改進措施，必要時可以委託網路安全服務機構對網路存在的安全風險進行檢測評估；

（二）定期組織關鍵信息基礎設施的運營者進行網路安全應急演練，提高應對網路安全事件的水平和協同配合能力；

（三）促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網路安全服務機構等之間的網路安全信息共享；

（四）對網路安全事件的應急處置與網路功能的恢復等，提供技術支持和協助。

② 中華人民共和國網路安全法規定關鍵信息基礎設施的運營者采購網路產品和服務可

《中華人民共和國網路安全法》規定關關鍵信息基礎設施的運營者采購網路產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。

《中華人民共和國網路安全法》第三十五條關鍵信息基礎設施的運營者采購網路產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。

第三十六條關鍵信息基礎設施的運營者采購網路產品和服務，應當按照規定與提供者簽訂安全保密協議，明確安全和保密義務與責任。

第三十七條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

③ 《網路安全法》系列解讀（二）——關鍵信息基礎設施

《網路安全法》系列解讀（二）——關鍵信息基礎設施詳解

2017年實施的《網路安全法》對關鍵信息基礎設施（CII）提供者設定了額外責任，強調原則性規定與具體執行的結合。國家互聯網信息辦公室隨後發布的《安全保護條例》和中央網信辦的《操作指南》細化了相關規定。CII主要涉及通信、能源、交通等重要行業，以及國防科工、金融等領域的關鍵信息網路和系統。

識別CII的關鍵在於符合「特定行業+嚴重後果」的標准，具體行業包括但不限於政府機關、能源、通信、金融等，以及提供雲計算、大數據服務的單位。在《操作指南》中，企業可通過梳理關鍵業務、支撐業務的信息系統，以及量化標准來判斷是否屬於CII。

關鍵信息基礎設施運營者（CIIO）的安全保護義務繁重，包括報告新建或重大變化、確保穩定運行、制定安全制度、防範攻擊、保存網路日誌、數據保護、設立專門機構等。《安全保護條例》草案進一步強化了這些義務，並明確了法律責任，如違規將面臨罰款和停業等處罰。

企業尤其是CII運營者應密切關注《安全保護條例》的最新進展，及時調整和優化網路安全策略，確保遵守相關法規，以維護關鍵信息基礎設施的安全。

——萬方、余凱，智善法律新媒體特約作者，湖北得偉君尚律師事務所律師

④ 關鍵信息基礎設施的具體范圍和安全保護辦法由什麼制定

關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

法律依據

《中華人民共和國網路安全法》第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害

國家安全、國計民生、公共利益的關鍵信息基礎設施，在網路安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。

第三十二條按照國務院規定的職責分工，負責關鍵信息基礎設施安全保護工作的部門分別編制並組織實施本行業、本領域的關鍵信息基礎設施安全規劃，指導和監督關鍵信息基礎設施運行安全保護工作。