第二節(jié)　關鍵信息基礎設施的運行安全

第三十一條　國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系。

第三十二條　按照國務院規(guī)定的職責分工，負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業(yè)、本領域的關鍵信息基礎設施安全規(guī)劃，指導和監(jiān)督關鍵信息基礎設施運行安全保護工作。

第三十三條　建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并保證安全技術措施同步規(guī)劃、同步建設、同步使用。

第三十四條　除本法第二十一條的規(guī)定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：

（一）設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查；

（二）定期對從業(yè)人員進行網絡安全教育、技術培訓和技能考核；

（三）對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份；

（四）制定網絡安全事件應急預案，并定期進行演練；

（五）法律、行政法規(guī)規(guī)定的其他義務。

第三十五條　關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。

第三十六條　關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。

第三十七條　關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據(jù)應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

第三十八條　關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

第三十九條　國家網信部門應當統(tǒng)籌協(xié)調有關部門對關鍵信息基礎設施的安全保護采取下列措施：

（一）對關鍵信息基礎設施的安全風險進行抽查檢測，提出改進措施，必要時可以委托網絡安全服務機構對網絡存在的安全風險進行檢測評估；

（二）定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練，提高應對網絡安全事件的水平和協(xié)同配合能力；

（三）促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享；

（四）對網絡安全事件的應急處置與網絡功能的恢復等，提供技術支持和協(xié)助。