通信網路安全防護管理辦法,2009年12月29日通過,二〇一〇年一月二十一日公布,2010年3月1日實施。
基本介紹
- 中文名:通信網路安全防護管理辦法
- 通過時間:2009年12月29日中
- 實施時間:2010年3月1日
- 公布時間:二〇一〇年一月二十一日
發布信息,辦法內容,辦法解讀,
發布信息
《通信網路安全防護管理辦法》已經2009年12月29日中華人民共和國工業和信息化部第8次部務會議審議通過,現予公布,自2010年3月1日起施行。
部 長 李毅中
二〇一〇年一月二十一日
辦法內容
第一條 為了加強對通信網路安全的管理,提高通信網路安全防護能力,保障通信網路安全暢通,根據《中華人民共和國電信條例》,制定本辦法。
第二條 中華人民共和國境內的電信業務經營者和網際網路域名服務提供者(以下統稱“通信網路運行單位”)管理和運行的公用通信網和網際網路(以下統稱“通信網路”)的網路安全防護工作,適用本辦法。
本辦法所稱網際網路域名服務,是指設定域名資料庫或者域名解析伺服器,為域名持有者提供域名註冊或者權威解析服務的行為。
本辦法所稱網路安全防護工作,是指為防止通信網路阻塞、中斷、癱瘓或者被非法控制,以及為防止通信網路中傳輸、存儲、處理的數據信息丟失、泄露或者被篡改而開展的工作。
第三條 通信網路安全防護工作堅持積極防禦、綜合防範、分級保護的原則。
第四條 中華人民共和國工業和信息化部(以下簡稱工業和信息化部)負責全國通信網路安全防護工作的統一指導、協調和檢查,組織建立健全通信網路安全防護體系,制定通信行業相關標準。
各省、自治區、直轄市通信管理局(以下簡稱通信管理局)依據本辦法的規定,對本行政區域內的通信網路安全防護工作進行指導、協調和檢查。
工業和信息化部與通信管理局統稱“電信管理機構”。
第五條 通信網路運行單位應當按照電信管理機構的規定和通信行業標準開展通信網路安全防護工作,對本單位通信網路安全負責。
第六條 通信網路運行單位新建、改建、擴建通信網路工程項目,應當同步建設通信網路安全保障設施,並與主體工程同時進行驗收和投入運行。
通信網路安全保障設施的新建、改建、擴建費用,應當納入本單位建設項目概算。
第七條 通信網路運行單位應當對本單位已正式投入運行的通信網路進行單元劃分,並按照各通信網路單元遭到破壞後可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度,由低到高分別劃分為一級、二級、三級、四級、五級。
電信管理機構應當組織專家對通信網路單元的分級情況進行評審。
通信網路運行單位應當根據實際情況適時調整通信網路單元的劃分和級別,並按照前款規定進行評審。
第八條 通信網路運行單位應當在通信網路定級評審通過後三十日內,將通信網路單元的劃分和定級情況按照以下規定向電信管理機構備案:
(一)基礎電信業務經營者集團公司向工業和信息化部申請辦理其直接管理的通信網路單元的備案;基礎電信業務經營者各省(自治區、直轄市)子公司、分公司向當地通信管理局申請辦理其負責管理的通信網路單元的備案;
(二)增值電信業務經營者向作出電信業務經營許可決定的電信管理機構備案;
(三)網際網路域名服務提供者向工業和信息化部備案。
第九條 通信網路運行單位辦理通信網路單元備案,應當提交以下信息:
(一)通信網路單元的名稱、級別和主要功能;
(二)通信網路單元責任單位的名稱和聯繫方式;
(三)通信網路單元主要負責人的姓名和聯繫方式;
(四)通信網路單元的拓撲架構、網路邊界、主要軟硬體及型號和關鍵設施位置;
(五)電信管理機構要求提交的涉及通信網路安全的其他信息。
