中華人民共和國工業(yè)和信息化部令第11號
《通信網(wǎng)絡(luò)安全防護管理辦法》已經(jīng)2009年12月29日中華人民共和國工業(yè)和信息化部第8次部務(wù)會議審議通過,現(xiàn)予公布�,自2010年3月1日起施行���。
部長李毅中
二〇一〇年一月二十一日
通信網(wǎng)絡(luò)安全防護管理辦法
第一條為了加強對通信網(wǎng)絡(luò)安全的管理,提高通信網(wǎng)絡(luò)安全防護能力����,保障通信網(wǎng)絡(luò)安全暢通����,根據(jù)《中華人民共和國電信條例》��,制定本辦法�����。
第二條中華人民共和國境內(nèi)的電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)域名服務(wù)提供者(以下統(tǒng)稱“通信網(wǎng)絡(luò)運行單位”)管理和運行的公用通信網(wǎng)和互聯(lián)網(wǎng)(以下統(tǒng)稱“通信網(wǎng)絡(luò)”)的網(wǎng)絡(luò)安全防護工作���,適用本辦法�����。
本辦法所稱互聯(lián)網(wǎng)域名服務(wù)���,是指設(shè)置域名數(shù)據(jù)庫或者域名解析服務(wù)器,為域名持有者提供域名注冊或者權(quán)威解析服務(wù)的行為��。
本辦法所稱網(wǎng)絡(luò)安全防護工作����,是指為防止通信網(wǎng)絡(luò)阻塞、中斷�、癱瘓或者被非法控制�,以及為防止通信網(wǎng)絡(luò)中傳輸��、存儲���、處理的數(shù)據(jù)信息丟失�、泄露或者被篡改而開展的工作����。
第三條通信網(wǎng)絡(luò)安全防護工作堅持積極防御�、綜合防范、分級保護的原則���。
第四條中華人民共和國工業(yè)和信息化部(以下簡稱工業(yè)和信息化部)負責全國通信網(wǎng)絡(luò)安全防護工作的統(tǒng)一指導(dǎo)��、協(xié)調(diào)和檢查�����,組織建立健全通信網(wǎng)絡(luò)安全防護體系����,制定通信行業(yè)相關(guān)標準��。
各省、自治區(qū)��、直轄市通信管理局(以下簡稱通信管理局)依據(jù)本辦法的規(guī)定����,對本行政區(qū)域內(nèi)的通信網(wǎng)絡(luò)安全防護工作進行指導(dǎo)、協(xié)調(diào)和檢查�。
工業(yè)和信息化部與通信管理局統(tǒng)稱“電信管理機構(gòu)”。
第五條通信網(wǎng)絡(luò)運行單位應(yīng)當按照電信管理機構(gòu)的規(guī)定和通信行業(yè)標準開展通信網(wǎng)絡(luò)安全防護工作�,對本單位通信網(wǎng)絡(luò)安全負責。
第六條通信網(wǎng)絡(luò)運行單位新建�、改建、擴建通信網(wǎng)絡(luò)工程項目�,應(yīng)當同步建設(shè)通信網(wǎng)絡(luò)安全保障設(shè)施,并與主體工程同時進行驗收和投入運行��。
通信網(wǎng)絡(luò)安全保障設(shè)施的新建����、改建、擴建費用�,應(yīng)當納入本單位建設(shè)項目概算。
第七條通信網(wǎng)絡(luò)運行單位應(yīng)當對本單位已正式投入運行的通信網(wǎng)絡(luò)進行單元劃分����,并按照各通信網(wǎng)絡(luò)單元遭到破壞后可能對國家安全���、經(jīng)濟運行、社會秩序��、公眾利益的危害程度����,由低到高分別劃分為一級、二級���、三級、四級�����、五級�����。
電信管理機構(gòu)應(yīng)當組織專家對通信網(wǎng)絡(luò)單元的分級情況進行評審���。
通信網(wǎng)絡(luò)運行單位應(yīng)當根據(jù)實際情況適時調(diào)整通信網(wǎng)絡(luò)單元的劃分和級別�,并按照前款規(guī)定進行評審�。
