中華人民共和國工業(yè)和信息化部令
第 11 號
《通信網(wǎng)絡(luò )安全防護管理辦法》已經(jīng)2009年12月29日中華人民共和國工業(yè)和信息化部第8次部務(wù)會(huì )議審議通過(guò)��,現予公布��,自2010年3月1日起施行���。
部長(cháng) 李毅中
二〇一〇年一月二十一日
通信網(wǎng)絡(luò )安全防護管理辦法
第一條 為了加強對通信網(wǎng)絡(luò )安全的管理���,提高通信網(wǎng)絡(luò )安全防護能力����,保障通信網(wǎng)絡(luò )安全暢通�����,根據《中華人民共和國電信條例》���,制定本辦法���。
第二條 中華人民共和國境內的電信業(yè)務(wù)經(jīng)營(yíng)者和互聯(lián)網(wǎng)域名服務(wù)提供者(以下統稱(chēng)“通信網(wǎng)絡(luò )運行單位”)管理和運行的公用通信網(wǎng)和互聯(lián)網(wǎng)(以下統稱(chēng)“通信網(wǎng)絡(luò )”)的網(wǎng)絡(luò )安全防護工作�,適用本辦法��。
本辦法所稱(chēng)互聯(lián)網(wǎng)域名服務(wù)��,是指設置域名數據庫或者域名解析服務(wù)器�,為域名持有者提供域名注冊或者權威解析服務(wù)的行為�����。
本辦法所稱(chēng)網(wǎng)絡(luò )安全防護工作�����,是指為防止通信網(wǎng)絡(luò )阻塞�、中斷����、癱瘓或者被非法控制�,以及為防止通信網(wǎng)絡(luò )中傳輸���、存儲�、處理的數據信息丟失�、泄露或者被篡改而開(kāi)展的工作�����。
第三條 通信網(wǎng)絡(luò )安全防護工作堅持積極防御�、綜合防范�����、分級保護的原則����。
第四條 中華人民共和國工業(yè)和信息化部(以下簡(jiǎn)稱(chēng)工業(yè)和信息化部)負責全國通信網(wǎng)絡(luò )安全防護工作的統一指導���、協(xié)調和檢查���,組織建立健全通信網(wǎng)絡(luò )安全防護體系�����,制定通信行業(yè)相關(guān)標準���。
各省�、自治區���、直轄市通信管理局(以下簡(jiǎn)稱(chēng)通信管理局)依據本辦法的規定���,對本行政區域內的通信網(wǎng)絡(luò )安全防護工作進(jìn)行指導���、協(xié)調和檢查��。
工業(yè)和信息化部與通信管理局統稱(chēng)“電信管理機構”��。
第五條 通信網(wǎng)絡(luò )運行單位應當按照電信管理機構的規定和通信行業(yè)標準開(kāi)展通信網(wǎng)絡(luò )安全防護工作�����,對本單位通信網(wǎng)絡(luò )安全負責�����。
第六條 通信網(wǎng)絡(luò )運行單位新建�����、改建�、擴建通信網(wǎng)絡(luò )工程項目�����,應當同步建設通信網(wǎng)絡(luò )安全保障設施��,并與主體工程同時(shí)進(jìn)行驗收和投入運行�。
通信網(wǎng)絡(luò )安全保障設施的新建�����、改建��、擴建費用�����,應當納入本單位建設項目概算�。
第七條 通信網(wǎng)絡(luò )運行單位應當對本單位已正式投入運行的通信網(wǎng)絡(luò )進(jìn)行單元劃分���,并按照各通信網(wǎng)絡(luò )單元遭到破壞后可能對國家安全�、經(jīng)濟運行�、社會(huì )秩序�、公眾利益的危害程度����,由低到高分別劃分為一級����、二級����、三級�、四級����、五級��。
電信管理機構應當組織專(zhuān)家對通信網(wǎng)絡(luò )單元的分級情況進(jìn)行評審��。
