工信部擬出臺新政加強通信網(wǎng)絡(luò )安全監督

()8月8日，工信部今天發(fā)布《通信網(wǎng)絡(luò )安全防護監督管理辦法(征求意見(jiàn)稿)》，廣泛征集意見(jiàn)，擬出臺新的互聯(lián)網(wǎng)安全管理辦法，以此來(lái)加強通信網(wǎng)絡(luò )安全管理職責。另外對通信網(wǎng)絡(luò )、互聯(lián)網(wǎng)域名服務(wù)等經(jīng)營(yíng)者不備案、存在重大網(wǎng)絡(luò )安全隱患的，先予以警告，最高可處3萬(wàn)元以下罰款。

以下是《通信網(wǎng)絡(luò )安全防護監督管理辦法(征求意見(jiàn)稿)》全文：

為切實(shí)履行通信網(wǎng)絡(luò )安全管理職責，提高通信網(wǎng)絡(luò )安全防護水平，依據《中華人民共和國電信條例》，工業(yè)和信息化部起草了《通信網(wǎng)絡(luò )安全防護監督管理辦法(征求意見(jiàn)稿)》，現予以公告，征求意見(jiàn)。請于2009年9月4日前反饋意見(jiàn)。

聯(lián)系地址:北京西長(cháng)安街13號工業(yè)和信息化部政策法規司(郵編:100804)

電子郵件:wangxiaofei@miit.gov.cn

附件:《通信網(wǎng)絡(luò )安全防護監督管理辦法(征求意見(jiàn)稿)》

通信網(wǎng)絡(luò )安全防護監督管理辦法

(征求意見(jiàn)稿)

第一條(目的依據)為加強對通信網(wǎng)絡(luò )安全的管理，提高通信網(wǎng)絡(luò )安全防護能力，保障通信網(wǎng)絡(luò )安全暢通，根據《中華人民共和國電信條例》，制定本辦法。

第二條(適用范圍)中華人民共和國境內的電信業(yè)務(wù)經(jīng)營(yíng)者和互聯(lián)網(wǎng)域名服務(wù)提供者(以下統稱(chēng)“通信網(wǎng)絡(luò )運行單位”)管理和運行的公用通信網(wǎng)和互聯(lián)網(wǎng)(以下統稱(chēng)“通信網(wǎng)絡(luò )”)的網(wǎng)絡(luò )安全防護工作，適用本辦法。

本辦法所稱(chēng)互聯(lián)網(wǎng)域名服務(wù)，是指設置域名數據庫或域名解析服務(wù)器，為域名持有者提供域名注冊或權威解析服務(wù)的行為。

本辦法所稱(chēng)網(wǎng)絡(luò )安全防護工作，是指為防止通信網(wǎng)絡(luò )阻塞、中斷、癱瘓或被非法控制等以及通信網(wǎng)絡(luò )中傳輸、存儲、處理的數據信息丟失、泄露或被非法篡改等而開(kāi)展的相關(guān)工作。

第三條(管轄職責)中華人民共和國工業(yè)和信息化部(以下簡(jiǎn)稱(chēng)工業(yè)和信息化部)負責全國通信網(wǎng)絡(luò )安全防護工作的統一指導、協(xié)調、監督和檢查，建立健全通信網(wǎng)絡(luò )安全防護體系，制訂通信網(wǎng)絡(luò )安全防護標準。

省、自治區、直轄市通信管理局(以下簡(jiǎn)稱(chēng)“通信管理局”)依據本辦法的規定，對本行政區域內通信網(wǎng)絡(luò )安全防護工作進(jìn)行指導、協(xié)調、監督和檢查。

工業(yè)和信息化部和通信管理局統稱(chēng)“電信管理機構”。

第四條(責任主體)通信網(wǎng)絡(luò )運行單位應當按照本辦法和通信網(wǎng)絡(luò )安全防護政策、標準的要求開(kāi)展通信網(wǎng)絡(luò )安全防護工作，對本單位通信網(wǎng)絡(luò )安全負責。

第五條(方針原則)通信網(wǎng)絡(luò )安全防護工作堅持積極防御、綜合防范的方針，實(shí)行分級保護的原則。

第六條(同步要求)通信網(wǎng)絡(luò )運行單位規劃、設計、新建、改建通信網(wǎng)絡(luò )工程項目，應當同步規劃、設計、建設滿(mǎn)足通信網(wǎng)絡(luò )安全防護標準要求的通信網(wǎng)絡(luò )安全保障設施，并與主體工程同時(shí)進(jìn)行驗收和投入運行。

已經(jīng)投入運行的通信網(wǎng)絡(luò )安全保障設施沒(méi)有滿(mǎn)足通信網(wǎng)絡(luò )安全防護標準要求的，通信網(wǎng)絡(luò )運行單位應當進(jìn)行改建。

