各省、自治區(qū)、直轄市郵政管理局，國家郵政局直屬各單位、機關各司室，各郵政業(yè)關鍵信息基礎設施運營者：

      《郵政業(yè)關鍵信息基礎設施安全保護管理辦法（試行）》已經(jīng)國家郵政局辦公會議審議通過，現(xiàn)予以印發(fā)，請認真貫徹落實。

                                                                                                                                                                                                       國家郵政局辦公室???

                                                                                                                                                                                                       2025年12月25日???

                                                                                               

                                                                                  郵政業(yè)關鍵信息基礎設施安全保護管理辦法（試行）

第一章? 總? 則

第一條 為了保障郵政業(yè)關鍵信息基礎設施安全，維護網(wǎng)絡安全，根據(jù)《中華人民共和國網(wǎng)絡安全法》《關鍵信息基礎設施安全保護條例》等法律、行政法規(guī)，制定本辦法。

第二條 郵政業(yè)關鍵信息基礎設施的安全保護和監(jiān)督管理工作，適用本辦法。

本辦法所稱郵政業(yè)關鍵信息基礎設施是指一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的郵政業(yè)重要網(wǎng)絡設施、信息系統(tǒng)等。

第三條 國家郵政局在職責范圍內(nèi)負責郵政業(yè)關鍵信息基礎設施安全保護和監(jiān)督管理工作。

省級及以下郵政管理部門按照國家郵政局要求，開展本轄區(qū)郵政業(yè)關鍵信息基礎設施安全保護和監(jiān)督管理工作。

第四條 運營者依照本辦法和有關法律、行政法規(guī)的規(guī)定以及國家標準的強制性要求，落實郵政業(yè)關鍵信息基礎設施安全保護主體責任，采取有效的技術保護措施和其他必要措施，全面提升安全保護能力和水平。

第五條 郵政管理部門應當與網(wǎng)信、公安等有關部門相互配合，充分發(fā)揮社會各方面的作用，共同保護關鍵信息基礎設施安全。

第六條 任何個人和組織不得實施非法侵入、干擾、破壞郵政業(yè)關鍵信息基礎設施的活動，不得危害郵政業(yè)關鍵信息基礎設施安全。

第二章? 郵政業(yè)關鍵信息基礎設施認定

第七條 國家郵政局負責制定和修改郵政業(yè)關鍵信息基礎設施認定規(guī)則，并報國務院公安部門備案，抄送國家網(wǎng)信部門。

制定和修改認定規(guī)則應當主要考慮下列因素：

（一）網(wǎng)絡設施、信息系統(tǒng)等對于郵政業(yè)關鍵核心業(yè)務的重要程度；

（二）網(wǎng)絡設施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度；

（三）對其他行業(yè)和領域的關聯(lián)性影響。

第八條 國家郵政局根據(jù)認定規(guī)則負責組織認定郵政業(yè)關鍵信息基礎設施，及時將認定結果通知運營者，形成郵政業(yè)關鍵信息基礎設施清單，并通報國務院公安部門，抄送國家網(wǎng)信部門。

第九條 郵政業(yè)關鍵信息基礎設施發(fā)生改建、擴建、運營者變更等較大變化，可能影響其認定結果的，運營者應當及時將相關情況報告國家郵政局。國家郵政局自收到報告之日起3個月內(nèi)完成重新認定，將認定結果通知運營者，更新郵政業(yè)關鍵信息基礎設施清單，并通報國務院公安部門，抄送國家網(wǎng)信部門。

第三章? 運營者責任義務

第十條 新建、改建、擴建或者升級改造關鍵信息基礎設施的，運營者應當做到安全保護措施與關鍵信息基礎設施同步規(guī)劃、同步建設、同步使用。

第十一條 運營者應當建立健全網(wǎng)絡安全保護制度和責任制，保障人力、財力、物力投入。

運營者的主要負責人對關鍵信息基礎設施安全保護負總責，領導關鍵信息基礎設施安全保護和重大網(wǎng)絡安全事件處置工作，組織研究解決重大網(wǎng)絡安全問題。

