« 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版(V1.0版) | Main | NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ »

2021.08.18

中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

こんにちは、丸山満彦です。

人民政府が、重要情報インフラのセキュリティ保護規制を公表していますね。。。2021.09.01から施行されます。ちなみに、データセキュリティ法(数据安全法)も、2021.09.01に施行されます。。。

法令って国という組織を動かすプログラムみたいなものなので、法令を作る能力って、国力ですよね。。。よいプログラムを作れば組織はうまく動く、よいプログラムをつくれなかったら組織はうまく動けなく衰退する...

 

人民政府

・2021.08.17 关键信息基础设施安全保护条例

 

中华人民共和国国务院令 中華人民共和国国務院令
第745号 第745号
《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过,现予公布,自2021年9月1日起施行。 「重要情報インフラのセキュリティ保護規制」は、2021年4月27日の国務院第133回常務会議で採択され、ここに公布され、2021年9月1日に施行する。
总理  李克强 李克強首相
2021年7月30日 2021年7月30日
关键信息基础设施安全保护条例 重要情報インフラのセキュリティ保護規制
第一章 总  则 第1章 総則
第一条 为了保障关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》,制定本条例。 第1条 重要な情報インフラのセキュリティを保護し、ネットワークセキュリティを維持するために、本規則は「中華人民共和国ネットワークセキュリティ法」に基づいて制定されています。
第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。 第2条 この規制でいう重要情報インフラとは、公共の通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府、国防科学技術産業その他の重要な産業分野、その他の重要なネットワーク設備や情報システムであって、それらが損傷したり、機能を失ったり、データが流出したりすると、国家安全保障、国民生活、公共の利益に重大な危険を及ぼす可能性があるものをいう。
第三条 在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。 第3条 国家ネットワーク情報部門の調整のもと、国務院公安部は重要情報インフラのセキュリティ保護の指導・監督に責任を負う。 国務院の電気通信主管部門およびその他の関連部門は、本規制の規定および関連する法律や行政法規に基づき、それぞれの責任範囲内で重要情報インフラのセキュリティ保護および監督管理に責任を負う。
省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。 省人民政府の関連部門は、それぞれの責任に基づいて、重要情報インフラのセキュリティ保護と監督管理を実施しなければならない。
第四条 关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。 第四条 重要情報インフラのセキュリティ保護は、法律に基づく包括的な調整、分業及び保護を堅持し、重要情報インフラの運営者(以下「運営者」という。)の主たる責任を強化して実施し、政府及び社会のあらゆる側面が重要情報インフラのセキュリティを共同で保護するという役割を十分に発揮するものでなければならない。
第五条 国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。 第5条 国は、重要情報インフラの鍵となる保護を実施し、中華人民共和国の領域内外から発生するサイバーセキュリティのリスクと脅威を監視し、防御し、対処するための措置を講じ、重要情報インフラを攻撃、侵入、干渉、損害から保護し、重要情報インフラのセキュリティを危険にさらす違法行為や犯罪行為を法律に基づいて処罰する。
任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。 いかなる個人または組織も、重要情報インフラへの違法な侵入、妨害または損害を与え、重要情報インフラのセキュリティを危険にさらしてはならない。
第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。 第6条 運営者は、本規制の規定、関連する法律および行政法規、ならびに国家標準の必須要件に従い、ネットワークセキュリティレベルの保護に基づいて、技術的保護措置およびその他の必要な措置を講じて、ネットワークセキュリティ事故への対応、ネットワーク攻撃および違法・犯罪行為の防止、重要情報インフラの安全で安定した運用の保護、ならびにデータの完全性、機密性および可用性の維持を図る。
第七条 对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。 第7条 重要情報インフラのセキュリティ保護において、顕著な成果を上げた、または顕著な貢献をした部隊および個人は、関連する国家規定に基づいて表彰される。
第二章 关键信息基础设施认定 第2章 重要情報インフラの指定
第八条 本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)。 第8条 本規制第2条の対象となる重要な産業・分野の主務部門および監督管理部門は、重要情報インフラのセキュリティ保護を担当する部門(以下、保護作業部門)という。
第九条 保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。 第9条 保護作業部門は、産業界や現場の実情に応じて重要情報インフラの指定に関する規制を策定し、国務院公安部に報告して記録を残す。
制定认定规则应当主要考虑下列因素: 指定に関する規則の策定にあたっては、以下の要素を考慮する。
(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度; (1) 業界や分野の重要なコアビジネスにとってのネットワーク設備や情報システムなどの重要性。
(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度; (2) ネットワーク設備や情報システムなどが損傷、機能喪失、データ漏洩した場合にもたらされる被害の程度。