通信網(wǎng)絡(luò )運行單位應當根據實(shí)際情況適時(shí)調整通信網(wǎng)絡(luò )單元的劃分和級別�,并按照前款規定進(jìn)行評審��。
第八條 通信網(wǎng)絡(luò )運行單位應當在通信網(wǎng)絡(luò )定級評審通過(guò)后三十日內����,將通信網(wǎng)絡(luò )單元的劃分和定級情況按照以下規定向電信管理機構備案:
(一)基礎電信業(yè)務(wù)經(jīng)營(yíng)者集團公司向工業(yè)和信息化部申請辦理其直接管理的通信網(wǎng)絡(luò )單元的備案;基礎電信業(yè)務(wù)經(jīng)營(yíng)者各省(自治區���、直轄市)子公司����、分公司向當地通信管理局申請辦理其負責管理的通信網(wǎng)絡(luò )單元的備案;
(二)增值電信業(yè)務(wù)經(jīng)營(yíng)者向作出電信業(yè)務(wù)經(jīng)營(yíng)許可決定的電信管理機構備案;
(三)互聯(lián)網(wǎng)域名服務(wù)提供者向工業(yè)和信息化部備案�。
第九條 通信網(wǎng)絡(luò )運行單位辦理通信網(wǎng)絡(luò )單元備案�����,應當提交以下信息:
(一)通信網(wǎng)絡(luò )單元的名稱(chēng)����、級別和主要功能;
(二)通信網(wǎng)絡(luò )單元責任單位的名稱(chēng)和聯(lián)系方式;
(三)通信網(wǎng)絡(luò )單元主要負責人的姓名和聯(lián)系方式;
(四)通信網(wǎng)絡(luò )單元的拓撲架構����、網(wǎng)絡(luò )邊界�、主要軟硬件及型號和關(guān)鍵設施位置;
(五)電信管理機構要求提交的涉及通信網(wǎng)絡(luò )安全的其他信息�。
前款規定的備案信息發(fā)生變化的�����,通信網(wǎng)絡(luò )運行單位應當自信息變化之日起三十日內向電信管理機構變更備案�。
通信網(wǎng)絡(luò )運行單位報備的信息應當真實(shí)����、完整����。
第十條 電信管理機構應當對備案信息的真實(shí)性�����、完整性進(jìn)行核查���,發(fā)現備案信息不真實(shí)�、不完整的�����,通知備案單位予以補正���。
第十一條 通信網(wǎng)絡(luò )運行單位應當落實(shí)與通信網(wǎng)絡(luò )單元級別相適應的安全防護措施��,并按照以下規定進(jìn)行符合性評測:
(一)三級及三級以上通信網(wǎng)絡(luò )單元應當每年進(jìn)行一次符合性評測;
(二)二級通信網(wǎng)絡(luò )單元應當每?jì)赡赀M(jìn)行一次符合性評測���。
通信網(wǎng)絡(luò )單元的劃分和級別調整的����,應當自調整完成之日起九十日內重新進(jìn)行符合性評測��。
通信網(wǎng)絡(luò )運行單位應當在評測結束后三十日內�,將通信網(wǎng)絡(luò )單元的符合性評測結果�、整改情況或者整改計劃報送通信網(wǎng)絡(luò )單元的備案機構��。
第十二條 通信網(wǎng)絡(luò )運行單位應當按照以下規定組織對通信網(wǎng)絡(luò )單元進(jìn)行安全風(fēng)險評估��,及時(shí)消除重大網(wǎng)絡(luò )安全隱患:
(一)三級及三級以上通信網(wǎng)絡(luò )單元應當每年進(jìn)行一次安全風(fēng)險評估;
(二)二級通信網(wǎng)絡(luò )單元應當每?jì)赡赀M(jìn)行一次安全風(fēng)險評估���。
國家重大活動(dòng)舉辦前���,通信網(wǎng)絡(luò )單元應當按照電信管理機構的要求進(jìn)行安全風(fēng)險評估���。
