国务院第745号令，自2021年9月1日实施

为了保障关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络安全》，制定本条例

概念

管理部门

原则

一、指导思想、基本原则和工作目标

二、深入贯彻实施国家网络安全等级保护制度

三、建立并实施关键信息基础设施安全保护制度

四、加强网络安保护工作协作配合

五、加强网络安全工作各项保障

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

将多个资源和过程联系在一起，并根据服务协议或者其他采购协议建立连续供应关系的组织系列

组织的一个或者多个相互关联的业务构成的关键业务流程

以关键业务为核心的整体防控，构建安全防空体系

以风险管理为导向的动态防护

以信息共享为基础的协防联控

是保护要求基础

内容

根据分析识别的安全风险，在安全管理制度、安全管理机构、安全管理人员、安全管理通信、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施，确保设施的运行安全

为检验安全保护措施的有效性，发现网络安全风险隐患，应建立相应的监测评估制度，确定检测评估的流程及内容等，开展安全检测与风险隐患评估，分析潜在的安全风险可能引发的安全事件

建立并实施网络安全监测预警和信息通报制度，针对发生的网络安全事件或发现的网络安全威胁，提前或及时发出安全警示。监理威胁情报和信息共享机制，落实相关措施，提高主动发现攻击能力。

以应对攻击行为的监测发现为基础，主动采取收敛暴露面、捕获、溯源、干扰和阻断等措施，开展攻防演习和威胁情报工作，提升对网络威胁与攻击行为的识别、分析和主动防御能力

运营者对网络安全事件进行

关键业务和关键业务链识别分析

采用资产探测技术识别资产

对关键业务链开展安全风险分析

发生较大变化时重新识别

网络安全管理计划

首席网络安全官、专门网络安全管理机构

安全管理责任人

背景审查

安全技能考核与教育培训

安全保密协议

通信线路“一主两备”

不同系统级运营者之间安全技术防护

采用网络审计措施

鉴别与授权

入侵防范

自动化工具

安全技术措施与主体工程三同步

境内运维

运维工具管理

网络产品和服务清单

网络安全审查

合格供应方目录

来源的稳定或多样性

知识产权

源代码安全检测

网络产品和服务风险隐患处理

数据安全保护计划

数据分类分级

境内存储

重要数据和个人信息保护

容灾备份

数据安全风险评估

数据处理活动全流程保护

自行、委托网络安全服务机构、抽查检测

网络安全等级保护制度落实情况

商用密码应用安全性评估情况

供应链安全保护情况

数据安全防护情况等

每年至少进行一次安全检测评估

定期组织或参加运营者的安全检测评估

监测关键业务所涉及的系统

部署攻击监测设备

构建正向和逆向模型

关联分析

网络安全信息共享

自动化监测并报警

安全预警信息持续获取和及时通报

减少暴露面，压缩互联网出口数量

分析网络攻击意图、技术与过程

进行关联分析与还原

实网攻击演练或沙盘推演

建立内外部网络威胁情报共享机制

在国家网络安全事件应急预案框架下制定应急预案

应急预案同内外部相关计划协调

非常规时期、遭受大规模攻击时的处置流程

每年至少组织开展一次本组织的应急演练

向供应链涉及的相关内外部组织通报

恢复关键业务和信息系统

取证分析

评估恢复情况

通报安全事件及其处置情况

必要时重新开展业务、资产和风险识别工作