關鍵信息基礎設施的具體範圍和安全保護辦法由國務院制定。關鍵信息基礎設施包括網站類,如黨政機關網站、企事業單位網站、新聞網站等;平臺類,如即時通信、網上購物、網上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網絡服務平臺;生產業務類,如辦公和業務系統、工業控制系統、大型數據中心、雲計算平臺、電視轉播系統等。
關鍵信息基礎設施安全保護對運營者的義務要求,主要包括:
壹是建立健全網絡安全保護制度和責任制,實行 “壹把手負責制”,明確運營者主要負責人負總責,保障人財物投入。二是設置專門安全管理機構,履行安全保護職責,參與本單位與網絡安全和信息化有關的決策,並對機構負責人和關鍵崗位人員進行安全背景審查。三是對關鍵信息基礎設施每年進行網絡安全檢測和風險評估,及時整改問題並按要求向保護工作部門報送情況。四是關鍵信息基礎設施發生重大網絡安全事件或者發現重大網絡安全威脅時,按規定向保護工作部門、公安機關報告。五是優先采購安全可信的網絡產品和服務,並與提供者簽訂安全保密協議;可能影響國家安全的,應當按規定通過安全審查。