(三)对其他行业和领域的关联性影响。 (3) 他の産業や分野との関連性の影響。
第十条 保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。 第10条 保護作業部門は、産業および分野の重要情報インフラのを指定に関する規則に基づいて整理し、指定結果を適時に運営者に通知し、国務院公安部に通知する責任を負う。
第十一条 关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。 第11条 運営者は、重要情報インフラに重大な変化があり、その指定結果に影響を与える可能性がある場合、速やかに保護部門に関連状況を報告しなければならない。 保護部門は、報告を受けた日から3ヶ月以内に再判定を完了し、指定結果を運営者に通知するとともに、国務院公安部に通報しなければならない。
第三章 运营者责任义务 第3章 運営者の責任と義務
第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。 第12条 セキュリティ保護対策は、重要情報インフラの計画、構築、利用と同期させなければならない。
第十三条 运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。 第13条 運営者は、ネットワークセキュリティの保護体制と責任体制を確立・改善し、人的・財政的・物的資源の投資を保証しなければならない。 運営者の主担当者は、重要情報インフラのセキュリティ保護に総責任を負い、重要情報インフラのセキュリティ保護と重大なネットワークセキュリティ事故の処理を指揮し、重大なネットワークセキュリティ問題を解決するための研究を組織する。
第十四条 运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。 第14条 運営者は、専門のセキュリティ管理機関を設置し、専門のセキュリティ管理機関の責任者および重要な地位にある人員のセキュリティバックグラウンドチェックを行わなければならない。 審査の際には、公安機関や国家安全保障機関が支援する。
第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责: 第15条 専門のセキュリティ管理機関は、部隊の重要情報インフラのセキュリティ保護に特に責任を負い、以下の職務を行う。
(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划; (1) ネットワークセキュリティの管理・評価・査定システムを構築・改善し、重要情報インフラのセキュリティ保護計画を策定する。
(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估; (2) ネットワークセキュリティ保護のための能力開発を組織的に推進し、ネットワークセキュリティの監視、テスト、リスク評価を実施する。
(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件; (3) ネットワークセキュリティ事故に関する国や業界の緊急計画に基づき、本機の緊急計画を策定し、定期的に緊急訓練を行い、ネットワークセキュリティ事故を処理する。
(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议; (4) ネットワークセキュリティの重要なポジションを特定し、ネットワークセキュリティの作業評価を整理し、賞罰を提案する。
(五)组织网络安全教育、培训; (5) ネットワークセキュリティに関する教育・訓練を実施する。
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度; (6) 個人情報およびデータのセキュリティ保護に関する責任を果たし、健全な個人情報およびデータのセキュリティ保護システムを確立する。
(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理; (7) 重要情報インフラの設計、建設、運用、保守およびその他のサービスのセキュリティ管理の実施
(八)按照规定报告网络安全事件和重要事项。 (8) ネットワークセキュリティ事故および重要事項を規定に基づいて報告すること。
第十六条 运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。 第16条 運営者は、専門のセキュリティ管理機関の運営資金を保証し、対応する人員を備え、ネットワークセキュリティと情報技術に関連する意思決定を行うには、専門のセキュリティ管理機関の人員の参加を得なければならない。
第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。 第17条 運営者は、自ら又はネットワークセキュリティサービス機関に委託して、重要情報インフラのネットワークセキュリティテスト及びリスクアセスメントを少なくとも年1回実施し、発見されたセキュリティ問題を適時に是正し、保護作業部門の要求に基づいて状況を報告しなければならない。
第十八条 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。 第18条 重要情報インフラに重大なネットワークセキュリティ事故が発生した場合、または重大なネットワークセキュリティの脅威が発見された場合、運営者は関連規定に基づいて保護作業部門および公安機関に報告しなければならない。
发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。 重要情報インフラの全体的な運営の中断や大規模な機能障害、国家の基本情報やその他の重要なデータの漏洩、より大規模な個人情報の漏洩、より大きな経済的損失の発生、より大規模な違法情報の拡散など、特に重大なサイバーセキュリティ事故が発生した場合、または特に重大なサイバーセキュリティ脅威が発見された場合、保護作業部門は報告を受けた後、速やかに国家ネットワーク情報部門および国務院公安部に報告しなければならない。
第十九条 运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。 第19条 運営者は、安全で信頼できるネットワーク製品およびサービスの調達を優先しなければならない。ネットワーク製品およびサービスの調達が国家の安全に影響を与える可能性がある場合、国家のネットワーク・セキュリティ規制に基づいてセキュリティ審査を受けなければならない。
第二十条 运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。 第20条 運営者は、ネットワーク製品・サービスを調達する際には、国の関連法規に従い、ネットワーク製品・サービス提供者とセキュリティ・機密保持契約を締結し、提供者の技術サポートやセキュリティ・機密保持の義務や責任を明確にし、義務や責任の履行を監督しなければならない。
