工業(yè)和信息化部

通信網(wǎng)絡安全防護管理辦法


中華人民共和國工業(yè)和信息化部令第　11　號

　　《通信網(wǎng)絡安全防護管理辦法》已經(jīng)2009年12月29日中華人民共和國工業(yè)和信息化部第8次部務會議審議通過，現(xiàn)予公布，自2010年3月1日起施行。
　　　　　　　　　　　　　　　　　　　　　　　 部　長 　李毅中
　　　　　　　　　　　　　　　　　　　　　　　　 　二〇一〇年一月二十一日



通信網(wǎng)絡安全防護管理辦法

　　第一條　為了加強對通信網(wǎng)絡安全的管理，提高通信網(wǎng)絡安全防護能力，保障通信網(wǎng)絡安全暢通，根據(jù)《中華人民共和國電信條例》，制定本辦法。
　　第二條　中華人民共和國境內(nèi)的電信業(yè)務經(jīng)營者和互聯(lián)網(wǎng)域名服務提供者（以下統(tǒng)稱“通信網(wǎng)絡運行單位”）管理和運行的公用通信網(wǎng)和互聯(lián)網(wǎng)（以下統(tǒng)稱“通信網(wǎng)絡”）的網(wǎng)絡安全防護工作，適用本辦法。
　　本辦法所稱互聯(lián)網(wǎng)域名服務，是指設置域名數(shù)據(jù)庫或者域名解析服務器，為域名持有者提供域名注冊或者權威解析服務的行為。
　　本辦法所稱網(wǎng)絡安全防護工作，是指為防止通信網(wǎng)絡阻塞、中斷、癱瘓或者被非法控制，以及為防止通信網(wǎng)絡中傳輸、存儲、處理的數(shù)據(jù)信息丟失、泄露或者被篡改而開展的工作。
　　第三條　通信網(wǎng)絡安全防護工作堅持積極防御、綜合防范、分級保護的原則。
　　第四條　中華人民共和國工業(yè)和信息化部（以下簡稱工業(yè)和信息化部）負責全國通信網(wǎng)絡安全防護工作的統(tǒng)一指導、協(xié)調(diào)和檢查，組織建立健全通信網(wǎng)絡安全防護體系，制定通信行業(yè)相關標準。
　　各省、自治區(qū)、直轄市通信管理局（以下簡稱通信管理局）依據(jù)本辦法的規(guī)定，對本行政區(qū)域內(nèi)的通信網(wǎng)絡安全防護工作進行指導、協(xié)調(diào)和檢查。
　　工業(yè)和信息化部與通信管理局統(tǒng)稱“電信管理機構”。
　　第五條　通信網(wǎng)絡運行單位應當按照電信管理機構的規(guī)定和通信行業(yè)標準開展通信網(wǎng)絡安全防護工作，對本單位通信網(wǎng)絡安全負責。
　　第六條　通信網(wǎng)絡運行單位新建、改建、擴建通信網(wǎng)絡工程項目，應當同步建設通信網(wǎng)絡安全保障設施，并與主體工程同時進行驗收和投入運行。
　　通信網(wǎng)絡安全保障設施的新建、改建、擴建費用，應當納入本單位建設項目概算。
　　第七條　通信網(wǎng)絡運行單位應當對本單位已正式投入運行的通信網(wǎng)絡進行單元劃分，并按照各通信網(wǎng)絡單元遭到破壞后可能對國家安全、經(jīng)濟運行、社會秩序、公眾利益的危害程度，由低到高分別劃分為一級、二級、三級、四級、五級。
　　電信管理機構應當組織專家對通信網(wǎng)絡單元的分級情況進行評審。
　　通信網(wǎng)絡運行單位應當根據(jù)實際情況適時調(diào)整通信網(wǎng)絡單元的劃分和級別，并按照前款規(guī)定進行評審。
　　第八條　通信網(wǎng)絡運行單位應當在通信網(wǎng)絡定級評審通過后三十日內(nèi)，將通信網(wǎng)絡單元的劃分和定級情況按照以下規(guī)定向電信管理機構備案：
　　（一）基礎電信業(yè)務經(jīng)營者集團公司向工業(yè)和信息化部申請辦理其直接管理的通信網(wǎng)絡單元的備案；基礎電信業(yè)務經(jīng)營者各�。ㄗ灾螀^(qū)、直轄市）子公司、分公司向當?shù)赝ㄐ殴芾砭稚暾堔k理其負責管理的通信網(wǎng)絡單元的備案；
　�。ǘ�）增值電信業(yè)務經(jīng)營者向作出電信業(yè)務經(jīng)營許可決定的電信管理機構備案；
　�。ㄈ�）互��(lián)網(wǎng)域名服務提供者向工業(yè)和信息化部備案。
　　第九條　通信網(wǎng)絡運行單位辦理通信網(wǎng)絡單元備案，應當提交以下信息：
　　（一）通信網(wǎng)絡單元的名稱、級別和主要功能；
　�。ǘ�）通信網(wǎng)絡單元責任單位的名稱和聯(lián)系方式；
　　（三）通信網(wǎng)絡單元主要負責人的姓名和聯(lián)系方式；
　�。ㄋ模┩ㄐ啪W(wǎng)絡單元的拓撲架構、網(wǎng)絡邊界、主要軟硬件及型號和關鍵設施位置；
