為切實(shí)履行通信網(wǎng)絡(luò)安全管理職責(zé)，提高通信網(wǎng)絡(luò)安全防護(hù)水平，依據(jù)《中華人民共和國(guó)電信條例》，工業(yè)和信息化部起草了《通信網(wǎng)絡(luò)安全防護(hù)監(jiān)督管理辦法（征求意見(jiàn)稿）》，現(xiàn)予以公告，征求意見(jiàn)。請(qǐng)于2009年9月4日前反饋意見(jiàn)。

    聯(lián)系地址：北京西長(zhǎng)安街13號(hào)工業(yè)和信息化部政策法規(guī)司（郵編：100804）

    電子郵件：wangxiaofei@miit.gov.cn

    附件：《通信網(wǎng)絡(luò)安全防護(hù)監(jiān)督管理辦法（征求意見(jiàn)稿）》

通信網(wǎng)絡(luò)安全防護(hù)監(jiān)督管理辦法
（征求意見(jiàn)稿）

    第一條（目的依據(jù)）為加強(qiáng)對(duì)通信網(wǎng)絡(luò)安全的管理，提高通信網(wǎng)絡(luò)安全防護(hù)能力，保障通信網(wǎng)絡(luò)安全暢通，根據(jù)《中華人民共和國(guó)電信條例》，制定本辦法。

    第二條（適用范圍）中華人民共和國(guó)境內(nèi)的電信業(yè)務(wù)經(jīng)營(yíng)者和互聯(lián)網(wǎng)域名服務(wù)提供者（以下統(tǒng)稱“通信網(wǎng)絡(luò)運(yùn)行單位”）管理和運(yùn)行的公用通信網(wǎng)和互聯(lián)網(wǎng)（以下統(tǒng)稱“通信網(wǎng)絡(luò)”）的網(wǎng)絡(luò)安全防護(hù)工作，適用本辦法。

    本辦法所稱互聯(lián)網(wǎng)域名服務(wù)，是指設(shè)置域名數(shù)據(jù)庫(kù)或域名解析服務(wù)器，為域名持有者提供域名注冊(cè)或權(quán)威解析服務(wù)的行為。

    本辦法所稱網(wǎng)絡(luò)安全防護(hù)工作，是指為防止通信網(wǎng)絡(luò)阻塞、中斷、癱瘓或被非法控制等以及通信網(wǎng)絡(luò)中傳輸、存儲(chǔ)、處理的數(shù)據(jù)信息丟失、泄露或被非法篡改等而開(kāi)展的相關(guān)工作。

    第三條（管轄職責(zé)）中華人民共和國(guó)工業(yè)和信息化部（以下簡(jiǎn)稱工業(yè)和信息化部）負(fù)責(zé)全國(guó)通信網(wǎng)絡(luò)安全防護(hù)工作的統(tǒng)一指導(dǎo)、協(xié)調(diào)、監(jiān)督和檢查，建立健全通信網(wǎng)絡(luò)安全防護(hù)體系，制訂通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)。

    省、自治區(qū)、直轄市通信管理局（以下簡(jiǎn)稱“通信管理局”）依據(jù)本辦法的規(guī)定，對(duì)本行政區(qū)域內(nèi)通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行指導(dǎo)、協(xié)調(diào)、監(jiān)督和檢查。

    工業(yè)和信息化部和通信管理局統(tǒng)稱“電信管理機(jī)構(gòu)”。

    第四條（責(zé)任主體）通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照本辦法和通信網(wǎng)絡(luò)安全防護(hù)政策、標(biāo)準(zhǔn)的要求開(kāi)展通信網(wǎng)絡(luò)安全防護(hù)工作，對(duì)本單位通信網(wǎng)絡(luò)安全負(fù)責(zé)。

    第五條（方針原則）通信網(wǎng)絡(luò)安全防護(hù)工作堅(jiān)持積極防御、綜合防范的方針，實(shí)行分級(jí)保護(hù)的原則。

    第六條（同步要求）通信網(wǎng)絡(luò)運(yùn)行單位規(guī)劃、設(shè)計(jì)、新建、改建通信網(wǎng)絡(luò)工程項(xiàng)目，應(yīng)當(dāng)同步規(guī)劃、設(shè)計(jì)、建設(shè)滿足通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)要求的通信網(wǎng)絡(luò)安全保障設(shè)施，并與主體工程同時(shí)進(jìn)行驗(yàn)收和投入運(yùn)行。

