中華(hua)人(ren)民共和(he)國工業和(he)信息化部(bu)令第11號
《通信網絡��(luo)安(an)全防護(hu)管(guan)理(li)辦法》已經2009年(nian)12月(yue)29日中華人民共和國工業(ye)和信息(xi)化部第8次部務會議(yi)審議(yi)通過,現予公布,自2010年(nian)3月(yue)1日起施行。
部長李毅中
二〇一(yi)(yi)〇年一(yi)(yi)月二十一(yi)(yi)日(ri)
通信網絡(luo)安全防(fang)護管理辦法
第一條(tiao)為了(le)加強對通(t������ong)信網(wang)絡(luo)(l������uo)安(an)全的管(guan)理,提高通(tong)信網(wang)絡(luo)(luo)安(an)全防(fang)護能力,保障通(tong)信網(wang)絡(luo)(luo)安(an)全暢通(tong),根據《中(zhong)華人民共和國(guo)電信條(tiao)例》,制定(ding)本辦法(fa)。
第二條中華人民共和國境內(nei)的電信業務經營(ying)者和������互(hu)聯(lian)網域(yu)名服務提供者(以下統稱(cheng)“通信網絡運行單位”)管理和運行的公用通信網和互(hu)聯(lian)網(以下統稱(cheng)“通信網絡”)的網絡安全防護工作,����適用本辦法(fa)。
������� 本(ben)辦(ban)法所稱互聯網域名(ming)(ming)(ming)(ming)服務,是(shi)指設置域名(ming)(ming)(ming)(ming)數據庫或(huo)者(zhe)域名(ming)(ming)(ming)(ming)解析(xi)(xi)服務器,為域名(ming)(ming)(ming)(ming)持有者(zhe)提供域名(ming)(ming)(ming)(ming)注(zhu)冊或(huo)者(zhe)權威(wei)解析(xi)(xi)服務的行為。
本辦(ban)法所稱(cheng)網(wang)絡(luo)(luo)安全防(fang)護工作,是指為(wei)防(fang)止通信網(wang)絡(luo)(luo)阻塞、中(zhong)斷、癱瘓或者被(bei)非(fei)法控制,以(yi)及為(wei)防(fang)止通信網(wang)絡(luo)(luo)中(zhong)傳(chuan)輸(shu)、存儲(chu)、處理的(de)數據信息丟(diu)失、泄露或者被(bei�������)篡改(g���������ai)而開展的(de)工作。
第三條通信網絡安全������防(fang)護工作堅持積極防(fang)御(yu)、綜合防(fang)范、分�����級保護的原則(ze)。
第(di)四條中華(hua)人民(min)共和國工業(ye)和信(xin)息(xi)化部(bu)(以������下簡稱工業(ye)和信(xin)息(xi)化部(bu))負責全國通(tong)信(xin)網(wang)絡(luo)安全防護(hu)工作(zuo)的(de)統一(yi)指(zhi)導、協調和檢查(cha),組織建立健全通(tong)信(xin)網(wang)絡(luo)安全防護(hu)體(ti)系,制定通(tong)信(xin)行(xing)業(ye)相關標(biao)準。
各省、自治區(qu)、直轄市通(tong)(tong)(tong)信管(gua����n)(guan)理局(ju)(以下簡(jian)稱通(tong)(tong)(tong)信管(guan)(guan)理局(ju))依據本辦法(fa)的(de)規定,對本行政區(qu)域內的(de)通(tong)(tong)(tong)信網絡安全(quan)防護工作進行指導、協調(diao)和(he)檢查(cha)。
工業和信息化部(bu)與通(to����ng)信管理(li)局統(tong)稱(cheng)“電信管理(�����li)機構”。
第五條通信網絡運(yun)行(xing)單位應當按照(zhao)電信管理(li)機構的規(gui)定和通信行(xing)業(���ye)標準開展通信網絡安(an)全防護工作(zuo),對本單位通信網絡����安(an)全負責。