第二十一条 运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。 第21条 運営者が合併、分離または解散した場合は、速やかに保護作業部門に報告し、保護作業部門の要求に従って重要情報インフラを処分し、安全性を確保しなければならない。
第四章 保障和促进 第4章 保護と促進
第二十二条 保护工作部门应当制定本行业、本领域关键信息基础设施安全规划,明确保护目标、基本要求、工作任务、具体措施。 第22条 保護作業部門は、産業及び分野における重要情報インフラのためのセキュリティ計画を策定し、保護目的、基本要件、作業課題及び具体的な措置を明示しなければならない。
第二十三条 国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。 第23条 国家のネットワーク情報部門は、関連部門を調整してネットワーク・セキュリティ情報共有メカニズムを構築し、ネットワーク・セキュリティの脅威、脆弱性、事故に関する情報をタイムリーにまとめ、調査し、共有し、公開し、関連部門、保護作業部門、オペレータ、ネットワークセキュリティサービス機関の間でネットワーク・セキュリティ情報の共有を促進しなければならない。
第二十四条 保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。 第24条 保護作業部門は、産業及び分野の重要情報インフラのネットワークセキュリティ監視及び早期警報システムを構築・改善し、産業及び分野の重要情報インフラの運用状況及びセキュリティ状況を把握し、ネットワークセキュリティの脅威及び隠れた危険を早期に知らせ、セキュリティ予防の作業を指導しなければならない。
第二十五条 保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。 第25条 保護作業部門は、国家ネットワークセキュリティ事故緊急計画の要件に従い、業界、ネットワークセキュリティ事故緊急計画の分野を確立し、改善し、定期的に緊急演習を実施し、運営者がネットワークセキュリティ事故に対処する際に良い仕事をするよう指導し、必要に応じて技術支援及び援助を組織しなければならない。
第二十六条 保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。 第26条 保護作業部門は、業界及び現場の重要情報インフラのネットワークセキュリティ検査及び試験を定期的に組織して実施し、運営者がセキュリティ上の危険を是正し、セキュリティ対策を適時に改善するよう指導監督しなければならない。
第二十七条 国家网信部门统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测,提出改进措施。 第27条 国家ネットワーク情報部門は、国務院公安部と保護作業部門を連携させ、重要情報インフラのネットワークセキュリティ検査・試験を実施し、改善策を提案する。
有关部门在开展关键信息基础设施网络安全检查时,应当加强协同配合、信息沟通,避免不必要的检查和交叉重复检查。检查工作不得收取费用,不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。 重要情報インフラのネットワークセキュリティ検査を実施する際、関連部門は協力と情報伝達を強化し、不必要な検査や重複した検査を回避しなければならない。 検査業務は、手数料を請求してはならず、検査を受けた部隊に指定ブランドまたは指定生産・販売部隊の製品およびサービスの購入を要求してはならない。
第二十八条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。 第28条 運営者は、保護作業部門が実施する重要情報インフラ・ネットワーク・セキュリティの検査やテスト作業、及び法律に基づき公安、国家安全、機密管理、パスワード管理等の関連部門が実施する重要情報インフラ・ネットワーク・セキュリティの検査作業に協力しなければならない。
第二十九条 在关键信息基础设施安全保护工作中,国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要,及时提供技术支持和协助。 第29条 重要情報インフラのセキュリティ保護作業において、国家ネットワーク情報部門および国務院通信部門、国務院公安部などは、保護作業部門の必要に応じて、適時に技術支援および援助しなければならない。
第三十条 网信部门、公安机关、保护工作部门等有关部门,网络安全服务机构及其工作人员对于在关键信息基础设施安全保护工作中获取的信息,只能用于维护网络安全,并严格按照有关法律、行政法规的要求确保信息安全,不得泄露、出售或者非法向他人提供。 第30条 ネットワーク情報部門、公安機関、保護作業部門およびその他の関連部門、ネットワークセキュリティサービスと重要情報インフラのセキュリティ保護の仕事で得られた情報をその要員は、ネットワークセキュリティを維持するためにのみ使用することができ、関連する法律や行政法規に厳密に従って情報セキュリティを確保し、漏洩、販売または違法に他人に提供してはならない、
第三十一条 未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。 第31条 国のネットワーク情報部門、国務院公安部、保護作業部門の承認、または運営者の許可がなければ、個人や組織は脆弱性検出、侵入テスト、その他重要情報インフラのセキュリティに影響を与えたり危険にさらす可能性のある活動を実施してはならない。 基礎電気通信網に対する脆弱性検出、侵入テストなどを実施する場合は、事前に国務院の電気通信主管部門に報告しなければならない。
第三十二条 国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。 第32条 国は、エネルギー、電気通信等の重要情報インフラの安全な運用の確保を優先するための措置を講じなければならない。
能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。 エネルギー・通信業界は、他の業界・分野における重要情報インフラの安全な運用のために、重要な保証を提供するための措置を講じなければならない。
第三十三条 公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。 第33条 公安機関及び国家安全保障機関は、それぞれの任務に応じて、重要情報インフラのセキュリティを強化し、重要情報インフラを対象とし、かつ、これを利用する違法及び犯罪行為を防止し、これに対処しなければならない。