前款規定的備案信息發生變化的,通信網路運行單位應當自信息變化之日起三十日內向電信管理機構變更備案。
通信網路運行單位報備的信息應當真實、完整。
第十條 電信管理機構應當對備案信息的真實性、完整性進行核查,發現備案信息不真實、不完整的,通知備案單位予以補正。
第十一條 通信網路運行單位應當落實與通信網路單元級別相適應的安全防護措施,並按照以下規定進行符合性評測:
(一)三級及三級以上通信網路單元應當每年進行一次符合性評測;
(二)二級通信網路單元應當每兩年進行一次符合性評測。
通信網路單元的劃分和級別調整的,應當自調整完成之日起九十日內重新進行符合性評測。
通信網路運行單位應當在評測結束後三十日內,將通信網路單元的符合性評測結果、整改情況或者整改計畫報送通信網路單元的備案機構。
第十二條 通信網路運行單位應當按照以下規定組織對通信網路單元進行安全風險評估,及時消除重大網路安全隱患:
(一)三級及三級以上通信網路單元應當每年進行一次安全風險評估;
(二)二級通信網路單元應當每兩年進行一次安全風險評估。
國家重大活動舉辦前,通信網路單元應當按照電信管理機構的要求進行安全風險評估。
通信網路運行單位應當在安全風險評估結束後三十日內,將安全風險評估結果、隱患處理情況或者處理計畫報送通信網路單元的備案機構。
第十三條 通信網路運行單位應當對通信網路單元的重要線路、設備、系統和數據等進行備份。
第十四條 通信網路運行單位應當組織演練,檢驗通信網路安全防護措施的有效性。
通信網路運行單位應當參加電信管理機構組織開展的演練。
第十五條 通信網路運行單位應當建設和運行通信網路安全監測系統,對本單位通信網路的安全狀況進行監測。
第十六條 通信網路運行單位可以委託專業機構開展通信網路安全評測、評估、監測等工作。
工業和信息化部應當根據通信網路安全防護工作的需要,加強對前款規定的受託機構的安全評測、評估、監測能力指導。
第十七條 電信管理機構應當對通信網路運行單位開展通信網路安全防護工作的情況進行檢查。
電信管理機構可以採取以下檢查措施:
(一)查閱通信網路運行單位的符合性評測報告和風險評估報告;
(二)查閱通信網路運行單位有關網路安全防護的文檔和工作記錄;
(三)向通信網路運行單位工作人員詢問了解有關情況;
(四)查驗通信網路運行單位的有關設施;
(五)對通信網路進行技術性分析和測試;
(六)法律、行政法規規定的其他檢查措施。
第十八條 電信管理機構可以委託專業機構開展通信網路安全檢查活動。
第十九條 通信網路運行單位應當配合電信管理機構及其委託的專業機構開展檢查活動,對於檢查中發現的重大網路安全隱患,應當及時整改。
第二十條 電信管理機構對通信網路安全防護工作進行檢查,不得影響通信網路的正常運行,不得收取任何費用,不得要求接受檢查的單位購買指定品牌或者指定單位的安全軟體、設備或者其他產品。
第二十一條 電信管理機構及其委託的專業機構的工作人員對於檢查工作中獲悉的國家秘密、商業秘密和個人隱私,有保密的義務。
第二十二條 違反本辦法第六條第一款、第七條第一款和第三款、第八條、第九條、第十一條、第十二條、第十三條、第十四條、第十五條、第十九條規定的,由電信管理機構依據職權責令改正;拒不改正的,給予警告,並處五千元以上三萬元以下的罰款。
第二十三條 電信管理機構的工作人員違反本辦法第二十條、第二十一條規定的,依法給予行政處分;構成犯罪的,依法追究刑事責任。
第二十四條 本辦法自2010年3月1日起施行。
辦法解讀
工業和信息化部最近出台了《通信網路安全防護管理辦法》,請問出台該規章的意義是什麼?