第十二條 運營者應當設置專門安全管理機構，配備相應的人員，開展與網(wǎng)絡安全和信息化有關的決策應當有專門安全管理機構人員參與。

運營者應當對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。專門安全管理機構負責人和關鍵崗位人員的身份、安全背景等發(fā)生變化或者必要時，運營者應當重新對其進行安全背景審查。

第十三條 專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作，履行下列職責：

（一）建立健全網(wǎng)絡安全管理、評價考核制度，擬訂關鍵信息基礎設施安全保護計劃；

（二）組織推動網(wǎng)絡安全防護能力建設，開展網(wǎng)絡安全監(jiān)測、檢測和風險評估；

（三）按照國家及郵政業(yè)相關應急預案等規(guī)定，制定本單位網(wǎng)絡安全事件應急預案，定期開展應急演練，處置網(wǎng)絡安全事件；

（四）認定網(wǎng)絡安全關鍵崗位，組織開展網(wǎng)絡安全工作考核，提出獎勵和懲處建議；

（五）組織網(wǎng)絡安全教育、培訓；

（六）履行個人信息和數(shù)據(jù)安全保護責任，建立健全個人信息和數(shù)據(jù)安全保護制度；

（七）對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理；

（八）按照規(guī)定報告網(wǎng)絡安全事件和重要事項。

第十四條 運營者應當保障專門安全管理機構的運行經(jīng)費。重要網(wǎng)絡設施和安全設備達到使用期限的或不能滿足關鍵信息基礎設施安全保護基本要求的，運營者應當及時更新設施設備，并做好經(jīng)費保障。

第十五條 運營者應當加強關鍵信息基礎設施供應鏈安全保護，優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務。運營者采購網(wǎng)絡產(chǎn)品和服務，應當預判該產(chǎn)品和服務投入使用后對國家安全的影響；可能影響國家安全的，應當按照國家網(wǎng)絡安全規(guī)定通過安全審查。

第十六條 運營者應當加強關鍵信息基礎設施個人信息和數(shù)據(jù)安全保護，將在我國境內(nèi)運營中收集和產(chǎn)生的寄遞服務用戶個人信息和重要數(shù)據(jù)存儲在境內(nèi)。因業(yè)務需要，確需向境外提供數(shù)據(jù)的，應當依法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

第十七條 運營者應當每年對關鍵信息基礎設施安全保護計劃至少評估一次。情況發(fā)生重大變化的，應當及時修訂，并向國家郵政局、屬地公安機關報告。

第十八條 運營者應當按照國家有關規(guī)定和要求推動網(wǎng)絡安全防護能力建設，自行或者委托網(wǎng)絡安全服務機構對關鍵信息基礎設施每年至少進行一次網(wǎng)絡安全檢測和風險評估，對發(fā)現(xiàn)的安全問題及時整改記錄。對短期內(nèi)無法完成整改的重大風險隱患，要制定整改計劃和風險管控方案。

第十九條 運營者使用商用密碼保護關鍵信息基礎設施的，應當符合《中華人民共和國密碼法》等有關規(guī)定。

第二十條 運營者應當加強保密管理，按照國家有關規(guī)定與網(wǎng)絡產(chǎn)品和服務提供者等必要人員簽訂安全保密協(xié)議，明確提供者等必要人員的技術支持和安全保密義務與責任，并對義務與責任履行情況進行監(jiān)督。

第二十一條 運營者應當制定網(wǎng)絡安全教育培訓制度，定期開展網(wǎng)絡安全教育培訓和技能考核。教育培訓的具體內(nèi)容和學時應當遵守國家有關規(guī)定。鼓勵網(wǎng)絡安全專門人才從事郵政業(yè)關鍵信息基礎設施安全保護工作。