第三十四条 国家制定和完善关键信息基础设施安全标准,指导、规范关键信息基础设施安全保护工作。 第34条 国は、重要情報インフラのセキュリティ基準を策定・改善し、重要情報インフラのセキュリティ保護を指導・規制しなければならない。
第三十五条 国家采取措施,鼓励网络安全专门人才从事关键信息基础设施安全保护工作;将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。 第35条 国は、ネットワークセキュリティの専門家が重要情報インフラのセキュリティ保護に従事することを奨励するための措置を講じ、セキュリティ管理者及びセキュリティ技術者の訓練を国の継続教育制度に組み込む。
第三十六条 国家支持关键信息基础设施安全防护技术创新和产业发展,组织力量实施关键信息基础设施安全技术攻关。 第36条 国は、重要情報インフラのセキュリティ保護に関する技術革新及び産業の発展を支援し、重要情報インフラのセキュリティに関する技術研究を実施するための部隊を組織しなければならない。
第三十七条 国家加强网络安全服务机构建设和管理,制定管理要求并加强监督指导,不断提升服务机构能力水平,充分发挥其在关键信息基础设施安全保护中的作用。 第37条 国は、ネットワーク・セキュリティ・サービス組織の建設と管理を強化し、管理要求を策定し、監督・指導を強化し、サービス組織の能力レベルを継続的に向上させ、重要情報インフラのセキュリティ保護における役割を十分に発揮させなければならない。
第三十八条 国家加强网络安全军民融合,军地协同保护关键信息基础设施安全。 第38条 国は、軍と国民の間のサイバー・セキュリティの統合を強化し、軍と地方自治体は重要情報インフラのセキュリティを守るために協力しなければならない。
第五章 法律责任 第5章 法的責任
第三十九条 运营者有下列情形之一的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款: 第39条 運営者が以下のいずれかの状況にある場合、関連する主管部門は、その職務に従い、是正を命じ、警告を与えなければならない。是正を拒否したり、ネットワークセキュリティを危険にさらすなどの結果を引き起こした場合、直接責任を負う担当者には10万元以上100万元以下の罰金を、責任者には1万元以上10万元以下の罰金を科す。
(一)在关键信息基础设施发生较大变化,可能影响其认定结果时未及时将相关情况报告保护工作部门的; (1) 重要情報インフラに重大な変更があり、その指定結果に影響を及ぼす可能性がある場合に、関連する状況を適時に保護作業部門に報告しなかった場合。
(二)安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的; (2) セキュリティ保護対策が重要情報インフラと並行して計画、構築、使用されていない場合。
(三)未建立健全网络安全保护制度和责任制的; (3) 健全なネットワークセキュリティ保護体制と責任体制が不備な場合。
(四)未设置专门安全管理机构的; (4) 専門のセキュリティ管理機関を設立しなかった場合。
(五)未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的; (5) 専門のセキュリティ管理機関の責任者および重要な地位にある人員のセキュリティバックグラウンドチェックを実施しなかった場合。
(六)开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的; (6)専門のセキュリティ管理機関の職員の参加を得ずに、ネットワークセキュリティおよび情報技術に関する決定した場合。
(七)专门安全管理机构未履行本条例第十五条规定的职责的; (7) 専門のセキュリティ管理機関が、この規制の第15条に規定された責任を果たしていない場合。
(八)未对关键信息基础设施每年至少进行一次网络安全检测和风险评估,未对发现的安全问题及时整改,或者未按照保护工作部门要求报送情况的; (8) 重要情報インフラのネットワークセキュリティテストおよびリスクアセスメントを少なくとも年1回実施しておらず、発見されたセキュリティ問題を適時に是正していない、または保護作業部門の要求に従って状況を報告しない場合。
(九)采购网络产品和服务,未按照国家有关规定与网络产品和服务提供者签订安全保密协议的; (9) ネットワーク製品・サービスの調達、およびネットワーク製品・サービス提供者との間で、関連する国の規制に従ったセキュリティおよび機密保持に関する契約を締結しなかったこと。
(十)发生合并、分立、解散等情况,未及时报告保护工作部门,或者未按照保护工作部门的要求对关键信息基础设施进行处置的。 (10) 合併、分割、解散などが発生し、適時に保護作業部門に報告しなかった場合、または保護作業部門の要求に従って重要情報インフラを処分しなかった場合。
第四十条 运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,未按照有关规定向保护工作部门、公安机关报告的,由保护工作部门、公安机关依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。 第40条 重要情報インフラで重大なネットワークセキュリティ事故が発生したとき、または重大なネットワークセキュリティの脅威が発見されたときに、運営者が関連規定に基づいて保護部門または公安機関に報告しなかった場合、保護部門または公安機関は、その職務に基づいて是正を命じ、警告を与えなければならない。運営者が是正を拒否した場合、またはネットワークセキュリティを危険にさらすなどの結果を引き起こした場合、10万元以上の罰金を科し、直接の責任者は1万元以上10万元以下の罰金を科す。 責任者は1万元以上10万元以下の罰金を科す。
第四十一条 运营者采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查的,由国家网信部门等有关主管部门依据职责责令改正,处采购金额1倍以上10倍以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。 第41条 運営者が国家安全保障に影響を与える可能性のあるネットワーク製品・サービスを調達し、国家ネットワークセキュリティ規定に基づくセキュリティ審査を行わなかった場合、国家インターネット情報部門およびその他の関連主管部門は、その職務に基づき、是正を命じ、調達額の1倍から10倍の罰金を科し、直接責任を負う担当者およびその他の直接責任を負う者に1万元から10万元の罰金を科す。
