网络安全法规定关键信息设施

① 中华人民共和国网络安全法规定关键信息基础设施的运营者在中华人民共和国境内

《中华人民共和国网络安全法》规定关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。

《中华人民共和国网络安全法》第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：

（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；

（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；

（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；

（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。

② 中华人民共和国网络安全法规定关键信息基础设施的运营者采购网络产品和服务可

《中华人民共和国网络安全法》规定关关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

《中华人民共和国网络安全法》第三十五条关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

第三十六条关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。

第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

③ 《网络安全法》系列解读（二）——关键信息基础设施

《网络安全法》系列解读（二）——关键信息基础设施详解

2017年实施的《网络安全法》对关键信息基础设施（CII）提供者设定了额外责任，强调原则性规定与具体执行的结合。国家互联网信息办公室随后发布的《安全保护条例》和中央网信办的《操作指南》细化了相关规定。CII主要涉及通信、能源、交通等重要行业，以及国防科工、金融等领域的关键信息网络和系统。

识别CII的关键在于符合“特定行业+严重后果”的标准，具体行业包括但不限于政府机关、能源、通信、金融等，以及提供云计算、大数据服务的单位。在《操作指南》中，企业可通过梳理关键业务、支撑业务的信息系统，以及量化标准来判断是否属于CII。

关键信息基础设施运营者（CIIO）的安全保护义务繁重，包括报告新建或重大变化、确保稳定运行、制定安全制度、防范攻击、保存网络日志、数据保护、设立专门机构等。《安全保护条例》草案进一步强化了这些义务，并明确了法律责任，如违规将面临罚款和停业等处罚。

企业尤其是CII运营者应密切关注《安全保护条例》的最新进展，及时调整和优化网络安全策略，确保遵守相关法规，以维护关键信息基础设施的安全。

——万方、余凯，智善法律新媒体特约作者，湖北得伟君尚律师事务所律师

④ 关键信息基础设施的具体范围和安全保护办法由什么制定

关键信息基础设施的具体范围和安全保护办法由国务院制定。

法律依据

《中华人民共和国网络安全法》第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害

国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

第三十二条按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。