第二十二條 運營者應當制定本單位的監(jiān)測預警制度，建設本單位網(wǎng)絡安全監(jiān)測系統(tǒng)，及時收集、匯總、分析各方網(wǎng)絡安全信息，開展全天候監(jiān)測和值班值守，研判整體安全態(tài)勢。

第二十三條 運營者應當制定本單位網(wǎng)絡安全事件應急預案，建立網(wǎng)絡安全事件應急處置機制，加強應急力量建設和應急資源儲備，每年至少開展一次應急演練，并針對應急演練發(fā)現(xiàn)的突出問題和漏洞隱患及時整改，完善保護措施。

第二十四條 郵政業(yè)關鍵信息基礎設施發(fā)生網(wǎng)絡安全事件或者發(fā)現(xiàn)網(wǎng)絡安全威脅時，運營者應當立即啟動應急預案開展處理，并按規(guī)定向國家郵政局、屬地公安機關報告。

郵政業(yè)關鍵信息基礎設施發(fā)生特別重大網(wǎng)絡安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡安全威脅時，國家郵政局應當在收到報告后，及時向國家網(wǎng)信部門、國務院公安部門報告。

第二十五條 運營者發(fā)生合并、分立、解散等情況，應當及時報告國家郵政局，并按照國家郵政局要求對關鍵信息基礎設施進行處置，確保安全。

第四章? 保障和監(jiān)督

第二十六條 國家郵政局應當制定郵政業(yè)關鍵信息基礎設施安全規(guī)劃，明確保護目標、基本要求、工作任務、具體措施。

第二十七條 國家郵政局應當組織建立郵政業(yè)關鍵信息基礎設施網(wǎng)絡安全監(jiān)測預警制度，健全郵政業(yè)網(wǎng)絡與信息安全信息通報工作機制，依法與有關部門共享相關監(jiān)測預警信息。

第二十八條 國家郵政局應當按照國家網(wǎng)絡安全事件應急預案的要求，建立健全郵政業(yè)網(wǎng)絡安全事件應急預案，定期組織應急演練；指導運營者做好網(wǎng)絡安全事件應對處置，根據(jù)需要組織提供技術支持與協(xié)助。

第二十九條 國家郵政局應當定期組織開展郵政業(yè)關鍵信息基礎設施網(wǎng)絡安全檢查檢測，指導監(jiān)督運營者建立問題臺賬，制定整改方案，及時整改安全隱患、完善安全措施。

網(wǎng)絡安全檢查檢測應當避免不必要的檢查和交叉重復檢查。檢查工作不得收取費用，不得要求被檢查單位購買指定品牌或者指定生產(chǎn)、銷售單位的產(chǎn)品和服務。

第三十條 運營者對國家郵政局開展的網(wǎng)絡安全檢查檢測工作應當予以配合，并如實提供網(wǎng)絡安全管理制度、重要資產(chǎn)清單、網(wǎng)絡日志等必要的資料。

第三十一條 運營者網(wǎng)絡安全工作不力、重大安全問題隱患久拖不改，或者存在重大網(wǎng)絡安全風險、發(fā)生重大網(wǎng)絡安全事件，依法應當實施行政處罰的，郵政管理部門按照有關法律、行政法規(guī)的規(guī)定予以處罰，并加大網(wǎng)絡安全監(jiān)督檢查力度。

第三十二條 各級郵政管理部門、網(wǎng)絡安全服務機構及其工作人員對于在郵政業(yè)關鍵信息基礎設施安全保護過程中獲取的信息，只能用于維護網(wǎng)絡安全，并嚴格按照有關法律、行政法規(guī)的要求確保信息安全，不得泄露、出售或者非法向他人提供。

第五章?? 附?? 則

第三十三條? 法律、法規(guī)、規(guī)章對本辦法規(guī)定的事項另有規(guī)定或者國家另有要求的，從其規(guī)定。

第三十四條 本辦法自2026年2月1日起施行。