第四十二条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的,由有关主管部门责令改正;拒不改正的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节严重的,依法追究相应法律责任。 第42条 運営者が、保護作業部門が実施する重要情報インフラのネットワークセキュリティ検査・試験作業、および公安、国家安全、機密管理、パスワード管理などの関連部門が法律に基づいて実施する重要情報インフラのネットワークセキュリティ検査作業に協力しない場合、主管部門は是正を命じ、是正を拒否した場合、5万元以上50万元以下の罰金を科し、直接の責任者には、以下の罰則を科す。 責任者およびその他の直接の責任者は、1万元以上10万元以下の罰金に処し、状況が深刻な場合には、対応する法的責任を法律に基づいて調査する。
第四十三条 实施非法侵入、干扰、破坏关键信息基础设施,危害其安全的活动尚不构成犯罪的,依照《中华人民共和国网络安全法》有关规定,由公安机关没收违法所得,处5日以下拘留,可以并处5万元以上50万元以下罚款;情节较重的,处5日以上15日以下拘留,可以并处10万元以上100万元以下罚款。 第43条 重要情報インフラへの違法な侵入、妨害、損害を与え、その安全を脅かした者は、犯罪ではないが、中華人民共和国ネットワークセキュリティ法の関連規定に基づき、公安機関に違法所得を没収させ、5日以上の拘留を行い、5万元以上50万元以下の罰金を科すことができる。状況がより深刻な場合は、5日以上15日以下の拘留を行い、10万元以上の罰金を科すことができる。 100万人民元以下の罰金を科す。
单位有前款行为的,由公安机关没收违法所得,处10万元以上100万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。 部隊が前項の行為を行った場合、公安機関は違法所得を没収し、10万元以上100万元以下の罰金を科すとともに、直接責任を負う担当者およびその他の直接責任を負う者を前項に準じて処罰する。
违反本条例第五条第二款和第三十一条规定,受到治安管理处罚的人员,5年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。 本規制第5条第2項および第31条の規定に違反し、公安管理処罰を受けた人員は、5年以内にネットワークセキュリティ管理およびネットワーク運用の要職に従事してはならず、刑事処罰を受けた人員は、生涯にわたってネットワークセキュリティ管理およびネットワーク運用の要職に従事してはならない。
第四十四条 网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行关键信息基础设施安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊的,依法对直接负责的主管人员和其他直接责任人员给予处分。 第44条 ネットワーク情報部門、公安機関、保護作業部門およびその他の関連部門とその職員で、重要情報インフラのセキュリティ保護および監督管理の職務を遂行せず、職務を怠り、権限を濫用し、または個人的利益のために汚職を行った者は、直接責任を負う担当者およびその他の直接責任を負う者に対して、法律に基づいて処罰される。
第四十五条 公安机关、保护工作部门和其他有关部门在开展关键信息基础设施网络安全检查工作中收取费用,或者要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务的,由其上级机关责令改正,退还收取的费用;情节严重的,依法对直接负责的主管人员和其他直接责任人员给予处分。 第45条 公安機関、保護業務部門およびその他の関連部門が、重要情報インフラのネットワーク・セキュリティ検査を実施するために料金を請求したり、検査を受けたユニットに指定ブランドまたは指定生産・販売ユニットの製品・サービスの購入を要求したりした場合、上級当局は是正を命じ、請求された料金を返金しなければならず、状況が深刻な場合は、直接責任を負う担当者およびその他の直接責任を負う者は、法律に基づいて処罰される。
第四十六条 网信部门、公安机关、保护工作部门等有关部门、网络安全服务机构及其工作人员将在关键信息基础设施安全保护工作中获取的信息用于其他用途,或者泄露、出售、非法向他人提供的,依法对直接负责的主管人员和其他直接责任人员给予处分。 第46条 インターネット情報部門、公安機関、保護作業部門などの関連部門、ネットワークセキュリティサービス機関およびその職員は、重要情報インフラのセキュリティ保護作業で得た情報を他の目的に使用したり、漏洩、販売、または違法に他人に提供したりした場合は、直接責任を負う担当者およびその他の直接責任を負う者は、法律に基づいて処罰される。
第四十七条 关键信息基础设施发生重大和特别重大网络安全事件,经调查确定为责任事故的,除应当查明运营者责任并依法予以追究外,还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。 第47条 重要情報インフラで発生した大規模および特に大規模なネットワークセキュリティ事故のうち調査の結果、責任のある事故と判断されたものについては、法律に基づいて特定・調査しなければならない運営者の責任に加えて、関連するネットワーク・セキュリティ・サービス機関および関連部門の責任も特定し、義務を怠った者、不正行為その他の違法行為を行った者は、法律に基づいて責任を負わなければならない。
第四十八条 电子政务关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的,依照《中华人民共和国网络安全法》有关规定予以处理。 第48条 電子政府サービスの重要情報インフラの運営者が本規制に基づくネットワークセキュリティ保護の義務を履行しない場合、中華人民共和国のネットワークセキュリティ法の関連規定に従って処分される。
第四十九条 违反本条例规定,给他人造成损害的,依法承担民事责任。 第49条 本規制の規定に違反して他人に損害を与えた者は、法律に基づいて民事責任を負う。
违反本条例规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 本規制の規定に違反し、公安管理上の違反を構成した者は、法律に基づき公安管理上の処罰を受け、犯罪を構成した場合は、法律に基づき刑事責任を問われる。
第六章 附  则 第6章 附則
第五十条 存储、处理涉及国家秘密信息的关键信息基础设施的安全保护,还应当遵守保密法律、行政法规的规定。 第50条 国家機密に関わる情報を保管・処理する重要情報インフラのセキュリティ保護は、秘密保護法および行政法規の規定にも従う。
关键信息基础设施中的密码使用和管理,还应当遵守相关法律、行政法规的规定。 また、重要情報インフラにおけるパスワードの使用および管理は、関連する法律および行政法規の規定に準拠する。
第五十一条 本条例自2021年9月1日起施行。 第51条 この規制は、2021年9月1日から施行する。