李國斌:隨著我國通信業和信息化的發展,政治、經濟、文化和社會生活對通信網路的依賴度越來越高,通信網路已成為國家關鍵基礎設施。通信網路一旦發生中斷、癱瘓或擁塞,或者其中傳輸、存儲、處理的數據信息丟失、泄露或被非法篡改,將對社會經濟生活造成嚴重影響。制定《辦法》,完善通信網路安全保障法律制度,有利於提高通信網路安全防護能力和水平。此外,隨著信息通信技術的迅速發展,通信網路加快向數位化、寬頻化和智慧型化演進,通信網路面臨的安全威脅日益多樣化,網路攻擊、信息竊取等非傳統安全問題十分突出。相對於傳統安全問題,非傳統安全問題的隱蔽性更強,處置工作和技術要求更高。結合信息通信技術發展的特點制定《辦法》,建立通信網路分級、備案、安全風險評估等制度,有利於應對非傳統安全威脅。
您能否簡單介紹一下《辦法》的制定過程?
李國斌:2009年6月,工業和信息化部通信保障局完成《辦法(送審稿)》並送部政法司審查。部政法司對《辦法(送審稿)》進行審查、完善後,徵求了部內相關司局和各省通信管理局的意見。為保證《辦法》的科學性,我們還通過部外網網站向社會公開徵求了意見。從意見反饋情況看,各方對《辦法》擬設立的各項制度沒有原則性不同意見。部分通信管理局就《辦法》的可操作性以及制度的合理性等方面提出了一些建議和意見,例如,是否由地方管局組織專家對網路單元進行評審、增值電信業務經營者適用等問題。為此, 2009年11月,部政法司組織召開了由部分通信管理局參加的座談會,就《辦法》的可操作性、制度的合理性等問題進行了進一步研究,並充分研究和吸收了各方面的意見。2009年12月29日,部第八次部務會議審議通過了《辦法(草案)》。2010年1月21日,部公布了《辦法》。
《辦法》對加強對通信網路安全的管理,提高通信網路安全防護能力,保障通信網路安全暢通具有重要的意義。您能否介紹一下《辦法》主要建立了哪些制度?
李國斌:《辦法》圍繞通信網路安全防護管理工作,主要建立了如下制度:
一是確立了通信網路單元的分級保護制度,規定通信網路運行單位應當對本單位已正式投入運行的通信網路進行單元劃分,並按照各通信網路單元遭到破壞後可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度等因素,由低到高分別劃分為五級。為保證分級的科學性,《辦法》規定:通信網路運行單位應當組織專家對通信網路單元的分級情況進行評審。與此同時,《辦法》還規定通信網路運行單位應當將通信網路單元的劃分和定級情況向電信管理機構備案。為保證備案工作的可操作性,《辦法》進一步明確了備案的內容和核查程式。
二是建立了符合性評測制度,規定通信網路運行單位應當落實與通信網路單元級別相適應的安全防護措施,並進行符合性評測。《辦法》規定:三級及三級以上通信網路單元應當每年進行一次符合性評測,二級通信網路單元應當每兩年進行一次符合性評測。
三是建立了安全風險評估制度,規定通信網路運行單位應當組織對通信網路單元進行安全風險評估,及時消除重大網路安全隱患。《辦法》規定:三級及三級以上通信網路單元應當每年進行一次安全風險評估,二級通信網路單元應當每兩年進行一次安全風險評估。
四是建立了通信網路安全防護檢查制度,規定電信管理機構對通信網路運行單位開展通信網路安全防護工作的情況進行檢查。《辦法》對檢查方式進行了明確,並規定:電信管理機構進行檢查,不得影響通信網路的正常運行,不得收取任何費用,不得要求接受檢查的單位購買指定品牌或者指定單位的安全軟體、設備或者其他產品;電信管理機構及其委託的專業機構的工作人員對於檢查工作中獲悉的國家秘密、商業秘密、技術秘密和個人隱私,有保密的義務。
李國斌:隨著我國通信業和信息化的發展,政治、經濟、文化和社會生活對通信網路的依賴度越來越高,通信網路已成為國家關鍵基礎設施。通信網路一旦發生中斷、癱瘓或擁塞,或者其中傳輸、存儲、處理的數據信息丟失、泄露或被非法篡改,將對社會經濟生活造成嚴重影響。制定《辦法》,完善通信網路安全保障法律制度,有利於提高通信網路安全防護能力和水平。此外,隨著信息通信技術的迅速發展,通信網路加快向數位化、寬頻化和智慧型化演進,通信網路面臨的安全威脅日益多樣化,網路攻擊、信息竊取等非傳統安全問題十分突出。相對於傳統安全問題,非傳統安全問題的隱蔽性更強,處置工作和技術要求更高。結合信息通信技術發展的特點制定《辦法》,建立通信網路分級、備案、安全風險評估等制度,有利於應對非傳統安全威脅。
您能否簡單介紹一下《辦法》的制定過程?