第八條通信網(wǎng)絡(luò)運行單位應(yīng)當在通信網(wǎng)絡(luò)定級評審?fù)ㄟ^后三十日內(nèi)�����,將通信網(wǎng)絡(luò)單元的劃分和定級情況按照以下規(guī)定向電信管理機構(gòu)備案:
(一)基礎(chǔ)電信業(yè)務(wù)經(jīng)營者集團公司向工業(yè)和信息化部申請辦理其直接管理的通信網(wǎng)絡(luò)單元的備案����;基礎(chǔ)電信業(yè)務(wù)經(jīng)營者各省(自治區(qū)�、直轄市)子公司、分公司向當?shù)赝ㄐ殴芾砭稚暾堔k理其負責管理的通信網(wǎng)絡(luò)單元的備案���;
(二)增值電信業(yè)務(wù)經(jīng)營者向作出電信業(yè)務(wù)經(jīng)營許可決定的電信管理機構(gòu)備案����;
(三)互聯(lián)網(wǎng)域名服務(wù)提供者向工業(yè)和信息化部備案���。
第九條通信網(wǎng)絡(luò)運行單位辦理通信網(wǎng)絡(luò)單元備案���,應(yīng)當提交以下信息:
(一)通信網(wǎng)絡(luò)單元的名稱、級別和主要功能�;
(二)通信網(wǎng)絡(luò)單元責任單位的名稱和聯(lián)系方式;
(三)通信網(wǎng)絡(luò)單元主要負責人的姓名和聯(lián)系方式����;
(四)通信網(wǎng)絡(luò)單元的拓撲架構(gòu)���、網(wǎng)絡(luò)邊界、主要軟硬件及型號和關(guān)鍵設(shè)施位置�����;
(五)電信管理機構(gòu)要求提交的涉及通信網(wǎng)絡(luò)安全的其他信息���。
前款規(guī)定的備案信息發(fā)生變化的�,通信網(wǎng)絡(luò)運行單位應(yīng)當自信息變化之日起三十日內(nèi)向電信管理機構(gòu)變更備案��。
通信網(wǎng)絡(luò)運行單位報備的信息應(yīng)當真實����、完整�。
第十條電信管理機構(gòu)應(yīng)當對備案信息的真實性、完整性進行核查��,發(fā)現(xiàn)備案信息不真實���、不完整的����,通知備案單位予以補正。
第十一條通信網(wǎng)絡(luò)運行單位應(yīng)當落實與通信網(wǎng)絡(luò)單元級別相適應(yīng)的安全防護措施���,并按照以下規(guī)定進行符合性評測:
(一)三級及三級以上通信網(wǎng)絡(luò)單元應(yīng)當每年進行一次符合性評測��;
(二)二級通信網(wǎng)絡(luò)單元應(yīng)當每兩年進行一次符合性評測���。
通信網(wǎng)絡(luò)單元的劃分和級別調(diào)整的,應(yīng)當自調(diào)整完成之日起九十日內(nèi)重新進行符合性評測�����。
通信網(wǎng)絡(luò)運行單位應(yīng)當在評測結(jié)束后三十日內(nèi)�����,將通信網(wǎng)絡(luò)單元的符合性評測結(jié)果����、整改情況或者整改計劃報送通信網(wǎng)絡(luò)單元的備案機構(gòu)。
第十二條通信網(wǎng)絡(luò)運行單位應(yīng)當按照以下規(guī)定組織對通信網(wǎng)絡(luò)單元進行安全風(fēng)險評估�,及時消除重大網(wǎng)絡(luò)安全隱患:
(一)三級及三級以上通信網(wǎng)絡(luò)單元應(yīng)當每年進行一次安全風(fēng)險評估;
(二)二級通信網(wǎng)絡(luò)單元應(yīng)當每兩年進行一次安全風(fēng)險評估�����。
國家重大活動舉辦前,通信網(wǎng)絡(luò)單元應(yīng)當按照電信管理機構(gòu)的要求進行安全風(fēng)險評估�����。