 


2021.08.19 追記

条例についてのQ&Aがありました...

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2021.08.17 司法部 网信办 工业和信息化部 公安部负责人就 《关键信息基础设施安全保护条例》答记者问

司法部 网信办 工业和信息化部 公安部负责人就 司法部、ネットワーク情報局、工業情報化部、公安部
《关键信息基础设施安全保护条例》答记者问 重要情報インフラのセキュリティ保護に関する規則
2021年7月30日,国务院总理李克强签署第745号国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。日前,司法部、网信办、工业和信息化部、公安部负责人就《条例》有关问题回答了记者提问。 2021年7月30日、李克強首相は政令第745号に署名し、「重要情報インフラのセキュリティ保護規則」(以下、「規則」)を公布し、2021年9月1日から施行されることになりました。 先日、司法部、ネットワーク情報局、工業情報化部、公安部の担当者が、本規則に関する記者の質問に答えました。
问:请简要介绍一下《条例》出台的背景? Q:今回の規制導入の背景を簡単に紹介してください。
答:党中央、国务院高度重视关键信息基础设施安全保护工作。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。保障关键信息基础设施安全,对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。当前,关键信息基础设施面临的网络安全形势日趋严峻,网络攻击威胁上升,事故隐患易发多发,安全保护工作还存在法规制度不完善、工作基础薄弱、资源力量分散、技术产业支撑不足等突出问题,亟待建立专门制度,明确各方责任,加快提升关键信息基础设施安全保护能力。2017年施行的《中华人民共和国网络安全法》规定,关键信息基础设施的具体范围和安全保护办法由国务院制定。出台《条例》旨在落实《中华人民共和国网络安全法》有关要求,将为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。 A: 党中央委員会と国務院は、重要な情報インフラのセキュリティ保護を非常に重視しています。 重要情報インフラは、経済・社会活動の中枢であり、ネットワークセキュリティの最優先事項です。 重要な情報インフラを確保することは、国のサイバースペースの主権と国家安全保障を守り、健全な経済・社会の発展を保証し、公共の利益と国民の正当な権利・利益を守るために大きな意義があります。 現在、重要な情報インフラが直面しているサイバーセキュリティの状況はますます厳しくなっており、サイバー攻撃の脅威は増加し、事故や隠れた危険が発生しやすくなっています。また、不完全な規制やシステム、弱い運用基盤、資源の分散、不十分な技術的・産業的支援などの未解決の問題が残っています。特別なシステムを確立し、すべての当事者の責任を明確にし、重要な情報インフラのセキュリティ保護能力の向上を加速することが急務です。 中華人民共和国ネットワークセキュリティ法では、重要情報インフラの具体的な範囲やセキュリティ保護方法は、国務院が策定すると規定されています。 本規則は、「中華人民共和国ネットワークセキュリティ法」の関連要件を実施することを目的としており、重要な情報インフラのセキュリティ保護に関する中国の綿密な作業に、法の支配の強力な保証を与えることになります。
问:制定《条例》的总体思路是什么? Q:今回のレギュレーション策定の背景には、どのような考えがあるのでしょうか。
答:在总体思路上主要把握了以下三点:一是坚持问题导向。针对关键信息基础设施安全保护工作实践中的突出问题,细化《中华人民共和国网络安全法》有关规定,将实践证明成熟有效的做法上升为法律制度,为保护工作提供法治保障。二是压实责任。坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。三是做好与相关法律、行政法规的衔接。在《中华人民共和国网络安全法》确立的制度框架下,细化相关制度措施,同时处理好与相关法律、行政法规的关系。 A:全体的な考え方として、以下の3つのポイントを把握しています。
第一は、問題志向を貫くことです。 重要情報インフラセキュリティ保護の実務における未解決の問題に鑑み、中華人民共和国ネットワークセキュリティ法の関連規定を精緻化し、実務において成熟し効果的であることが証明されている実務を法制度に格上げすることで、保護作業に法の支配の保証を与えます。
第二は、責任を簡潔にまとめることです。 法律に基づいた包括的な調整、分業、保護を主張し、重要な情報インフラの運営者の主な責任を強化、実行し、政府と社会のあらゆる側面の役割を十分に発揮して、重要な情報インフラのセキュリティを共同で保護します。
第三に、関連する法律や行政法規とのコンバージェンスを行うことです。 中国人民共和国のネットワークセキュリティ法によって確立された制度的枠組みの下で、関連する制度的措置が洗練され、関連する法律や行政法規との関係がうまく処理されます。
问:开展关键信息基础设施安全保护工作,各部门的职责分工是什么? Q:重要な情報インフラのセキュリティ保護を実施する上で、各部門の責任分担はどのようになっていますか?
答:《条例》第三条规定在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。 A:規則第3条では、国家ネットワーク情報部の調整のもと、国務院の公安部門が重要な情報インフラのセキュリティ保護を指導・監督する責任を負い、国務院の電気通信主管部門およびその他の関連部門が、規則および関連する法律や行政法規の規定に基づき、それぞれの責任範囲内で重要な情報インフラのセキュリティ保護・監督を行うことを規定しています。 省人民政府の関連部門は、それぞれの責任に応じて、重要な情報インフラのセキュリティ保護と監督・管理に責任を負います。
问:关键信息基础设施如何认定? Q:重要な情報インフラはどのように特定されるのですか?
答:《条例》从我国国情出发,借鉴国外通行做法,明确了关键信息基础设施的定义和认定程序。一是明确关键信息基础设施的定义。二是明确关键信息基础设施所在行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。三是明确由保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并组织认定本行业、本领域的关键信息基础设施。四是规定关键信息基础设施发生较大变化,可能影响其认定结果时,运营者应当及时报告保护工作部门,由保护工作部门重新认定。 A: 本規則は、中国の国内事情に始まり、海外の一般的な慣行を参考にして、重要情報インフラの定義と識別手順を明確にしています。