通信網(wǎng)絡(luò )安全保障設施的規劃、設計、新建、改建費用，應當納入本單位建設項目預算。

第七條(分級保護要求)通信網(wǎng)絡(luò )運行單位應當按照通信網(wǎng)絡(luò )安全防護標準規定的方法，對本單位已正式投入運行的通信網(wǎng)絡(luò )進(jìn)行單元劃分，將各通信網(wǎng)絡(luò )單元按照其對國家和社會(huì )經(jīng)濟發(fā)展的重要程度由低到高分別劃分為一級、二級、三級、四級、五級。

通信網(wǎng)絡(luò )單元的分級結果應由接受其備案的電信管理機構組織專(zhuān)家進(jìn)行評審。

通信網(wǎng)絡(luò )運行單位應當根據實(shí)際情況適時(shí)調整通信網(wǎng)絡(luò )單元的劃分和級別。通信網(wǎng)絡(luò )運行單位調整通信網(wǎng)絡(luò )單元的劃分和級別的，應當按照前款規定重新進(jìn)行評審。

第八條(備案要求1)通信網(wǎng)絡(luò )運行單位應當按照下列規定在通信網(wǎng)絡(luò )投入運行后30日內將通信網(wǎng)絡(luò )單元向電信管理機構備案:

(一)基礎電信業(yè)務(wù)經(jīng)營(yíng)者集團公司直接管理的通信網(wǎng)絡(luò )單元，向工業(yè)和信息化部備案；基礎電信業(yè)務(wù)經(jīng)營(yíng)者各省(自治區、直轄市)子公司、分公司負責管理的通信網(wǎng)絡(luò )單元，向當地通信管理局備案。

(二)增值電信業(yè)務(wù)經(jīng)營(yíng)者的通信網(wǎng)絡(luò )單元，向電信業(yè)務(wù)經(jīng)營(yíng)許可證的發(fā)證機構備案。

(三)互聯(lián)網(wǎng)域名服務(wù)提供者的通信網(wǎng)絡(luò )單元，向工業(yè)和信息化部備案。

第九條(備案要求2)通信網(wǎng)絡(luò )運行單位辦理通信網(wǎng)絡(luò )單元備案，應當提交以下信息:

(一)通信網(wǎng)絡(luò )單元的名稱(chēng)、級別、主要功能等。

(二)通信網(wǎng)絡(luò )單元責任單位的名稱(chēng)、聯(lián)系方式等。

(三)通信網(wǎng)絡(luò )單元主要負責人的姓名、聯(lián)系方式等。

(四)通信網(wǎng)絡(luò )單元的拓撲架構、網(wǎng)絡(luò )邊界、主要軟硬件及型號、關(guān)鍵設施位址等。

前款規定的備案信息發(fā)生變化的，通信網(wǎng)絡(luò )運行單位應當自變更之日起15日內向電信管理機構變更備案。

第十條(備案審核)電信管理機構應當自收到通信網(wǎng)絡(luò )單元備案申請后20日內完成備案信息審核工作。備案信息真實(shí)、齊全、符合規定形式的，應當予以備案；備案信息不真實(shí)、不齊全或者不符合規定形式的，應當通知備案單位補正。

第十一條(符合性評測要求)通信網(wǎng)絡(luò )運行單位應當按照通信網(wǎng)絡(luò )安全防護標準的要求，落實(shí)與通信網(wǎng)絡(luò )單元級別相適應的安全防護措施，并自行組織進(jìn)行符合性評測。評測方法應當符合通信網(wǎng)絡(luò )安全防護標準的有關(guān)規定。

三級及三級以上通信網(wǎng)絡(luò )單元，應當每年進(jìn)行一次符合性評測；二級通信網(wǎng)絡(luò )單元，應當每?jì)赡赀M(jìn)行一次符合性評測。通信網(wǎng)絡(luò )單元的級別調整后，應當及時(shí)重新進(jìn)行符合性評測。

符合性評測結果及整改情況或者整改計劃應當于評測結束后30日內報送通信網(wǎng)絡(luò )單元的備案機構。

第十二條(風(fēng)險評估要求)通信網(wǎng)絡(luò )運行單位應當對通信網(wǎng)絡(luò )單元進(jìn)行經(jīng)常性的風(fēng)險評估，及時(shí)消除重大網(wǎng)絡(luò )安全隱患。風(fēng)險評估方法應當符合通信網(wǎng)絡(luò )安全防護標準的有關(guān)規定。

三級及三級以上通信網(wǎng)絡(luò )單元，應當每年進(jìn)行一次風(fēng)險評估；二級通信網(wǎng)絡(luò )單元，應當每?jì)赡赀M(jìn)行一次風(fēng)險評估；國家重大活動(dòng)舉辦前，三級及三級以上通信網(wǎng)絡(luò )單元應當進(jìn)行風(fēng)險評估。

風(fēng)險評估結果及隱患處理情況或者處理計劃應當于風(fēng)險評估結束后30日內上報通信網(wǎng)絡(luò )單元的備案機構。

第十三條(災難備份要求)通信網(wǎng)絡(luò )運行單位應當按照通信網(wǎng)絡(luò )安全防護標準的要求，對通信網(wǎng)絡(luò )單元的重要線(xiàn)路、設備、系統和數據等進(jìn)行備份。