第(di)六條通信(xin)網(wang)絡運行(xing)單(dan)位新建(jian)(jian)、改建(jian)(jian)、擴建(jian)(jian)通信(xin)網(wang)絡工(gong)程項(xiang)目,應當同(tong)��������步建(jian)(jian)設通信(xin)網(wang)絡安全保障設施(shi),并與主體工(gong)程同(tong)時進(jin)行(xing)驗收(sh�����ou)和(he)投入運行(xing)。
通信網絡(luo)安全保障設施的新建(jian)(ji�����an)、改建(jian)(jian)、擴(kuo)建(jian)(jian)費用(yong),應當(dang)納入本單位建(jian)(jian)設項目概(gai)算。
第七條通(tong)信網絡����(luo)(luo)運(yun)行(xing)單位(wei)應(ying)當對(dui)本單位(wei)已正式投(tou)入運(yun)行(xing)的通(tong)信網絡(luo)(luo)進行(xing)單元(yuan)劃分,并按照各通(tong)信網絡(luo)(l������uo)單元(yuan)遭到破壞(huai)后(hou)可能(neng)對(dui)國家安全、經(jing)濟運(yun)行(xing)、社(she)會秩序、公眾利益的危害程(cheng)度(du),由低到高分別劃分為(wei)一級、二(er)級、三級、四級、五級。
電信(xin)管理機構應當(dang)組織專家對通信(xin)網絡�������單元的分級(ji)情況進行評(ping)審(shen)。
通信(xin)網(wang)絡(luo)運(yun)行單(�����dan)(dan)位應當根(gen)據實際(ji)情(�������qing)況適時調整通信(xin)網(wang)絡(luo)單(dan)(dan)元的劃分和(he)級別(bie),并(bing)按照前款規定進行評審。
第(di)八(ba)條通信(xin)網(wang)絡運(yun)行單位應當在通信(xin)網(wang)絡定(ding)��級評(ping)審通過后三十日內,將通信(xin)網(wang)絡單元的(de)劃分和定(ding)級情況(kuang)按照以(yi)下規定(ding)向(xiang)電(dian)信(xin)管理機構(gou)備案:
(一)基礎電信(xin)業(ye)務(wu)經營(ying)者集團公(gong)(gong)(gong)司向(xiang)(xiang������)工業(ye)和信(xin)息化部(bu)申請辦(ban)理(li)(li)其(qi)直接管理(li)(li)的通信(xin)網絡單元的備案(an);基礎電信(xin)業(ye)務(wu)經營(ying)者各省(自治區、直轄市)子公(gong)(gong)(gong)司、分公(gong)(gong)(gong)司向(xiang)(xiang)當地(di)通信(xin)管理(li)(li)局申請辦(ban)理(li)(li)其(qi)負責管理(li)(li)的通信(xin)網絡單元的備案(an);
(二)增值電(dian)信(xin)業(ye)務經營(ying)者向(xiang)作出電(dian)信(xin)業(ye)務經營(ying)許可決定(ding)的電�������(dian)信(xin)管(guan)�����理(li)機構備案(an);
(三)互(hu)聯網(wang)域名服(fu)務提(ti)供者向工業�������和信(xin)息(xi)化部備案。
第九(jiu)條通(tong)信網(�����wang)絡運(yun)行單位(wei)辦(ban)理通(tong)信網(wang)絡單元備案����,應當提交以下(xia)信息:
(一)通(tong)信網絡單元的名稱、級(ji)別和主要功(gong)能;
�����(二)通信網絡單(dan)元責(ze)任單(dan)位的(de)名(ming)稱(cheng)和聯系方式;
(三)通信網絡單元主要負(fu)責人的姓名和聯系方式;
(四(si))通信網絡單(dan)元的拓撲架構、網絡邊界、�����主(zhu)要軟硬件及型號和關(guan)鍵(jian)設施位置;
(五)電信管理機構要求提交的涉(she)及通信網絡安全的其他信息。
前款規(gui)定的備案(an)信息發(fa)生變(bian)化的,通����(tong)信網絡運行單(dan)位應當自信息變(bian)化之日起三(san)十日內向電(dian)信管理機構(gou)變(bian)更備案(an)。
