通信网络安全防护管理办法

　　第一条　为了加强对通信网络安全的管理，提高通信网络安全防护能力，保障通信网络安全畅通，根据《中华人民共和国电信条例》，制定本办法。
　　第二条　中华人民共和国境内的电信业务经营者和互联网域名服务提供者（以下统称“通信网络运行单位”）管理和运行的公用通信网和互联网（以下统称“通信网络”）的网络安全防护工作，适用本办法。
　　本办法所称互联网域名服务，是指设置域名数据库或者域名解析服务器，为域名持有者提供域名注册或者权威解析服务的行为。
　　本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
　　第三条　通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
　　第四条　中华人民共和国工业和信息化部（以下简称工业和信息化部）负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准。
　　各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协调和检查。
　　工业和信息化部与通信管理局统称“电信管理机构”。
　　第五条　通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作，对本单位通信网络安全负责。
　　第六条　通信网络运行单位新建、改建、扩建通信网络工程项目，应当同步建设通信网络安全保障设施，并与主体工程同时进行验收和投入运行。
　　通信网络安全保障设施的新建、改建、扩建费用，应当纳入本单位建设项目概算。
　　第七条　通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一级、二级、三级、四级、五级。
　　电信管理机构应当组织专家对通信网络单元的分级情况进行评审。
　　通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别，并按照前款规定进行评审。
　　第八条　通信网络运行单位应当在通信网络定级评审通过后三十日内，将通信网络单元的划分和定级情况按照以下规定向电信管理机构备案：
　　（一）基础电信业务经营者集团公司向工业和信息化部申请办理其直接管理的通信网络单元的备案；基础电信业务经营者各省（自治区、直辖市）子公司、分公司向当地通信管理局申请办理其负责管理的通信网络单元的备案；
　　（二）增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案；
　　（三）互联网域名服务提供者向工业和信息化部备案。
　　第九条　通信网络运行单位办理通信网络单元备案，应当提交以下信息：
　　（一）通信网络单元的名称、级别和主要功能；
　　（二）通信网络单元责任单位的名称和联系方式；
　　（三）通信网络单元主要负责人的姓名和联系方式；
　　（四）通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置；
　　（五）电信管理机构要求提交的涉及通信网络安全的其他信息。
　　前款规定的备案信息发生变化的，通信网络运行单位应当自信息变化之日起三十日内向电信管理机构变更备案。
　　通信网络运行单位报备的信息应当真实、完整。
　　第十条　电信管理机构应当对备案信息的真实性、完整性进行核查，发现备案信息不真实、不完整的，通知备案单位予以补正。
　　第十一条　通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施，并按照以下规定进行符合性评测：
　　（一）三级及三级以上通信网络单元应当每年进行一次符合性评测；
　　（二）二级通信网络单元应当每两年进行一次符合性评测。
　　通信网络单元的划分和级别调整的，应当自调整完成之日起九十日内重新进行符合性评测。
　　通信网络运行单位应当在评测结束后三十日内，将通信网络单元的符合性评测结果、整改情况或者整改计划报送通信网络单元的备案机构。
　　第十二条　通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估，及时消除重大网络安全隐患：
　　（一）三级及三级以上通信网络单元应当每年进行一次安全风险评估；
　　（二）二级通信网络单元应当每两年进行一次安全风险评估。
　　国家重大活动举办前，通信网络单元应当按照电信管理机构的要求进行安全风险评估。
　　通信网络运行单位应当在安全风险评估结束后三十日内，将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。
　　第十三条　通信网络运行单位应当对通信网络单元的重要线路、设备、系统和数据等进行备份。
　　第十四条　通信网络运行单位应当组织演练，检验通信网络安全防护措施的有效性。
　　通信网络运行单位应当参加电信管理机构组织开展的演练。
　　第十五条　通信网络运行单位应当建设和运行通信网络安全监测系统，对本单位通信网络的安全状况进行监测。
　　第十六条　通信网络运行单位可以委托专业机构开展通信网络安全评测、评估、监测等工作。
　　工业和信息化部应当根据通信网络安全防护工作的需要，加强对前款规定的受托机构的安全评测、评估、监测能力指导。
　　第十七条　电信管理机构应当对通信网络运行单位开展通信网络安全防护工作的情况进行检查。
　　电信管理机构可以采取以下检查措施：
　　（一）查阅通信网络运行单位的符合性评测报告和风险评估报告；
　　（二）查阅通信网络运行单位有关网络安全防护的文档和工作记录；
　　（三）向通信网络运行单位工作人员询问了解有关情况；
　　（四）查验通信网络运行单位的有关设施；
　　（五）对通信网络进行技术性分析和测试；
　　（六）法律、行政法规规定的其他检查措施。
　　第十八条　电信管理机构可以委托专业机构开展通信网络安全检查活动。
　　第十九条　通信网络运行单位应当配合电信管理机构及其委托的专业机构开展检查活动，对于检查中发现的重大网络安全隐患，应当及时整改。
　　第二十条　电信管理机构对通信网络安全防护工作进行检查，不得影响通信网络的正常运行，不得收取任何费用，不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品。
　　第二十一条　电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密和个人隐私，有保密的义务。
　　第二十二条　违反本办法第六条第一款、第七条第一款和第三款、第八条、第九条、第十一条、第十二条、第十三条、第十四条、第十五条、第十九条规定的，由电信管理机构依据职权责令改正；拒不改正的，给予警告，并处五千元以上三万元以下的罚款。
　　第二十三条　电信管理机构的工作人员违反本办法第二十条、第二十一条规定的，依法给予行政处分；构成犯罪的，依法追究刑事责任。
　　第二十四条　本办法自2010年3月1日起施行。