    已經(jīng)投入運(yùn)行的通信網(wǎng)絡(luò)安全保障設(shè)施沒(méi)有滿足通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)要求的，通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)進(jìn)行改建。

    通信網(wǎng)絡(luò)安全保障設(shè)施的規(guī)劃、設(shè)計(jì)、新建、改建費(fèi)用，應(yīng)當(dāng)納入本單位建設(shè)項(xiàng)目預(yù)算。

    第七條（分級(jí)保護(hù)要求）通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)規(guī)定的方法，對(duì)本單位已正式投入運(yùn)行的通信網(wǎng)絡(luò)進(jìn)行單元?jiǎng)澐?，將各通信網(wǎng)絡(luò)單元按照其對(duì)國(guó)家和社會(huì)經(jīng)濟(jì)發(fā)展的重要程度由低到高分別劃分為一級(jí)、二級(jí)、三級(jí)、四級(jí)、五級(jí)。

    通信網(wǎng)絡(luò)單元的分級(jí)結(jié)果應(yīng)由接受其備案的電信管理機(jī)構(gòu)組織專家進(jìn)行評(píng)審。

    通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)根據(jù)實(shí)際情況適時(shí)調(diào)整通信網(wǎng)絡(luò)單元的劃分和級(jí)別。通信網(wǎng)絡(luò)運(yùn)行單位調(diào)整通信網(wǎng)絡(luò)單元的劃分和級(jí)別的，應(yīng)當(dāng)按照前款規(guī)定重新進(jìn)行評(píng)審。

    第八條（備案要求1）通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照下列規(guī)定在通信網(wǎng)絡(luò)投入運(yùn)行后30日內(nèi)將通信網(wǎng)絡(luò)單元向電信管理機(jī)構(gòu)備案：

    （一）基礎(chǔ)電信業(yè)務(wù)經(jīng)營(yíng)者集團(tuán)公司直接管理的通信網(wǎng)絡(luò)單元，向工業(yè)和信息化部備案；基礎(chǔ)電信業(yè)務(wù)經(jīng)營(yíng)者各?。ㄗ灾螀^(qū)、直轄市）子公司、分公司負(fù)責(zé)管理的通信網(wǎng)絡(luò)單元，向當(dāng)?shù)赝ㄐ殴芾砭謧浒浮?/p>

    （二）增值電信業(yè)務(wù)經(jīng)營(yíng)者的通信網(wǎng)絡(luò)單元，向電信業(yè)務(wù)經(jīng)營(yíng)許可證的發(fā)證機(jī)構(gòu)備案。

    （三）互聯(lián)網(wǎng)域名服務(wù)提供者的通信網(wǎng)絡(luò)單元，向工業(yè)和信息化部備案。

    第九條（備案要求2）通信網(wǎng)絡(luò)運(yùn)行單位辦理通信網(wǎng)絡(luò)單元備案，應(yīng)當(dāng)提交以下信息：

    （一）通信網(wǎng)絡(luò)單元的名稱、級(jí)別、主要功能等。

    （二）通信網(wǎng)絡(luò)單元責(zé)任單位的名稱、聯(lián)系方式等。

    （三）通信網(wǎng)絡(luò)單元主要負(fù)責(zé)人的姓名、聯(lián)系方式等。

    （四）通信網(wǎng)絡(luò)單元的拓?fù)浼軜?gòu)、網(wǎng)絡(luò)邊界、主要軟硬件及型號(hào)、關(guān)鍵設(shè)施位址等。

    前款規(guī)定的備案信息發(fā)生變化的，通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)自變更之日起15日內(nèi)向電信管理機(jī)構(gòu)變更備案。

    第十條（備案審核）電信管理機(jī)構(gòu)應(yīng)當(dāng)自收到通信網(wǎng)絡(luò)單元備案申請(qǐng)后20日內(nèi)完成備案信息審核工作。備案信息真實(shí)、齊全、符合規(guī)定形式的，應(yīng)當(dāng)予以備案；備案信息不真實(shí)、不齊全或者不符合規(guī)定形式的，應(yīng)當(dāng)通知備案單位補(bǔ)正。