第一に、重要情報インフラの定義が明確になりました。
第二に、重要情報インフラが設置されている産業や分野の主管部門や監督管理部門が、重要情報インフラのセキュリティ保護に責任を持つ部門であることは明らかです。
第三に、保護作業部門が業界と現場の実際の状況を考慮し、重要な情報インフラの識別ルールを策定し、業界と現場の重要な情報インフラの識別を整理し明らかにする。
第四に、重要情報インフラに重大な変化が生じ、その識別結果に影響を与える可能性がある場合、事業者は速やかに保護作業部門に報告し、保護作業部門は再識別を行うことを定めています。
问:《条例》对保护工作部门职责作了哪些规定? Q:保護作業部門の責任に関する規定を教えてください。
答:依据《中华人民共和国网络安全法》有关规定,按照“谁主管谁负责”的原则,《条例》明确了保护工作部门对本行业、本领域关键信息基础设施的安全保护责任:一是制定关键信息基础设施安全规划,明确保护目标、基本要求、工作任务、具体措施。二是建立健全网络安全监测预警制度,及时掌握关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。三是建立健全网络安全事件应急预案,定期组织应急演练。四是指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。五是定期组织开展网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。 A:中華人民共和国ネットワークセキュリティ法の関連規定に基づき、「誰が担当し、誰が責任を負うか」という原則に基づいて、本規程は、産業界および現場における重要な情報インフラのセキュリティ保護に関する保護部門の責任を明確にしています。
第一は、重要情報インフラのセキュリティ計画を策定し、保護目的、基本要件、タスク、具体的な対策を明らかにすることです。
第二は、ネットワークセキュリティの監視と早期警報システムを構築・改善し、重要な情報インフラの運用状況、セキュリティの状況をタイムリーに把握し、ネットワークセキュリティの脅威や隠れた危険を早期に警告通知し、セキュリティ対策をしっかりと行うよう指導することです。
第三は、ネットワークセキュリティ事故に対する緊急計画を策定・改善し、定期的に緊急訓練を実施することです。
第四は、ネットワークセキュリティ事故にうまく対処できるよう運営者を指導し、必要に応じて技術的なサポートや支援を提供することです。
第五は、定期的にネットワークセキュリティの検査とテスト、指導、および運営者の監督を整理し、セキュリティリスクを是正し、タイムリーにセキュリティ対策を改善することです。
问:为强化和落实关键信息基础设施运营者主体责任,《条例》主要作了哪些规定? Q:重要な情報インフラ運営者の主な責任を強化し、実行するために、規則の主な条項は何ですか?
答:《条例》在总则部分对运营者责任作了原则规定,要求运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。 A: 規則の一般的な部分では、運営者の責任が原則として定められており、運営者は、規則および関連する法律や行政法規、さらには国家規格の必須要件に従って、ネットワークセキュリティレベルの保護に基づいて、ネットワークセキュリティ事故への対応、ネットワーク攻撃や違法・犯罪行為の防止、重要な情報インフラの安全で安定した運用の確保のために、技術的保護措置およびその他の必要な措置を講じることが求められています。 また、データの完全性、機密性、可用性の維持についても規定しています。
《条例》还设专章细化了有关义务要求,主要包括:一是建立健全网络安全保护制度和责任制,实行“一把手负责制”,明确运营者主要负责人负总责,保障人财物投入。二是设置专门安全管理机构,履行安全保护职责,参与本单位与网络安全和信息化有关的决策,并对机构负责人和关键岗位人员进行安全背景审查。三是对关键信息基础设施每年进行网络安全检测和风险评估,及时整改问题并按要求向保护工作部门报送情况。四是关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,按规定向保护工作部门、公安机关报告。五是优先采购安全可信的网络产品和服务,并与提供者签订安全保密协议;可能影响国家安全的,应当按规定通过安全审查。 規則はまた、主に含む関連する義務を絞り込むために特別な章を設定します。
第一は、ネットワークセキュリティの保護システムと責任体制を確立し、改善する「責任体制の一元化」の実装は、運営者の主担当者が全体の責任を負うことを明確にし、人的・金銭的資源の投入を確実にします。
第二は、専門のセキュリティ管理機関を設立し、セキュリティ保護の任務を遂行し、ネットワークセキュリティや情報技術に関する部隊の意思決定に参加し、機関の長や主要な人員のセキュリティ身元調査を行うことです。
第三は、年次のネットワークセキュリティテストと重要な情報インフラのリスク評価、問題のタイムリーな修正と必要に応じて保護作業部門への報告です。
第四は、重要な情報インフラで重大なサイバーセキュリティ事件が発生した場合、または重大なサイバーセキュリティ脅威が発見された場合、必要に応じて保護作業部門と公安当局に報告することです。
第五は、安全で信頼できるネットワーク製品・サービスを優先的に調達し、プロバイダーとの間でセキュリティや機密保持に関する契約を締結し、国家安全保障に影響を与える可能性のあるものは、必要に応じてセキュリティ審査に合格しなければなりません。
问:对于关键信息基础设施安全保护工作,《条例》明确了哪些保障和促进措施? Q: 重要な情報インフラのセキュリティ保護について、規制ではどのようなセーフガードや促進策が明確にされているのでしょうか?
答:保障关键信息基础设施安全,需要统筹资源和力量,全方位实施保护。《条例》在保障方面,一是明确建立网络安全信息共享机制,并规定工作中获取的信息只能用于维护网络安全,不得泄露、出售或者非法向他人提供。二是对国家有关部门开展安全检查作出规定,要求避免不必要的检查和交叉重复检查,检查不得收费,不得要求被检查单位购买指定产品和服务;同时规定任何个人和组织未经授权不得对关键信息基础设施进行探测测试等活动。三是规定国家网信部门和国务院电信主管部门、公安部门等根据保护工作部门需要,提供技术支持和协助。四是明确国家对能源、电信等关键信息基础设施安全运行实施优先保障。五是规定公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。六是明确国家出台安全标准,指导规范关键信息基础设施安全保护工作。《条例》在支持促进方面,从人才培养、技术创新和产业发展、网络安全服务机构建设与管理、军民融合、表彰奖励等方面作了相应规定。 A: 重要な情報インフラのセキュリティを守るためには、すべての面で保護を実施するためのリソースと強度を調整する必要があります。 安全対策については、