李國斌:2009年6月,工業和信息化部通信保障局完成《辦法(送審稿)》並送部政法司審查。部政法司對《辦法(送審稿)》進行審查、完善後,徵求了部內相關司局和各省通信管理局的意見。為保證《辦法》的科學性,我們還通過部外網網站向社會公開徵求了意見。從意見反饋情況看,各方對《辦法》擬設立的各項制度沒有原則性不同意見。部分通信管理局就《辦法》的可操作性以及制度的合理性等方面提出了一些建議和意見,例如,是否由地方管局組織專家對網路單元進行評審、增值電信業務經營者適用等問題。為此, 2009年11月,部政法司組織召開了由部分通信管理局參加的座談會,就《辦法》的可操作性、制度的合理性等問題進行了進一步研究,並充分研究和吸收了各方面的意見。2009年12月29日,部第八次部務會議審議通過了《辦法(草案)》。2010年1月21日,部公布了《辦法》。
《辦法》對加強對通信網路安全的管理,提高通信網路安全防護能力,保障通信網路安全暢通具有重要的意義。您能否介紹一下《辦法》主要建立了哪些制度?
李國斌:《辦法》圍繞通信網路安全防護管理工作,主要建立了如下制度:
一是確立了通信網路單元的分級保護制度,規定通信網路運行單位應當對本單位已正式投入運行的通信網路進行單元劃分,並按照各通信網路單元遭到破壞後可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度等因素,由低到高分別劃分為五級。為保證分級的科學性,《辦法》規定:通信網路運行單位應當組織專家對通信網路單元的分級情況進行評審。與此同時,《辦法》還規定通信網路運行單位應當將通信網路單元的劃分和定級情況向電信管理機構備案。為保證備案工作的可操作性,《辦法》進一步明確了備案的內容和核查程式。
二是建立了符合性評測制度,規定通信網路運行單位應當落實與通信網路單元級別相適應的安全防護措施,並進行符合性評測。《辦法》規定:三級及三級以上通信網路單元應當每年進行一次符合性評測,二級通信網路單元應當每兩年進行一次符合性評測。
三是建立了安全風險評估制度,規定通信網路運行單位應當組織對通信網路單元進行安全風險評估,及時消除重大網路安全隱患。《辦法》規定:三級及三級以上通信網路單元應當每年進行一次安全風險評估,二級通信網路單元應當每兩年進行一次安全風險評估。
四是建立了通信網路安全防護檢查制度,規定電信管理機構對通信網路運行單位開展通信網路安全防護工作的情況進行檢查。《辦法》對檢查方式進行了明確,並規定:電信管理機構進行檢查,不得影響通信網路的正常運行,不得收取任何費用,不得要求接受檢查的單位購買指定品牌或者指定單位的安全軟體、設備或者其他產品;電信管理機構及其委託的專業機構的工作人員對於檢查工作中獲悉的國家秘密、商業秘密、技術秘密和個人隱私,有保密的義務。