通信網(wǎng)絡(luò)運行單位應(yīng)當在安全風(fēng)險評估結(jié)束后三十日內(nèi)���,將安全風(fēng)險評估結(jié)果�、隱患處理情況或者處理計劃報送通信網(wǎng)絡(luò)單元的備案機構(gòu)�。
第十三條通信網(wǎng)絡(luò)運行單位應(yīng)當對通信網(wǎng)絡(luò)單元的重要線路、設(shè)備���、系統(tǒng)和數(shù)據(jù)等進行備份�����。
第十四條通信網(wǎng)絡(luò)運行單位應(yīng)當組織演練�,檢驗通信網(wǎng)絡(luò)安全防護措施的有效性�����。
通信網(wǎng)絡(luò)運行單位應(yīng)當參加電信管理機構(gòu)組織開展的演練����。
第十五條通信網(wǎng)絡(luò)運行單位應(yīng)當建設(shè)和運行通信網(wǎng)絡(luò)安全監(jiān)測系統(tǒng),對本單位通信網(wǎng)絡(luò)的安全狀況進行監(jiān)測����。
第十六條通信網(wǎng)絡(luò)運行單位可以委托專業(yè)機構(gòu)開展通信網(wǎng)絡(luò)安全評測、評估�����、監(jiān)測等工作���。
工業(yè)和信息化部應(yīng)當根據(jù)通信網(wǎng)絡(luò)安全防護工作的需要��,加強對前款規(guī)定的受托機構(gòu)的安全評測�����、評估�、監(jiān)測能力指導(dǎo)�。
第十七條電信管理機構(gòu)應(yīng)當對通信網(wǎng)絡(luò)運行單位開展通信網(wǎng)絡(luò)安全防護工作的情況進行檢查。
電信管理機構(gòu)可以采取以下檢查措施:
(一)查閱通信網(wǎng)絡(luò)運行單位的符合性評測報告和風(fēng)險評估報告�;
(二)查閱通信網(wǎng)絡(luò)運行單位有關(guān)網(wǎng)絡(luò)安全防護的文檔和工作記錄;
(三)向通信網(wǎng)絡(luò)運行單位工作人員詢問了解有關(guān)情況���;
(四)查驗通信網(wǎng)絡(luò)運行單位的有關(guān)設(shè)施����;
(五)對通信網(wǎng)絡(luò)進行技術(shù)性分析和測試;
(六)法律���、行政法規(guī)規(guī)定的其他檢查措施��。
第十八條電信管理機構(gòu)可以委托專業(yè)機構(gòu)開展通信網(wǎng)絡(luò)安全檢查活動���。
第十九條通信網(wǎng)絡(luò)運行單位應(yīng)當配合電信管理機構(gòu)及其委托的專業(yè)機構(gòu)開展檢查活動,對于檢查中發(fā)現(xiàn)的重大網(wǎng)絡(luò)安全隱患�,應(yīng)當及時整改。
第二十條電信管理機構(gòu)對通信網(wǎng)絡(luò)安全防護工作進行檢查�����,不得影響通信網(wǎng)絡(luò)的正常運行��,不得收取任何費用��,不得要求接受檢查的單位購買指定品牌或者指定單位的安全軟件���、設(shè)備或者其他產(chǎn)品�。
第二十一條電信管理機構(gòu)及其委托的專業(yè)機構(gòu)的工作人員對于檢查工作中獲悉的國家秘密��、商業(yè)秘密和個人隱私��,有保密的義務(wù)���。
第二十二條違反本辦法第六條第一款����、第七條第一款和第三款��、第八條�����、第九條�、第十一條、第十二條�����、第十三條�、第十四條、第十五條���、第十九條規(guī)定的��,由電信管理機構(gòu)依據(jù)職權(quán)責令改正��;拒不改正的�����,給予警告����,并處五千元以上三萬元以下的罰款。
第二十三條電信管理機構(gòu)的工作人員違反本辦法第二十條��、第二十一條規(guī)定的�,依法給予行政處分;構(gòu)成犯罪的��,依法追究刑事責任�。
第二十四條本辦法自2010年3月1日起施行。