为切实履行通信网络安全管理职责,提高通信网络安全防护水平,依据《中华人民共和国电信条例》,工业和信息化部起草了《通信网络安全防护监督管理办法(征求意见稿)》,现予以公告,征求意见。请于2009年9月4日前反馈意见。
联系地址:北京西长安街13号工业和信息化部政策法规司(邮编:100804)
电子邮件:wangxiaofei@miit.gov.cn
附件:《通信网络安全防护监督管理办法(征求意见稿)》
通信网络安全防护监督管理办法
(征求意见稿)
第一条(目的依据)为加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。
第二条(适用范围)中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
本办法所称互联网域名服务,是指设置域名数据库或域名解析服务器,为域名持有者提供域名注册或权威解析服务的行为。
本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或被非法控制等以及通信网络中传输、存储、处理的数据信息丢失、泄露或被非法篡改等而开展的相关工作。
第三条(管辖职责)中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调、监督和检查,建立健全通信网络安全防护体系,制订通信网络安全防护标准。
省、自治区、直辖市通信管理局(以下简称“通信管理局”)依据本办法的规定,对本行政区域内通信网络安全防护工作进行指导、协调、监督和检查。
工业和信息化部和通信管理局统称“电信管理机构”。
第四条(责任主体)通信网络运行单位应当按照本办法和通信网络安全防护政策、标准的要求开展通信网络安全防护工作,对本单位通信网络安全负责。
第五条(方针原则)通信网络安全防护工作坚持积极防御、综合防范的方针,实行分级保护的原则。
第六条(同步要求)通信网络运行单位规划、设计、新建、改建通信网络工程项目,应当同步规划、设计、建设满足通信网络安全防护标准要求的通信网络安全保障设施,并与主体工程同时进行验收和投入运行。
已经投入运行的通信网络安全保障设施没有满足通信网络安全防护标准要求的,通信网络运行单位应当进行改建。
通信网络安全保障设施的规划、设计、新建、改建费用,应当纳入本单位建设项目预算。
第七条(分级保护要求)通信网络运行单位应当按照通信网络安全防护标准规定的方法,对本单位已正式投入运行的通信网络进行单元划分,将各通信网络单元按照其对国家和社会经济发展的重要程度由低到高分别划分为一级、二级、三级、四级、五级。
通信网络单元的分级结果应由接受其备案的电信管理机构组织专家进行评审。
通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别。通信网络运行单位调整通信网络单元的划分和级别的,应当按照前款规定重新进行评审。
第八条(备案要求1)通信网络运行单位应当按照下列规定在通信网络投入运行后30日内将通信网络单元向电信管理机构备案:
(一)基础电信业务经营者集团公司直接管理的通信网络单元,向工业和信息化部备案;基础电信业务经营者各省(自治区、直辖市)子公司、分公司负责管理的通信网络单元,向当地通信管理局备案。
(二)增值电信业务经营者的通信网络单元,向电信业务经营许可证的发证机构备案。
(三)互联网域名服务提供者的通信网络单元,向工业和信息化部备案。
第九条(备案要求2)通信网络运行单位办理通信网络单元备案,应当提交以下信息:
(一)通信网络单元的名称、级别、主要功能等。
(二)通信网络单元责任单位的名称、联系方式等。
(三)通信网络单元主要负责人的姓名、联系方式等。
(四)通信网络单元的拓扑架构、网络边界、主要软硬件及型号、关键设施位址等。
前款规定的备案信息发生变化的,通信网络运行单位应当自变更之日起15日内向电信管理机构变更备案。
第十条(备案审核)电信管理机构应当自收到通信网络单元备案申请后20日内完成备案信息审核工作。备案信息真实、齐全、符合规定形式的,应当予以备案;备案信息不真实、不齐全或者不符合规定形式的,应当通知备案单位补正。