   工业和信息化部最近发布了《通信网络安全防护管理办法》（工信部第11号令，以下简称《办法》），旨在针对新情况新问题，进一步提高我国通信网络安全保障整体水平，增强网络安全事件预防保护能力，最大限度地减少重大网络安全事件发生。为此，工业和信息化部通信保障局相关负责人近日接受了采访，围绕通信网络安全防护的概念、适用范围、工作制度和工作重点回答了记者的提问。

    问：什么是通信网络安全防护？

    答：通信网络安全防护工作是指为防止通信网络阻塞、中断、瘫痪或被非法控制，以及通信网络中传输、存储、处理的数据信息丢失、泄露或被篡改等而开展的工作。

    在工作方法上，综合运用分级保护、风险评估、容灾备份、安全监控等科学方法，在深入分析通信网络可能面临的各种威胁和风险的基础上，通过事先落实有针对性的管理和技术防护措施，强化监督检查，提高防范水平，尽可能减少重大安全事件的发生。

    在工作范畴上，凡是可能影响电信业务经营者网络和业务系统的正常运行，或可能影响数据的保密性、完整性、可用性的因素,都是通信网络安全防护工作需要考虑和防范的。例如网络攻击、网络病毒、黑客入侵、非法远程控制，以及各种形式的物理破坏、自然灾害等。其中，网络攻击、网络病毒、黑客入侵、非法远程控制问题，是互联网发展和传统网络IP化、网络融合过程中出现的新情况新问题。这类问题技术性强，防范难度大，目前电信业务经营者在这些方面的认识和工作基础普遍较为薄弱，因此是通信网络安全防护工作的重点。

    问：《办法》的适用范围是什么？

    答：从管理针对的主体来说，适用于“电信业务经营者”和“互联网域名服务提供者”。其中“电信业务经营者”不仅包含中国电信、中国移动、中国联通等基础电信业务经营者，而且包括众多的ICP、IDC、SP等增值电信业务经营者；“互联网域名服务提供者”不仅包括互联网域名注册管理和服务机构，而且包括目前社会上存在的专门为域名持有者提供权威解析服务的经营性或非经营性主体。从管理针对的客体来说，包括公用通信网、互联网以及承载在公用通信网、互联网上的电信业务系统和域名系统等的安全防护工作。从管理针对的行为来说，包括为防止通信网络阻塞、中断、瘫痪或被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或被篡改等所进行的相关活动。

    问：《办法》建立了哪些安全防护制度？

    答：一是通信网络单元的分级和备案制度。《办法》规定通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为五级。为便于电信管理机构掌握有关情况，通信网络运行单位应当将通信网络单元的划分和定级情况向电信管理机构备案。

    二是安全防护措施的符合性评测制度。为确保通信网络单元安全防护措施落实到位，《办法》规定通信网络运行单位应当按照标准落实与通信网络单元级别相适应的安全防护措施，并进行符合性评测。其中三级及三级以上通信网络单元应当每年进行一次符合性评测，二级通信网络单元应当每两年进行一次符合性评测。

    三是通信网络安全风险评估制度。《办法》规定通信网络运行单位应当组织对通信网络单元进行安全风险评估，及时发现并消除重大网络安全隐患。其中三级及三级以上通信网络单元应当每年进行一次安全风险评估，二级通信网络单元应当每两年进行一次安全风险评估。

    四是通信网络安全防护检查制度。《办法》规定电信管理机构要对通信网络运行单位开展通信网络安全防护工作的情况进行检查，并明确了检查工作方式和有关要求。

    此外，《办法》还对通信网络运行单位开展容灾备份、事件监测和演练等工作提出了明确要求。

    问：基础通信网络规模庞大，按什么规则划分网络单元？

    答：基础电信运营企业的通信网络规模庞大、覆盖全国、全程全网，通过统一的标准和接口实现不同专业网络、不同地域网络相互联通和互操作。各基础电信运营企业将其通信网络按地域和专业进行划分，由下属机构分块、分段、分专业进行管理。工业和信息化部之前发布的《电信网和互联网安全等级保护实施指南》规定了通信网络单元的划分原则和方法，主要按照网络或系统的专业类型（如固定、移动、互联网等）和服务地域（如省级、省内、本地等）进行划分，确保网络单元间的边界清晰、管理责任主体分明。

