关键信息基础设施

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

（三）对重要系统和数据库进行容灾备份；

（四）制定网络安全事件应急预案，并定期进行演练；

（五）采取数据分类、重要数据备份和加密等措施；

（六）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（七）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（八）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（九）法律、行政法规规定的其他义务。

关键信息基础设施运营者（CIIO）的认定，需要通过国家网信部门与国务院电信主管部门公安部门等部门指定的关键信息基础设施识别指南。国家行业主管或监管部门按照关键信息基础设施识别指南，识别本行业本领域的关键信息基础设施。

运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，违反网络安全法，可能严重危害国家安全、国计民生、公共利益的，属于关键信息基础设施，应当纳入保护范围。

网络产品和服务的供应商是否需要申报网络安全审查。答案是：不需要。但是，向CII运营者提供网络产品和服务的公司，有配合网络安全审查的义务，包括签订含有网络安全审查内容的采购文件、协议、合同，提供材料和补充材料等。

供应商向CII运营者销售网络产品和服务时，应注意采购文件、协议、拟签订的合同等需要考虑网络安全审查的要求，包括：

(1) 承诺不利用提供产品和服务的便利条件非法获取用户数据;

(2) 不得非法控制和操纵用户设备;

(3) 无正当理由不得中断产品供应或必要的技术支持服务，等等。

CIIO结合预判指南提出对国家安全的风险评估，网络安全审查工作机制成员单位还可以主动对网络产品和服务发起主动审查。通常安全审查在45个工作日内完成，复杂情况延长15天。

属于审查范围的网络产品和服务是指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。