通信網(wang)絡運(yun)行單位報備的信息應當真實、完整。
第十(shi)條電信管理機構應(ying)當對備案信息的(de)真實性(xing)、完整性(xing)進行核查,發現備案信息不真�����實、不完整的(de),通知(zhi)備案單(dan)位予以補正。
第十一條通信(xin)網絡運行單位(wei)應當落實與通信(xin)網絡單元級(ji������)別相適應的安全(quan)防(fang)護措施,并(bing)按照以(yi)下規定進行符(fu)合性評測:
(一)三級及三級以上通����信網絡單(dan)元應當每年(nian)進行����一次符合(he)性(xing)評測;
(二)二級通(tong)信網絡(luo)單(dan)元應(ying)當每�����兩(li�������ang)年進(jin)行一次(ci)符合性評測。
通(tong)信網絡單(dan)元的(de)劃(hua)分(fen)和級別調整的(de),應當自調整完�������(wan)成之日(ri)起九(jiu)十日(ri)內重新(������xin)進行(xing)符合性評測(ce)。
通信(xin)網(wang)絡(luo)運行單(dan)位應當(dang)在評測(ce)結(jie)束后(hou)三十日內,將通信(xin)網(wang)絡(luo)單(dan)元的(de)符(fu)合性評測(ce)結(jie)果、整改(gai)(gai)情況或者整改(����gai)(gai)計劃報送通信(xin)網(wang)絡(lu����o)單(dan)元的(de)備案機構。
第十二(er)條通信網絡(luo)運行單(dan)位應當(dang)按(an)照(zhao)以(yi)下規定(ding)組(zu)織對通信網絡(luo)單(dan)元進行安(an)全������������(quan)風險評估,及時消除重大(da)網絡(luo)安(an)全(quan)隱患:
(一(yi))三(san)級(ji)及三(san)級(ji)以上通信網(wang)絡單元應(�����ying)當每年進行(xing)一(yi)次安全風險評估;
(二)二級(ji)通信網(wang)絡單(dan)元應(ying)當(dang)�������每兩(liang)年進行一次安全風������(feng)險評估。
國家重大(da)活動舉辦前(qian),通信網絡單元應(ying)當(dang)按(an)照電信管理(li)機構的要求(qiu)進行安全風險評(��������ping)估(gu)。
通信網(wang)�����絡運行單(dan)位應(ying)當在(zai)安(an)全(quan)風����(feng)(feng)險評(ping)估結束后三十日內,將安(an)全(quan)風(feng)(feng)險評(ping)估結果、隱患(huan)處理情況或(huo)者處理計(ji)劃報送(song)通信網(wang)絡單(dan)元的(de)備案(an)機構。
第十(shi)三條通信(xin)網絡(luo)運行(xing)單位應(ying)當對通信(xin)網絡(luo)單元的�������重要線路、設備(bei)、系統(tong)和數據(ju)等進行(xing)備��������(bei)份。
������第十四(si)條(tiao)通信網絡運行單位應當(dang)組織演練(lian),檢驗通信網絡安全防護措施(shi��������)的有效性。
通信網絡運(yu�������n)行單位(wei)應當參加電信管(guan)理(li)機(ji)構組織開展的演練。
第十五條通信(xin)網絡運(yun)行(xing)單(dan)位(wei)應當建(jian)設和�������(he)運(yun)行(xing)通信(xin)網絡安全(quan)監(jian)(jian)測系統,對本單(dan)位(wei)通信(xin)網絡的安全(quan)狀況進(jin)行(xing)監(jian)(jian)測。
第十六條通信網(wang)絡運行(xing)單位(wei)可以委托���專業機構開展通信網(wang)絡安全評測(ce)、評估、監測(ce)等工作。
工業和信息化部應(ying)當根據通信網絡安全(quan)防護工作的需要,�������加強(qiang)對前款規定的受托機構的安全(quan)評(ping)測(ce)、評(ping)估、監測(ce)能(neng)力指導。