　�。ㄎ澹╇娦殴芾頇C構要求提交的涉及通信網(wǎng)絡安全的其他信息。
　　前款規(guī)定的備案信息發(fā)生變化的，通信網(wǎng)絡運行單位應當自信息變化之日起三十日內(nèi)向電信管理機構變更備案。
　　通信網(wǎng)絡運行單位報備的信息應當真實、完整。
　　第十條　電信管理機構應當對備案信息的真實性、完整性進行核查，發(fā)現(xiàn)備案信息不真實、不完整的，通知備案單位予以補正。
　　第十一條　通信網(wǎng)絡運行單位應當落實與通信網(wǎng)絡單元級別相適應的安全防護措施，并按照以下規(guī)定進行符合性評測：
　�。ㄒ唬┤�級及三級以上通信網(wǎng)絡單元應當每年進行一次符合性評測；
　�。ǘ�）二級通信網(wǎng)絡單元應當每兩年進行一次符合性評測。
　　通信網(wǎng)絡單元的劃分和級別調(diào)整的，應當自調(diào)整完成之日起九十日內(nèi)重新進行符合性評測。
　　通信網(wǎng)絡運行單位應當在評測結束后三十日內(nèi)，將通信網(wǎng)絡單元的符合性評測結果、整改情況或者整改計劃報送通信網(wǎng)絡單元的備案機構。
　　第十二條　通信網(wǎng)絡運行單位應當按照以下規(guī)定組織對通信網(wǎng)絡單元進行安全風險評估，及時消除重大網(wǎng)絡安全隱患：
　�。ㄒ唬┤�級及三級以上通信網(wǎng)絡單元應當每年進行一次安全風險評估；
　�。ǘ�）二級通信網(wǎng)絡單元應當每兩年進行一次安全風險評估。
　　國家重大活動舉辦前，通信網(wǎng)絡單元應當按照電信管理機構的要求進行安全風險評估。
　　通信網(wǎng)絡運行單位應當在安全風險評估結束后三十日內(nèi)，將安全風險評估結果、隱患處理情況或者處理計劃報送通信網(wǎng)絡單元的備案機構。
　　第十三條　通信網(wǎng)絡運行單位應當對通信網(wǎng)絡單元的重要線路、設備、系統(tǒng)和數(shù)據(jù)等進行備份。
　　第十四條　通信網(wǎng)絡運行單位應當組織演練，檢驗通信網(wǎng)絡安全防護措施的有效性。
　　通信網(wǎng)絡運行單位應當參加電信管理機構組織開展的演練。
　　第十五條　通信網(wǎng)絡運行單位應當建設和運行通信網(wǎng)絡安全監(jiān)測系統(tǒng)，對本單位通信網(wǎng)絡的安全狀況進行監(jiān)測。
　　第十六條　通信網(wǎng)絡運行單位可以委托專業(yè)機構開展通信網(wǎng)絡安全評測、評估、監(jiān)測等工作。
　　工業(yè)和信息化部應當根據(jù)通信網(wǎng)絡安全防護工作的需要，加強對前款規(guī)定的受托機構的安全評測、評估、監(jiān)測能力指導。
　　第十七條　電信管理機構應當對通信網(wǎng)絡運行單位開展通信網(wǎng)絡安全防護工作的情況進行檢查。
　　電信管理機構可以采取以下檢查措施：
　　（一）查閱通信網(wǎng)絡運行單位的符合性評測報告和風險評估報告；
　　（二）查閱通信網(wǎng)絡運行單位有關網(wǎng)絡安全防護的文檔和工作記錄；
　�。ㄈ�）向通信網(wǎng)絡運行單位工作人員詢問了解有關情況；
　　（四）查驗通信網(wǎng)絡運行單位的有關設施；
　�。ㄎ澹�對通信網(wǎng)絡進行技術性分析和測試；
　�。�六）法��、行政法規(guī)規(guī)定的其他檢查措施。
　　第十八條　電信管理機構可以委托專業(yè)機構開展通信網(wǎng)絡安全檢查活動。
　　第十九條　通信網(wǎng)絡運行單位應當配合電信管理機構及其委托的專業(yè)機構開展檢查活動，對于檢查中發(fā)現(xiàn)的重大網(wǎng)絡安全隱患，應當及時整改。
　　第二十條　電信管理機構對通信網(wǎng)絡安全防護工作進行檢查，不得影響通信網(wǎng)絡的正常運行，不得收取任何費用，不得要求接受檢查的單位購買指定品牌或者指定單位的安全軟件、設備或者其他產(chǎn)品。
　　第二十一條　電信管理機構及其委托的專業(yè)機構的工作人員對于檢查工作中獲悉的國家秘密、商業(yè)秘密和個人隱私，有保密的義務。
　　第二十二條　違反本辦法第六條第一款、第七條第一款和第三款、第八條、第九條、第十一條、第十二條、第十三條、第十四條、第十五條、第十九條規(guī)定的，由電信管理機構依據(jù)職權責令改正；拒不改正的，給予警告，并處五千元以上三萬元以下的罰款。
　　第二十三條　電信管理機構的工作人員違反本辦法第二十條、第二十一條規(guī)定的，依法給予行政處分；構成犯罪的，依法追究刑事責任。
　　第二十四條　本辦法自2010年3月1日起施行。