Artículo 1 Con el fin de garantizar la seguridad de la infraestructura de información crítica de la región autónoma y mantener la seguridad de la red, estas regulaciones se formulan de acuerdo con la "Ley de Ciberseguridad de la República Popular China", el "Reglamento de Protección de Seguridad de la Infraestructura de Información Crítica" de la Consejo de Estado y las leyes y reglamentos pertinentes, y a la luz de las condiciones reales de la región autónoma. Artículo 2 El presente reglamento se aplica a la protección, supervisión y gestión de la seguridad de las infraestructuras de información crítica dentro del ámbito administrativo de la comunidad autónoma. Artículo 3 La protección de la seguridad, la supervisión y la gestión de la infraestructura de información crítica en la región autónoma se adherirán al liderazgo del Partido y seguirán los principios de coordinación integral, división del trabajo, protección legal y protección integral. Artículo 4 El Comité de Ciberseguridad e Informatización de la Región Autónoma dirigirá uniformemente la protección de la seguridad de la infraestructura de información crítica en la región, y los Comités de Ciberseguridad e Informatización del estado (ciudad, prefectura) y del condado (ciudad, distrito) dirigirán la infraestructura de información crítica dentro de sus respectivas regiones administrativas. Artículo 5 La Administración del Ciberespacio de China, como oficina del Comité de Informatización y Ciberseguridad, es responsable de coordinar las comunicaciones, la seguridad pública, la seguridad nacional, la industria y la informatización, la confidencialidad, la gestión de contraseñas y otros departamentos relacionados. Establecer y mejorar el mecanismo de protección de seguridad de la infraestructura de información crítica, establecer y mejorar el sistema de protección de seguridad de la infraestructura de información crítica y mejorar la capacidad de monitorear, prevenir y abordar riesgos de seguridad. Artículo 6 Los órganos de seguridad pública son responsables de orientar y supervisar la protección de la seguridad de la infraestructura de información crítica. Los departamentos de comunicaciones, seguridad nacional, confidencialidad, gestión de criptografía y otros departamentos serán responsables de la protección de la seguridad, la supervisión y la gestión de la infraestructura de información crítica dentro del alcance de sus respectivas responsabilidades de acuerdo con las leyes y reglamentos pertinentes. Artículo 7 Los departamentos competentes y los departamentos de supervisión y gestión de industrias y campos importantes que involucran infraestructura de información crítica (en lo sucesivo, departamentos de protección) guiarán y supervisarán el trabajo de protección de seguridad de la infraestructura de información crítica en sus propias industrias y campos. Artículo 8 Los operadores de infraestructura de información crítica (en adelante, operadores) garantizarán el funcionamiento seguro y estable de la infraestructura de información crítica de conformidad con las leyes y reglamentos pertinentes, las disposiciones de este Reglamento y los requisitos de las normas pertinentes. Artículo 9 La protección de la infraestructura de información crítica estará sujeta a un sistema de responsabilidad del departamento y a un sistema de responsabilidad del operador, y se incluirá en la evaluación anual del sistema de responsabilidad del trabajo de seguridad de la red. Artículo 10 La protección de la seguridad de la infraestructura de información crítica implementará un sistema de protección del nivel de seguridad de la red, un sistema de protección de claves y un sistema de revisión de seguridad, monitoreará, defenderá y responderá a los riesgos y amenazas de seguridad de la red de países nacionales y extranjeros, y protegerá la infraestructura de información crítica. de ataques, intrusiones, interferencias y destrucción. Artículo 11: Apoyar a los colegios y universidades, escuelas vocacionales y otras instituciones y empresas de educación y capacitación para que lleven a cabo educación y capacitación relacionadas con la seguridad de la red; tomar medidas para atraer y alentar a los profesionales de la seguridad de la red a participar en la protección de la seguridad de la infraestructura de información crítica; Se incorpora al sistema de educación continua la capacitación en gestión de seguridad de los operadores y la capacitación del personal técnico. Artículo 12: Apoyar la construcción y el desarrollo de instituciones de investigación de seguridad de redes e instituciones de servicios de seguridad de redes, y alentar a las instituciones de servicios de seguridad de redes a proporcionar planificación y diseño, construcción e implementación, operación y mantenimiento, consultoría de seguridad, protección de seguridad, pruebas de seguridad y riesgos. evaluación de la infraestructura de información crítica y respuesta a emergencias y otros servicios técnicos. Artículo 13 Las agencias de servicios de ciberseguridad proporcionarán servicios de evaluación de riesgos objetivos e imparciales de acuerdo con las leyes, reglamentos y estándares industriales pertinentes, y asumirán las responsabilidades legales correspondientes por los informes de evaluación de riesgos de ciberseguridad que emitan. Artículo 14 El departamento de ciberseguridad e informatización trabajará con los órganos de seguridad pública para fortalecer la construcción y gestión de agencias de servicios de seguridad de redes, mejorar las capacidades de las agencias de servicios de seguridad de redes y desempeñar su papel en la protección de la seguridad de la infraestructura de información crítica. Artículo 15 La región autónoma mejorará el mecanismo de trabajo para la seguridad de la red de integración militar-civil, promoverá la cooperación militar-civil y garantizará la seguridad de la infraestructura de información crítica. Artículo 16 Cuando se produzca un incidente de seguridad de la red o una amenaza a la seguridad de la red en una infraestructura de información crítica, el operador deberá informarlo a la autoridad de información de la red, al departamento de protección y a la agencia de seguridad pública de acuerdo con las regulaciones pertinentes.
Incidentes importantes de seguridad de la red, como interrupción general o falla funcional importante de la infraestructura de información crítica, fuga de datos importantes como información básica nacional, fuga a gran escala de información personal, lo que resulta en grandes pérdidas económicas, difusión generalizada o descubrimiento de información ilegal Para amenazas importantes a la seguridad de la red, el departamento de protección informará de inmediato al Ministerio de Información del Ciberespacio y al Departamento de Seguridad Pública del Consejo de Estado después de recibir el informe.
Artículo 17 El departamento de información de la red establecerá un mecanismo de intercambio de información de seguridad de la red con los departamentos pertinentes, como comunicaciones, seguridad pública, industria e informatización, gestión de confidencialidad y contraseñas, y recopilará, analizará, compartirá y publicará oportunamente amenazas, vulnerabilidades e información sobre incidentes a la seguridad de la red. Convocar periódicamente una reunión conjunta para promover el intercambio de información de seguridad de la red por parte de los departamentos pertinentes, departamentos de protección, operadores y agencias de servicios de seguridad de la red. Artículo 18 El departamento de ciberseguridad e informatización, junto con los departamentos pertinentes, como comunicaciones, seguridad pública, industria e informatización, establecerá y mejorará los sistemas de informes de información y monitoreo de seguridad de la infraestructura de información crítica, fortalecerá la construcción de capacidades técnicas de seguridad de la red y descubrirá rápidamente. , advertir e informar amenazas a la seguridad de la red y peligros ocultos.
El departamento de protección debe establecer y mejorar el sistema de monitoreo de seguridad de la red, alerta temprana y generación de informes de información en esta industria y campo, guiar a los operadores para que lleven a cabo el desarrollo de capacidades de protección de la seguridad de la red y comprender oportunamente el estado de operación de los principales infraestructura de información en esta industria y campo y riesgos de seguridad, analizar y juzgar la información de monitoreo de seguridad y notificar a los operadores relevantes sobre los riesgos de seguridad y la información laboral relacionada.