    第十一條（符合性評(píng)測(cè)要求）通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的要求，落實(shí)與通信網(wǎng)絡(luò)單元級(jí)別相適應(yīng)的安全防護(hù)措施，并自行組織進(jìn)行符合性評(píng)測(cè)。評(píng)測(cè)方法應(yīng)當(dāng)符合通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的有關(guān)規(guī)定。

    三級(jí)及三級(jí)以上通信網(wǎng)絡(luò)單元，應(yīng)當(dāng)每年進(jìn)行一次符合性評(píng)測(cè)；二級(jí)通信網(wǎng)絡(luò)單元，應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次符合性評(píng)測(cè)。通信網(wǎng)絡(luò)單元的級(jí)別調(diào)整后，應(yīng)當(dāng)及時(shí)重新進(jìn)行符合性評(píng)測(cè)。

    符合性評(píng)測(cè)結(jié)果及整改情況或者整改計(jì)劃應(yīng)當(dāng)于評(píng)測(cè)結(jié)束后30日內(nèi)報(bào)送通信網(wǎng)絡(luò)單元的備案機(jī)構(gòu)。

    第十二條（風(fēng)險(xiǎn)評(píng)估要求）通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)對(duì)通信網(wǎng)絡(luò)單元進(jìn)行經(jīng)常性的風(fēng)險(xiǎn)評(píng)估，及時(shí)消除重大網(wǎng)絡(luò)安全隱患。風(fēng)險(xiǎn)評(píng)估方法應(yīng)當(dāng)符合通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的有關(guān)規(guī)定。

    三級(jí)及三級(jí)以上通信網(wǎng)絡(luò)單元，應(yīng)當(dāng)每年進(jìn)行一次風(fēng)險(xiǎn)評(píng)估；二級(jí)通信網(wǎng)絡(luò)單元，應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次風(fēng)險(xiǎn)評(píng)估；國(guó)家重大活動(dòng)舉辦前，三級(jí)及三級(jí)以上通信網(wǎng)絡(luò)單元應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。

    風(fēng)險(xiǎn)評(píng)估結(jié)果及隱患處理情況或者處理計(jì)劃應(yīng)當(dāng)于風(fēng)險(xiǎn)評(píng)估結(jié)束后30日內(nèi)上報(bào)通信網(wǎng)絡(luò)單元的備案機(jī)構(gòu)。

    第十三條（災(zāi)難備份要求）通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的要求，對(duì)通信網(wǎng)絡(luò)單元的重要線路、設(shè)備、系統(tǒng)和數(shù)據(jù)等進(jìn)行備份。

    第十四條（演練要求）通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)定期或不定期組織演練檢驗(yàn)通信網(wǎng)絡(luò)安全防護(hù)措施的有效性，并參加電信管理機(jī)構(gòu)組織開(kāi)展的演練。

    第十五條（監(jiān)測(cè)要求）通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)對(duì)本單位通信網(wǎng)絡(luò)的安全狀況進(jìn)行自主監(jiān)測(cè)，按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)建設(shè)和運(yùn)行通信網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)。

    通信網(wǎng)絡(luò)運(yùn)行單位的監(jiān)測(cè)系統(tǒng)應(yīng)當(dāng)按照電信管理機(jī)構(gòu)的要求，與電信管理機(jī)構(gòu)的監(jiān)測(cè)系統(tǒng)互聯(lián)。

    第十六條（CNCERT職責(zé)）工業(yè)和信息化部委托國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心建設(shè)和運(yùn)行互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)。

    第十七條（安全服務(wù)規(guī)范）通信網(wǎng)絡(luò)運(yùn)行單位委托其他單位進(jìn)行安全評(píng)測(cè)、評(píng)估、監(jiān)測(cè)等工作的，應(yīng)當(dāng)加強(qiáng)對(duì)受委托單位的管理，保證其服務(wù)符合通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)及有關(guān)法律、法規(guī)和政策的要求。

    第十八條（監(jiān)督檢查）電信管理機(jī)構(gòu)應(yīng)當(dāng)根據(jù)本辦法和通信網(wǎng)絡(luò)安全防護(hù)政策、標(biāo)準(zhǔn)，對(duì)通信網(wǎng)絡(luò)運(yùn)行單位開(kāi)展通信網(wǎng)絡(luò)安全防護(hù)工作的情況進(jìn)行監(jiān)督檢查。