第十七條(tiao)電信(xin)管(gua������n)理機構應(ying)當對通信(xin)網(wang)絡(luo)運行單(dan)位開展通信(xin)網(wang)絡(luo)安(an)全防(fang)護(h�������u)工(gong)作(zuo)的情況進行檢(jian)查。
電信管理機構可(ke)以(yi)(yi)采取以(yi)(yi)下(xia)檢查措施:
������ (一�������)查閱通信(xin)網絡(luo)運(yun)行單(dan)位的符合性評(ping)測報告和風險(xian)評(ping)估(gu)報告;
(二(er))查閱通信(xin)網(wang)絡(luo)運行單位有關網(�����w����ang)絡(luo)安全防護的(de)文檔和工作記(ji)錄;
(三)向通信網絡運(yu����n)行單(dan)位(wei)工(gong)作人員詢問了解������(jie)有關情況;
(四)查(cha)驗通(tong)信網絡(luo)運行單(dan)位的有關(guan)設施;
������� (五(wu))對通(tong)信(xin)網(wang)���������絡(luo)進行技術性分(fen)析和測試;
(六)法律、行政法規(gui)規(gui)定的其(qi)他檢查措施(shi)。
第十八條電信管理機構可(ke)以(yi)委(wei)托專業機構開(kai)展通(tong)信網絡安全��������檢查活動。
第十(shi)九條通(tong)信網絡運行(xing)單位應(yi������ng)當配合(he)電信管理機構及其委托的(de)專業機構開展(zhan)檢(jian)查(cha)活動,對于檢(jian)查(cha)中發現的(de)重(zhong)大網絡安全隱患(����huan),應(ying)當及時整改(gai)。
第二十條電信(xin)管理機構(gou)對通(tong)信(xin)網絡安全(qua�������n)防護(hu)工作進行檢查(cha),不得影響通(tong)信(xin)網絡的正(zheng)常運行,不得收取任何費(fei)用,不得要(yao)求(qiu)接受(shou)檢查(cha)的單(dan)位購買(mai)指定品牌或者指定單(dan)位的安���������全(quan)軟件、設備或者其(qi)他(ta)產品。
第二十一條電信(xin)管理機(ji)構(gou)及其委(wei)托的專(zhuan)業機(ji)構(gou)的工(gong)作人��������員對于檢查工(gong)作中獲悉的國家(jia)秘(mi)(mi)密、商(shang)業秘(mi)(mi)����密和個人隱私(si),有保密的義務。
第(di)(di)二(er)十(shi)(shi)二(er)條(tiao)(tiao)(tiao)違反本辦法第(di)(di)六條(tiao)(tiao)(tiao)第(di)(di)一(yi)款、第(di)(di)七條(tiao)(tiao)(tiao)第(di)(di)一(yi)款和第(di)(di)三(san)款、第(di)(di)八條(tiao)(tiao)(tiao)、第(di)(di)九條(tiao)(tiao)(tiao)、第(di)(di)十(shi)����(shi)一(yi)條(tiao)(tiao)(tiao)、第(di)(di)十(shi)(shi)二(er)條(tiao)(tiao)(tiao)、第(di)(di)十(shi)(shi)三(san)條(tiao)(tiao)(tiao)、第(di)(di)十(shi)(shi)四條(tiao)(tiao)(tiao)、第(di)(di)十(shi)(shi)五條(tiao)(tiao)(tiao)、第(di)(di)十(shi)(shi)九條(tiao)(tiao)(tiao)規定的,由電信(xin)管(guan)理機構依據職權責令改正;拒不(bu)改正的,給(gei)予警告,并處(chu)五千元(yuan)以上三(san)萬元(yuan)以下的罰款。
第(di)二十三條(tiao)電信管(guan)理(������li)機(ji)構(gou)的工(gong��������)作人員違反本辦(ban)法(fa)第(di)二十條(tiao)、第(di)二十一條(tiao)規定的,依法(fa)給予行政處分;構(gou)成犯罪的,依法(fa)追(zhui)究刑事責任。
第二十(shi)四條本辦(ban)法自2010年3月1日起施行。