第十一条(符合性评测要求)通信网络运行单位应当按照通信网络安全防护标准的要求,落实与通信网络单元级别相适应的安全防护措施,并自行组织进行符合性评测。评测方法应当符合通信网络安全防护标准的有关规定。
三级及三级以上通信网络单元,应当每年进行一次符合性评测;二级通信网络单元,应当每两年进行一次符合性评测。通信网络单元的级别调整后,应当及时重新进行符合性评测。
符合性评测结果及整改情况或者整改计划应当于评测结束后30日内报送通信网络单元的备案机构。
第十二条(风险评估要求)通信网络运行单位应当对通信网络单元进行经常性的风险评估,及时消除重大网络安全隐患。风险评估方法应当符合通信网络安全防护标准的有关规定。
三级及三级以上通信网络单元,应当每年进行一次风险评估;二级通信网络单元,应当每两年进行一次风险评估;国家重大活动举办前,三级及三级以上通信网络单元应当进行风险评估。
风险评估结果及隐患处理情况或者处理计划应当于风险评估结束后30日内上报通信网络单元的备案机构。
第十三条(灾难备份要求)通信网络运行单位应当按照通信网络安全防护标准的要求,对通信网络单元的重要线路、设备、系统和数据等进行备份。
第十四条(演练要求)通信网络运行单位应当定期或不定期组织演练检验通信网络安全防护措施的有效性,并参加电信管理机构组织开展的演练。
第十五条(监测要求)通信网络运行单位应当对本单位通信网络的安全状况进行自主监测,按照通信网络安全防护标准建设和运行通信网络安全监测系统。
通信网络运行单位的监测系统应当按照电信管理机构的要求,与电信管理机构的监测系统互联。
第十六条(CNCERT职责)工业和信息化部委托国家计算机网络应急技术处理协调中心建设和运行互联网网络安全监测系统。
第十七条(安全服务规范)通信网络运行单位委托其他单位进行安全评测、评估、监测等工作的,应当加强对受委托单位的管理,保证其服务符合通信网络安全防护标准及有关法律、法规和政策的要求。
第十八条(监督检查)电信管理机构应当根据本办法和通信网络安全防护政策、标准,对通信网络运行单位开展通信网络安全防护工作的情况进行监督检查。
第十九条(检查措施)电信管理机构有权采取以下措施对通信网络安全防护工作进行监督检查:
(一)查阅通信网络运行单位的符合性评测报告和风险评估报告。
(二)查阅通信网络运行单位的有关文档和工作记录。
(三)向通信网络运行单位工作人员询问了解有关情况。
(四)查验通信网络运行单位的有关设施。
(五)对通信网络进行技术性分析和测试。
(六)采用法律、行政法规规定的其他检查方式。
第二十条(委托检查)电信管理机构可以委托网络安全检测专业机构开展通信网络安全检测活动。
第二十一条(配合检查的义务)通信网络运行单位对电信管理机构及其委托的专业机构依据本办法开展的监督检查和检测活动应当予以配合,不得拒绝、阻挠。
第二十二条(规范检查单位)电信管理机构及其委托的专业机构对通信网络安全防护工作进行监督检查和检测,不得影响通信网络的正常运行,不得收取任何费用,不得要求接受监督检查的单位购买指定品牌或者指定生产、销售单位的安全软件、设备或者其他产品。
第二十三条(规范检查人员)电信管理机构及其委托的专业机构的监督检查人员应当忠于职守、坚持原则,不得泄漏监督检查工作中知悉的国家秘密、商业秘密、技术秘密和个人隐私。
第二十四条(对专业机构的要求)电信管理机构委托的专业机构进行检测时,应当书面记录检查的对象、时间、地点、内容、发现的问题等,由检查单位和被检查单位相关负责人签字盖章后,报委托方。
第二十五条(罚则1)违反本办法第六条、第七条、第八条、第九条、第十一条、第十二条、第十三条、第十四条、第十五条、第十七条、第二十一条规定的,由电信管理机构责令改正,给予警告,并处5000元以上3万元以下的罚款。
第二十六条(罚则2)未按照通信网络安全防护标准落实安全防护措施或者存在重大网络安全隐患的,由电信管理机构责令整改,并对整改情况进行监督检查。拒不改正的,由电信管理机构给予警告,并处1万元以上3万元以下的罚款。
第二十七条(罚则3)电信管理机构及其委托的专业机构的工作人员违反本办法第二十二条、第二十三条,在通信网络安全监督检查工作中,玩忽职守、滥用职权、徇私舞弊的,由所在单位或者上级主管部门给予行政处分;构成犯罪的,依法追究刑事责任。
第二十八条(附则)本办法自 年 月 日起施行。