第三十四条 【关键信息基础设施运营者的安全保护义务】

●法律

1.《数据安全法》（2021年6月10日）

第27条 开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

2.《密码法》（2019年10月26日）

第37条 关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

关键信息基础设施的运营者违反本法第二十七条第二款规定，使用未经安全审查或者安全审查未通过的产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

●部门规章及文件

3.《互联网保险业务监管办法》（2020年12月7日）

第37条 保险机构应严格按照网络安全相关法律法规，建立完善与互联网保险业务发展相适应的信息技术基础设施和安全保障体系，提升信息化和网络安全保障能力：

（一）按照国家相关标准要求，采取边界防护、入侵检测、数据保护以及灾难恢复等技术手段，加强信息系统和业务数据的安全管理。

（二）制定网络安全应急预案，定期开展应急演练，建立快速应急响应机制，开展网络安全实时监测，发现问题后立即采取防范和处置措施，并按照银行业保险业突发事件报告、应对相关规定及时向负责日常监管的银保监会或其派出机构、当地公安网安部门报告。

（三）对提供技术支持和客户服务的合作机构加强合规管理，督促其保障服务质量和网络安全，其相关信息系统至少应获得网络安全等级保护二级认证。

（四）防范假冒网站、假冒互联网应用程序等与互联网保险业务相关的违法犯罪活动，开辟专门渠道接受公众举报。