2026年邮政业关键信息基础设施安全保护管理办法(试行)

　　2026年邮政业关键信息基础设施安全保护管理办法(试行)

　　第一章  总  则

　　第一条 为了保障邮政业关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律、行政法规，制定本办法。

　　第二条 邮政业关键信息基础设施的安全保护和监督管理工作，适用本办法。

　　本办法所称邮政业关键信息基础设施是指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的邮政业重要网络设施、信息系统等。

　　第三条 国家邮政局在职责范围内负责邮政业关键信息基础设施安全保护和监督管理工作。

　　省级及以下邮政管理部门按照国家邮政局要求，开展本辖区邮政业关键信息基础设施安全保护和监督管理工作。

　　第四条 运营者依照本办法和有关法律、行政法规的规定以及国家标准的强制性要求，落实邮政业关键信息基础设施安全保护主体责任，采取有效的技术保护措施和其他必要措施，全面提升安全保护能力和水平。

　　第五条 邮政管理部门应当与网信、公安等有关部门相互配合，充分发挥社会各方面的作用，共同保护关键信息基础设施安全。

　　第六条 任何个人和组织不得实施非法侵入、干扰、破坏邮政业关键信息基础设施的活动，不得危害邮政业关键信息基础设施安全。

　　第二章  邮政业关键信息基础设施认定

　　第七条 国家邮政局负责制定和修改邮政业关键信息基础设施认定规则，并报国务院公安部门备案，抄送国家网信部门。

　　制定和修改认定规则应当主要考虑下列因素：

　　(一)网络设施、信息系统等对于邮政业关键核心业务的重要程度;

　　(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;

　　(三)对其他行业和领域的关联性影响。

　　第八条 国家邮政局根据认定规则负责组织认定邮政业关键信息基础设施，及时将认定结果通知运营者，形成邮政业关键信息基础设施清单，并通报国务院公安部门，抄送国家网信部门。

　　第九条 邮政业关键信息基础设施发生改建、扩建、运营者变更等较大变化，可能影响其认定结果的，运营者应当及时将相关情况报告国家邮政局。国家邮政局自收到报告之日起3个月内完成重新认定，将认定结果通知运营者，更新邮政业关键信息基础设施清单，并通报国务院公安部门，抄送国家网信部门。

　　第三章  运营者责任义务

　　第十条 新建、改建、扩建或者升级改造关键信息基础设施的，运营者应当做到安全保护措施与关键信息基础设施同步规划、同步建设、同步使用。

　　第十一条 运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。

　　运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。

　　第十二条 运营者应当设置专门安全管理机构，配备相应的人员，开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。

　　运营者应当对专门安全管理机构负责人和关键岗位人员进行安全背景审查。专门安全管理机构负责人和关键岗位人员的身份、安全背景等发生变化或者必要时，运营者应当重新对其进行安全背景审查。

　　第十三条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责：

　　(一)建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划;

　　(二)组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估;

　　(三)按照国家及邮政业相关应急预案等规定，制定本单位网络安全事件应急预案，定期开展应急演练，处置网络安全事件;

　　(四)认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议;

　　(五)组织网络安全教育、培训;

　　(六)履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度;

　　(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;

　　(八)按照规定报告网络安全事件和重要事项。

　　第十四条 运营者应当保障专门安全管理机构的运行经费。重要网络设施和安全设备达到使用期限的或不能满足关键信息基础设施安全保护基本要求的，运营者应当及时更新设施设备，并做好经费保障。

　　第十五条 运营者应当加强关键信息基础设施供应链安全保护，优先采购安全可信的网络产品和服务。运营者采购网络产品和服务，应当预判该产品和服务投入使用后对国家安全的影响;可能影响国家安全的，应当按照国家网络安全规定通过安全审查。

　　第十六条 运营者应当加强关键信息基础设施个人信息和数据安全保护，将在我国境内运营中收集和产生的寄递服务用户个人信息和重要数据存储在境内。因业务需要，确需向境外提供数据的，应当依法进行安全评估;法律、行政法规另有规定的，依照其规定。