第十四條(演練要求)通信網(wǎng)絡(luò )運行單位應當定期或不定期組織演練檢驗通信網(wǎng)絡(luò )安全防護措施的有效性，并參加電信管理機構組織開(kāi)展的演練。

第十五條(監測要求)通信網(wǎng)絡(luò )運行單位應當對本單位通信網(wǎng)絡(luò )的安全狀況進(jìn)行自主監測，按照通信網(wǎng)絡(luò )安全防護標準建設和運行通信網(wǎng)絡(luò )安全監測系統。

通信網(wǎng)絡(luò )運行單位的監測系統應當按照電信管理機構的要求，與電信管理機構的監測系統互聯(lián)。

第十六條(CNCERT職責)工業(yè)和信息化部委托國家計算機網(wǎng)絡(luò )應急技術(shù)處理協(xié)調中心建設和運行互聯(lián)網(wǎng)網(wǎng)絡(luò )安全監測系統。

第十七條(安全服務(wù)規范)通信網(wǎng)絡(luò )運行單位委托其他單位進(jìn)行安全評測、評估、監測等工作的，應當加強對受委托單位的管理，保證其服務(wù)符合通信網(wǎng)絡(luò )安全防護標準及有關(guān)法律、法規和政策的要求。

第十八條(監督檢查)電信管理機構應當根據本辦法和通信網(wǎng)絡(luò )安全防護政策、標準，對通信網(wǎng)絡(luò )運行單位開(kāi)展通信網(wǎng)絡(luò )安全防護工作的情況進(jìn)行監督檢查。

第十九條(檢查措施)電信管理機構有權采取以下措施對通信網(wǎng)絡(luò )安全防護工作進(jìn)行監督檢查:

(一)查閱通信網(wǎng)絡(luò )運行單位的符合性評測報告和風(fēng)險評估報告。

(二)查閱通信網(wǎng)絡(luò )運行單位的有關(guān)文檔和工作記錄。

(三)向通信網(wǎng)絡(luò )運行單位工作人員詢(xún)問(wèn)了解有關(guān)情況。

(四)查驗通信網(wǎng)絡(luò )運行單位的有關(guān)設施。

(五)對通信網(wǎng)絡(luò )進(jìn)行技術(shù)性分析和測試。

(六)采用法律、行政法規規定的其他檢查方式。

第二十條(委托檢查)電信管理機構可以委托網(wǎng)絡(luò )安全檢測專(zhuān)業(yè)機構開(kāi)展通信網(wǎng)絡(luò )安全檢測活動(dòng)。

第二十一條(配合檢查的義務(wù))通信網(wǎng)絡(luò )運行單位對電信管理機構及其委托的專(zhuān)業(yè)機構依據本辦法開(kāi)展的監督檢查和檢測活動(dòng)應當予以配合，不得拒絕、阻撓。

第二十二條(規范檢查單位)電信管理機構及其委托的專(zhuān)業(yè)機構對通信網(wǎng)絡(luò )安全防護工作進(jìn)行監督檢查和檢測，不得影響通信網(wǎng)絡(luò )的正常運行，不得收取任何費用，不得要求接受監督檢查的單位購買(mǎi)指定品牌或者指定生產(chǎn)、銷(xiāo)售單位的安全軟件、設備或者其他產(chǎn)品。

第二十三條(規范檢查人員)電信管理機構及其委托的專(zhuān)業(yè)機構的監督檢查人員應當忠于職守、堅持原則，不得泄漏監督檢查工作中知悉的國家秘密、商業(yè)秘密、技術(shù)秘密和個(gè)人隱私。

第二十四條(對專(zhuān)業(yè)機構的要求)電信管理機構委托的專(zhuān)業(yè)機構進(jìn)行檢測時(shí)，應當書(shū)面記錄檢查的對象、時(shí)間、地點(diǎn)、內容、發(fā)現的問(wèn)題等，由檢查單位和被檢查單位相關(guān)負責人簽字蓋章后，報委托方。

第二十五條(罰則1)違反本辦法第六條、第七條、第八條、第九條、第十一條、第十二條、第十三條、第十四條、第十五條、第十七條、第二十一條規定的，由電信管理機構責令改正，給予警告，并處5000元以上3萬(wàn)元以下的罰款。

第二十六條(罰則2)未按照通信網(wǎng)絡(luò )安全防護標準落實(shí)安全防護措施或者存在重大網(wǎng)絡(luò )安全隱患的，由電信管理機構責令整改，并對整改情況進(jìn)行監督檢查。拒不改正的，由電信管理機構給予警告，并處1萬(wàn)元以上3萬(wàn)元以下的罰款。

第二十七條(罰則3)電信管理機構及其委托的專(zhuān)業(yè)機構的工作人員違反本辦法第二十二條、第二十三條，在通信網(wǎng)絡(luò )安全監督檢查工作中，玩忽職守、濫用職權、徇私舞弊的，由所在單位或者上級主管部門(mén)給予行政處分；構成犯罪的，依法追究刑事責任。

第二十八條(附則)本辦法自年月日起施行。（編選/石柱 中國B(niǎo)2B研究中心）