问题1. 关键信息基础设施包括哪些？

《条例》规定，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

各类大型互联网平台不但拥有海量用户，且支撑了经济社会很多基础功能的运转，可能会有一批大型互联网平台被列为关键信息基础设施。

问题2. 国家各部门的职责分工是什么?

《条例》第三条规定在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作；国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

问题3.各部门将如何开展工作?

一、制定关键信息基础设施安全规划，明确保护目标、基本要求、工作任务、具体措施。

二、建立健全网络安全监测预警制度，及时掌握关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作。

三、建立健全网络安全事件应急预案，定期组织应急演练。

四、指导运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助。

五、定期组织开展网络安全检查检测，指导监督运营者及时整改安全隐患、完善安全措施。

问题4.关键信息基础设施运营者有哪些职责?

一、建立健全网络安全保护制度和责任制，实行“一把手负责制”，明确运营者主要负责人负总责，保障人财物投入。

二、设置专门安全管理机构，履行安全保护职责，参与本单位与网络安全和信息化有关的决策，并对机构负责人和关键岗位人员进行安全背景审查。

三、对关键信息基础设施每年进行网络安全检测和风险评估，及时整改问题并按要求向保护工作部门报送情况。

四、关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，按规定向保护工作部门、公安机关报告。

五、优先采购安全可信的网络产品和服务，并与提供者签订安全保密协议；可能影响国家安全的，应当按规定通过安全审查。

问题5.关键信息基础设施运营者实施关键信息基础设施保护主要依据哪些标准？

一、《信息安全技术关键信息基础设施安全保护要求》：原则性要求，侧重于安全保护的基本措施、目标效果

二、《信息安全技术关键信息基础设施安全控制措施》：对《保护要求》作了充分展开，规定了达到目标效果的具体实现方式

三、《关键信息基础设施安全检查评估指南》

四、《关键信息基础设施边界确定方法》

五、《关键信息基础设施网络安全应急体系框架》

六、《关键信息基础设施安全防护能力评价方法》

七、《关键信息基础设施信息技术产品供应链安全要求》

问题6. 国家各部门对关键信息基础设施运营者有哪些保障和支持？

一、明确建立网络安全信息共享机制，并规定工作中获取的信息只能用于维护网络安全，不得泄露、出售或者非法向他人提供。

二、对国家有关部门开展安全检查作出规定，要求避免不必要的检查和交叉重复检查，检查不得收费，不得要求被检查单位购买指定产品和服务；同时规定任何个人和组织未经授权不得对关键信息基础设施进行探测测试等活动。

三、规定国家网信部门和国务院电信主管部门、公安部门等根据保护工作部门需要，提供技术支持和协助。

四、明确国家对能源、电信等关键信息基础设施安全运行实施优先保障。

五、规定公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫，防范打击针对和利用关键信息基础设施实施的违法犯罪活动。

六、明确国家出台安全标准，指导规范关键信息基础设施安全保护工作。

问题7. 关于漏洞探测、渗透性测试有哪些规定？

一、明确任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全。

二、规定未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。

三、在法律责任章节中专门规定了相应罚则。

问题8. 关于数据出境有什么规定？

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定。《中华人民共和国网络安全法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

问题9. 关键信息基础设施运营者应注意哪些事项？

10条红线：

（一）在关键信息基础设施发生较大变化，可能影响其认定结果时未及时将相关情况报告保护工作部门的；

（二）安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的；

（三）未建立健全网络安全保护制度和责任制的；

（四）未设置专门安全管理机构的；

（五）未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的；

（六）开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的；

（七）专门安全管理机构未履行本条例第十五条规定的职责的；

（八）未对关键信息基础设施每年至少进行一次网络安全检测和风险评估，未对发现的安全问题及时整改，或者未按照保护工作部门要求报送情况的；

（九）采购网络产品和服务，未按照国家有关规定与网络产品和服务提供者签订安全保密协议的；

（十）发生合并、分立、解散等情况，未及时报告保护工作部门，或者未按照保护工作部门的要求对关键信息基础设施进行处置的。

运营者有以上情形之一的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。