通信網(wǎng)絡(luò )運行單位應當在安全風(fēng)險評估結束后三十日內��,將安全風(fēng)險評估結果����、隱患處理情況或者處理計劃報送通信網(wǎng)絡(luò )單元的備案機構���。
第十三條 通信網(wǎng)絡(luò )運行單位應當對通信網(wǎng)絡(luò )單元的重要線(xiàn)路��、設備��、系統和數據等進(jìn)行備份����。
第十四條 通信網(wǎng)絡(luò )運行單位應當組織演練���,檢驗通信網(wǎng)絡(luò )安全防護措施的有效性���。
通信網(wǎng)絡(luò )運行單位應當參加電信管理機構組織開(kāi)展的演練�。
第十五條 通信網(wǎng)絡(luò )運行單位應當建設和運行通信網(wǎng)絡(luò )安全監測系統�,對本單位通信網(wǎng)絡(luò )的安全狀況進(jìn)行監測����。
第十六條 通信網(wǎng)絡(luò )運行單位可以委托專(zhuān)業(yè)機構開(kāi)展通信網(wǎng)絡(luò )安全評測���、評估����、監測等工作�����。
工業(yè)和信息化部應當根據通信網(wǎng)絡(luò )安全防護工作的需要���,加強對前款規定的受托機構的安全評測�、評估�、監測能力指導�����。
第十七條 電信管理機構應當對通信網(wǎng)絡(luò )運行單位開(kāi)展通信網(wǎng)絡(luò )安全防護工作的情況進(jìn)行檢查����。
電信管理機構可以采取以下檢查措施:
(一)查閱通信網(wǎng)絡(luò )運行單位的符合性評測報告和風(fēng)險評估報告;
(二)查閱通信網(wǎng)絡(luò )運行單位有關(guān)網(wǎng)絡(luò )安全防護的文檔和工作記錄;
(三)向通信網(wǎng)絡(luò )運行單位工作人員詢(xún)問(wèn)了解有關(guān)情況;
(四)查驗通信網(wǎng)絡(luò )運行單位的有關(guān)設施;
(五)對通信網(wǎng)絡(luò )進(jìn)行技術(shù)性分析和測試;
(六)法律��、行政法規規定的其他檢查措施�。
第十八條 電信管理機構可以委托專(zhuān)業(yè)機構開(kāi)展通信網(wǎng)絡(luò )安全檢查活動(dòng)���。
第十九條 通信網(wǎng)絡(luò )運行單位應當配合電信管理機構及其委托的專(zhuān)業(yè)機構開(kāi)展檢查活動(dòng)��,對于檢查中發(fā)現的重大網(wǎng)絡(luò )安全隱患�,應當及時(shí)整改�。
第二十條 電信管理機構對通信網(wǎng)絡(luò )安全防護工作進(jìn)行檢查�����,不得影響通信網(wǎng)絡(luò )的正常運行�����,不得收取任何費用�����,不得要求接受檢查的單位購買(mǎi)指定品牌或者指定單位的安全軟件���、設備或者其他產(chǎn)品�����。
第二十一條 電信管理機構及其委托的專(zhuān)業(yè)機構的工作人員對于檢查工作中獲悉的國家秘密��、商業(yè)秘密和個(gè)人隱私�,有保密的義務(wù)�����。
第二十二條 違反本辦法第六條第一款�、第七條第一款和第三款����、第八條��、第九條�、第十一條�、第十二條�、第十三條����、第十四條����、第十五條��、第十九條規定的���,由電信管理機構依據職權責令改正;拒不改正的�,給予警告�����,并處五千元以上三萬(wàn)元以下的罰款��。
第二十三條 電信管理機構的工作人員違反本辦法第二十條��、第二十一條規定的���,依法給予行政處分;構成犯罪的���,依法追究刑事責任�。
第二十四條 本辦法自2010年3月1日起施行���。