    第十九條（檢查措施）電信管理機(jī)構(gòu)有權(quán)采取以下措施對(duì)通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行監(jiān)督檢查：

    （一）查閱通信網(wǎng)絡(luò)運(yùn)行單位的符合性評(píng)測(cè)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告。

    （二）查閱通信網(wǎng)絡(luò)運(yùn)行單位的有關(guān)文檔和工作記錄。

    （三）向通信網(wǎng)絡(luò)運(yùn)行單位工作人員詢問(wèn)了解有關(guān)情況。

    （四）查驗(yàn)通信網(wǎng)絡(luò)運(yùn)行單位的有關(guān)設(shè)施。

    （五）對(duì)通信網(wǎng)絡(luò)進(jìn)行技術(shù)性分析和測(cè)試。

    （六）采用法律、行政法規(guī)規(guī)定的其他檢查方式。

    第二十條（委托檢查）電信管理機(jī)構(gòu)可以委托網(wǎng)絡(luò)安全檢測(cè)專業(yè)機(jī)構(gòu)開(kāi)展通信網(wǎng)絡(luò)安全檢測(cè)活動(dòng)。

    第二十一條（配合檢查的義務(wù)）通信網(wǎng)絡(luò)運(yùn)行單位對(duì)電信管理機(jī)構(gòu)及其委托的專業(yè)機(jī)構(gòu)依據(jù)本辦法開(kāi)展的監(jiān)督檢查和檢測(cè)活動(dòng)應(yīng)當(dāng)予以配合，不得拒絕、阻撓。

    第二十二條（規(guī)范檢查單位）電信管理機(jī)構(gòu)及其委托的專業(yè)機(jī)構(gòu)對(duì)通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行監(jiān)督檢查和檢測(cè)，不得影響通信網(wǎng)絡(luò)的正常運(yùn)行，不得收取任何費(fèi)用，不得要求接受監(jiān)督檢查的單位購(gòu)買指定品牌或者指定生產(chǎn)、銷售單位的安全軟件、設(shè)備或者其他產(chǎn)品。

    第二十三條（規(guī)范檢查人員）電信管理機(jī)構(gòu)及其委托的專業(yè)機(jī)構(gòu)的監(jiān)督檢查人員應(yīng)當(dāng)忠于職守、堅(jiān)持原則，不得泄漏監(jiān)督檢查工作中知悉的國(guó)家秘密、商業(yè)秘密、技術(shù)秘密和個(gè)人隱私。

    第二十四條（對(duì)專業(yè)機(jī)構(gòu)的要求）電信管理機(jī)構(gòu)委托的專業(yè)機(jī)構(gòu)進(jìn)行檢測(cè)時(shí)，應(yīng)當(dāng)書(shū)面記錄檢查的對(duì)象、時(shí)間、地點(diǎn)、內(nèi)容、發(fā)現(xiàn)的問(wèn)題等，由檢查單位和被檢查單位相關(guān)負(fù)責(zé)人簽字蓋章后，報(bào)委托方。

    第二十五條（罰則1）違反本辦法第六條、第七條、第八條、第九條、第十一條、第十二條、第十三條、第十四條、第十五條、第十七條、第二十一條規(guī)定的，由電信管理機(jī)構(gòu)責(zé)令改正，給予警告，并處5000元以上3萬(wàn)元以下的罰款。

    第二十六條（罰則2）未按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)落實(shí)安全防護(hù)措施或者存在重大網(wǎng)絡(luò)安全隱患的，由電信管理機(jī)構(gòu)責(zé)令整改，并對(duì)整改情況進(jìn)行監(jiān)督檢查。拒不改正的，由電信管理機(jī)構(gòu)給予警告，并處1萬(wàn)元以上3萬(wàn)元以下的罰款。

    第二十七條（罰則3）電信管理機(jī)構(gòu)及其委托的專業(yè)機(jī)構(gòu)的工作人員違反本辦法第二十二條、第二十三條，在通信網(wǎng)絡(luò)安全監(jiān)督檢查工作中，玩忽職守、濫用職權(quán)、徇私舞弊的，由所在單位或者上級(jí)主管部門給予行政處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。

    第二十八條（附則）本辦法自 年 月 日起施行。