第一に、ネットワークセキュリティに関する情報共有の仕組みを明確にし、業務上知り得た情報は、ネットワークセキュリティを維持するためにのみ使用し、他人に漏洩したり、販売したり、不正に提供したりしてはならないことを定めています。
第二に、国家の関連部門がセキュリティ検査を実施するための規定を設け、不必要な検査や重複検査を避けること、検査費用を請求しないこと、検査を受けたユニットに特定の製品やサービスの購入を要求しないこと、個人や組織が許可なく重要な情報インフラに対してプロービングテストなどを行わないことなどを定めています。
第三に、国務院のネットワーク情報部門と通信・公安部門の主務部門は、保護作業部門のニーズに応じて、技術的な支援・援助を行うことが定めています。
第四に、エネルギー、通信、その他の重要な情報インフラの安全な運用のために、国が優先的な保護を実施していることを明らかにしています。
第五に、公安機関と国家安全保障機関がそれぞれの責任において重要な情報インフラのセキュリティを強化し、重要な情報インフラに対する、あるいは重要な情報インフラを利用して行われる違法行為や犯罪行為を防止・撲滅することを定めています。
第六に、重要な情報インフラのセキュリティ保護の標準化を導くために、国がセキュリティ基準を導入することを明らかにしました。
支援と促進に関しては、人材育成、技術革新と産業の発展、ネットワークセキュリティサービス機関の建設と管理、軍民の統合、表彰と報奨などの面で、規則に対応した規定が設けられています。
问:对实施危害关键信息基础设施安全活动的个人和组织,或未经授权或批准,对关键信息基础设施实施漏洞探测、渗透性测试等活动的个人和组织,《条例》作了哪些规范? Q: 重要な情報インフラのセキュリティを危険にさらす活動や、重要な情報インフラに対する脆弱性検出や侵入テストなどの活動を、許可や承認なしに行う個人や組織に対する規制はどうなっていますか?
答:实践中,一些个人和组织擅自对关键信息基础设施实施漏洞探测、渗透性测试等活动,影响关键信息基础设施安全。《条例》一是明确任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。二是规定未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。三是在法律责任章节中专门规定了相应罚则。 A: 実際には、一部の個人や組織が、重要な情報インフラに対して脆弱性検出や侵入テストなどの活動を無許可で行い、重要な情報インフラのセキュリティに影響を与えています。
第一に、本規則では、個人や組織が重要な情報インフラへの違法な侵入、干渉、損害を与えてはならず、重要な情報インフラのセキュリティを危険にさらしてはならないことを明確にしています。
第二に、国家ネットワーク情報部門、国務院公安部の承認、または保護作業部門や運営者の許可がない限り、個人や組織が脆弱性の調査や侵入テストなど、重要情報インフラのセキュリティに影響を与えたり危険にさらす可能性のある活動を実施してはならないと定めています。 基礎電気通信網に対する脆弱性検出、侵入テストなどの実施は、事前に国務院の電気通信主管部門に報告しなければなりません。
第三に、対応する罰則が法的責任の章で具体的に定めています。
问:关键信息基础设施中的重要数据出境如何进行? Q:重要な情報インフラの重要なデータの出口はどのように行われるのですか?
答:《中华人民共和国数据安全法》已由第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过,将于9月1日起实施。其中,第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定。《中华人民共和国网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 A: 「中華人民共和国データセキュリティ法」は、2021年6月10日に開催された第13期全国人民代表大会常務委員会第29回会議で採択され、9月1日から施行されます。 特に第31条では、重要な情報インフラの運営者が中華人民共和国の領域内での業務において収集・生成した重要なデータの対外的なセキュリティ管理には、中華人民共和国のネットワークセキュリティに関する法律の規定が適用されると規定しています。 中華人民共和国ネットワークセキュリティ法第37条では、重要な情報インフラの運営者が中華人民共和国での業務の過程で収集・生成した個人情報や重要なデータを領域内に保存することを定めています。 業務上の必要性から国外で提供する必要がある場合には、国務院の関連部門と連携して国家ネットワーク情報部が策定した対策に基づき、セキュリティ評価を行います。法律または行政法規で別段の定めがある場合には、その規定に従うものとします。

追記:ここまで


1_20210612030101


 

ネットワークセキュリティ法について、、、

中华人民共和国网络安全法

JETROの仮訳(大地法律事務所仮訳)

・[PDF] ネットワーク安全法

wikipedia 

・[JP] [EN] [CH]

 

こちらは、データセキュリティ法のほうです。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2020.07.06 中国のデータセキュリティ法案

|

« 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版(V1.0版) | Main | NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ »

Comments

Post a comment



(Not displayed with comment.)




« 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版(V1.0版) | Main | NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ »