第十九条国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。

国家行业主管或监管部门按照关键信息基础设施识别指南，组织识别本行业、本领域的关键信息基础设施，并按程序报送识别结果。

关键信息基础设施识别认定过程中，应当充分发挥有关专家作用，提高关键信息基础设施识别认定的准确性、合理性和科学性。

第二十条新建、停运关键信息基础设施，或关键信息基础设施发生重大变化的，运营者应当及时将相关情况报告国家行业主管或监管部门。

国家行业主管或监管部门应当根据运营者报告的情况及时进行识别调整，并按程序报送调整情况。

第四章运营者安全保护

第二十一条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

第二十二条运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人，负责建立健全网络安全责任制并组织落实，对本单位关键信息基础设施安全保护工作全面负责。

第二十三条运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障关键信息基础设施免受干扰、破坏或者未经授权的访问，防止网络数据泄漏或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，严格身份认证和权限管理；

（二）采取技术措施，防范计算机病毒和网络攻击、网络侵入等危害网络安全行为；

（三）采取技术措施，监测、记录网络运行状态、网络安全事件，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密认证等措施。

第二十四条除本条例第二十三条外，运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求，履行下列安全保护义务：

（一）设置专门网络安全管理机构和网络安全管理负责人，并对该负责人和关键岗位人员进行安全背景审查；

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

（三）对重要系统和数据库进行容灾备份，及时对系统漏洞等安全风险采取补救措施；

（四）制定网络安全事件应急预案并定期进行演练；

（五）法律、行政法规规定的其他义务。

第二十五条运营者网络安全管理负责人履行下列职责：

（一）组织制定网络安全规章制度、操作规程并监督执行；

（二）组织对关键岗位人员的技能考核；

（三）组织制定并实施本单位网络安全教育和培训计划；

（四）组织开展网络安全检查和应急演练，应对处置网络安全事件；

（五）按规定向国家有关部门报告网络安全重要事项、事件。

第二十六条运营者网络安全关键岗位专业技术人员实行执证上岗制度。

执证上岗具体规定由国务院人力资源社会保障部门会同国家网信部门等部门制定。

第二十七条运营者应当组织从业人员网络安全教育培训，每人每年教育培训时长不得少于1个工作日，关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。

第二十八条运营者应当建立健全关键信息基础设施安全检测评估制度，关键信息基础设施上线运行前或者发生重大变化时应当进行安全检测评估。

运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行一次检测评估，对发现的问题及时进行整改，并将有关情况报国家行业主管或监管部门。

第二十九条运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照个人信息和重要数据出境安全评估办法进行评估；法律、行政法规另有规定的，依照其规定。

第五章产品和服务安全

第三十条运营者采购、使用的网络关键设备、网络安全专用产品，应当符合法律、行政法规的规定和相关国家标准的强制性要求。

第三十一条运营者采购网络产品和服务，可能影响国家安全的，应当按照网络产品和服务安全审查办法的要求，通过网络安全审查，并与提供者签订安全保密协议。

第三十二条运营者应当对外包开发的系统、软件，接受捐赠的网络产品，在其上线应用前进行安全检测。

第三十三条运营者发现使用的网络产品、服务存在安全缺陷、漏洞等风险的，应当及时采取措施消除风险隐患，涉及重大风险的应当按规定向有关部门报告。

第三十四条关键信息基础设施的运行维护应当在境内实施。因业务需要，确需进行境外远程维护的，应事先报国家行业主管或监管部门和国务院公安部门。

第三十五条面向关键信息基础设施开展安全检测评估，发布系统漏洞、计算机病毒、网络攻击等安全威胁信息，提供云计算、信息技术外包等服务的机构，应当符合有关要求。

具体要求由国家网信部门会同国务院有关部门制定。