　　第十七条 运营者应当每年对关键信息基础设施安全保护计划至少评估一次。情况发生重大变化的，应当及时修订，并向国家邮政局、属地公安机关报告。

　　第十八条 运营者应当按照国家有关规定和要求推动网络安全防护能力建设，自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改记录。对短期内无法完成整改的重大风险隐患，要制定整改计划和风险管控方案。

　　第十九条 运营者使用商用密码保护关键信息基础设施的，应当符合《中华人民共和国密码法》等有关规定。

　　第二十条 运营者应当加强保密管理，按照国家有关规定与网络产品和服务提供者等必要人员签订安全保密协议，明确提供者等必要人员的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督。

　　第二十一条 运营者应当制定网络安全教育培训制度，定期开展网络安全教育培训和技能考核。教育培训的具体内容和学时应当遵守国家有关规定。鼓励网络安全专门人才从事邮政业关键信息基础设施安全保护工作。

　　第二十二条 运营者应当制定本单位的监测预警制度，建设本单位网络安全监测系统，及时收集、汇总、分析各方网络安全信息，开展全天候监测和值班值守，研判整体安全态势。

　　第二十三条 运营者应当制定本单位网络安全事件应急预案，建立网络安全事件应急处置机制，加强应急力量建设和应急资源储备，每年至少开展一次应急演练，并针对应急演练发现的突出问题和漏洞隐患及时整改，完善保护措施。

　　第二十四条 邮政业关键信息基础设施发生网络安全事件或者发现网络安全威胁时，运营者应当立即启动应急预案开展处理，并按规定向国家邮政局、属地公安机关报告。

　　邮政业关键信息基础设施发生特别重大网络安全事件或者发现特别重大网络安全威胁时，国家邮政局应当在收到报告后，及时向国家网信部门、国务院公安部门报告。

　　第二十五条 运营者发生合并、分立、解散等情况，应当及时报告国家邮政局，并按照国家邮政局要求对关键信息基础设施进行处置，确保安全。

　　第四章  保障和监督

　　第二十六条 国家邮政局应当制定邮政业关键信息基础设施安全规划，明确保护目标、基本要求、工作任务、具体措施。

　　第二十七条 国家邮政局应当组织建立邮政业关键信息基础设施网络安全监测预警制度，健全邮政业网络与信息安全信息通报工作机制，依法与有关部门共享相关监测预警信息。

　　第二十八条 国家邮政局应当按照国家网络安全事件应急预案的要求，建立健全邮政业网络安全事件应急预案，定期组织应急演练;指导运营者做好网络安全事件应对处置，根据需要组织提供技术支持与协助。

　　第二十九条 国家邮政局应当定期组织开展邮政业关键信息基础设施网络安全检查检测，指导监督运营者建立问题台账，制定整改方案，及时整改安全隐患、完善安全措施。

　　网络安全检查检测应当避免不必要的检查和交叉重复检查。检查工作不得收取费用，不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。

　　第三十条 运营者对国家邮政局开展的网络安全检查检测工作应当予以配合，并如实提供网络安全管理制度、重要资产清单、网络日志等必要的资料。

　　第三十一条 运营者网络安全工作不力、重大安全问题隐患久拖不改，或者存在重大网络安全风险、发生重大网络安全事件，依法应当实施行政处罚的，邮政管理部门按照有关法律、行政法规的规定予以处罚，并加大网络安全监督检查力度。

　　第三十二条 各级邮政管理部门、网络安全服务机构及其工作人员对于在邮政业关键信息基础设施安全保护过程中获取的信息，只能用于维护网络安全，并严格按照有关法律、行政法规的要求确保信息安全，不得泄露、出售或者非法向他人提供。

　　第五章   附   则

　　第三十三条  法律、法规、规章对本办法规定的事项另有规定或者国家另有要求的，从其规定。

　　第三十四条 本办法自2026年2月1日起施行。