    问：工业和信息化部在通信网络安全防护方面开展过哪些前期工作？

    答：《办法》是在充分总结前期工作经验的基础上研究制定的，《办法》的出台进一步增强了相关工作的系统性、规范性和科学性。为贯彻落实中央和国务院有关要求，2007年，印发了《关于进一步开展电信网络安全防护工作的实施意见》（信部电[2007]555号），明确了有关工作思路、原则、方法和步骤。组织制定了通信网络安全防护系列标准，于2008年正式发布了32项标准，为指导和规范网络运行单位开展防护工作和落实安全防护措施发挥了重要作用。自2006年起，每年组织开展一次全行业通信网络安全大检查和风险评估，督促整改发现的隐患，为确保十七大、北京奥运会和国庆60周年通信网络安全发挥了重要作用。组织对基础电信运营企业的网络和系统进行定级备案，基本掌握了各基础电信运营企业的网络和系统数量、分布情况，以及各个网络和系统的主要功能、地位作用和责任主体。对国家顶级域名系统进行了定级备案。建设了通信网络安全防护管理信息系统，实现通信网络基本情况的网上报备，提高管理工作效率。

    问：下一步贯彻落实《办法》的工作重点是什么？

    答：贯彻落实《办法》将是一项长期、系统的基础性工作。结合近年有关工作情况，下一步，将重点围绕以下方面继续推进和深化通信网络安全防护工作：一是加强《办法》和有关标准的宣贯，进一步提高全行业的网络安全意识和能力，增强做好网络安全防护工作的责任感、紧迫感。二是加大网络安全防护检查力度，在2009年安全检查的基础上，进一步突出重点，组织对支撑系统、域名系统、网上营业厅、IDC等当前存在问题较多的网络和系统进行自查与抽查，督促相关单位排查隐患、堵塞漏洞、加强防护。三是不断完善安全防护标准体系，特别是针对新技术新业务和网络融合出现的新情况新问题，如手机安全、3G安全、IPv6安全、云计算安全、三网融合安全等，加强跟踪研究，适时制订和修订相关安全防护标准。四是继续组织做好网络和系统的定级备案工作，逐步落实增值电信业务和互联网域名服务的定级备案。五是指导督促电信业务经营者建设完善网络安全监控手段，提高安全防护、监测预警和应急处置能力。

工业和信息化部政法司负责人解读《通信网络安全防护管理办法》

    1月21日，工业和信息化部发布了《通信网络安全防护管理办法》（工业和信息化部令第11号）。工业和信息化部政策法规司副司长李国斌围绕《办法》出台的有关背景、《办法》的主要内容等问题接受了记者的专访。

    记者：工业和信息化部最近出台了《通信网络安全防护管理办法》，请问出台该规章的意义是什么？

    李国斌副司长：随着我国通信业和信息化的发展，政治、经济、文化和社会生活对通信网络的依赖度越来越高，通信网络已成为国家关键基础设施。通信网络一旦发生中断、瘫痪或拥塞，或者其中传输、存储、处理的数据信息丢失、泄露或被非法篡改，将对社会经济生活造成严重影响。制定《办法》，完善通信网络安全保障法律制度，有利于提高通信网络安全防护能力和水平。此外，随着信息通信技术的迅速发展，通信网络加快向数字化、宽带化和智能化演进，通信网络面临的安全威胁日益多样化，网络攻击、信息窃取等非传统安全问题十分突出。相对于传统安全问题，非传统安全问题的隐蔽性更强，处置工作和技术要求更高。结合信息通信技术发展的特点制定《办法》，建立通信网络分级、备案、安全风险评估等制度，有利于应对非传统安全威胁。

    记者：您能否简单介绍一下《办法》的制定过程？

    李国斌副司长：2009年6月，工业和信息化部通信保障局完成《办法（送审稿）》并送部政法司审查。部政法司对《办法（送审稿）》进行审查、完善后，征求了部内相关司局和各省通信管理局的意见。为保证《办法》的科学性，我们还通过部外网网站向社会公开征求了意见。从意见反馈情况看，各方对《办法》拟设立的各项制度没有原则性不同意见。部分通信管理局就《办法》的可操作性以及制度的合理性等方面提出了一些建议和意见，例如，是否由地方管局组织专家对网络单元进行评审、增值电信业务经营者适用等问题。为此， 2009年11月，部政法司组织召开了由部分通信管理局参加的座谈会，就《办法》的可操作性、制度的合理性等问题进行了进一步研究，并充分研究和吸收了各方面的意见。2009年12月29日，部第八次部务会议审议通过了《办法（草案）》。2010年1月21日，部公布了《办法》。

    记者：《办法》对加强对通信网络安全的管理，提高通信网络安全防护能力，保障通信网络安全畅通具有重要的意义。您能否介绍一下《办法》主要建立了哪些制度？

    李国斌副司长：《办法》围绕通信网络安全防护管理工作，主要建立了如下制度：

    一是确立了通信网络单元的分级保护制度，规定通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度等因素，由低到高分别划分为五级。为保证分级的科学性，《办法》规定：通信网络运行单位应当组织专家对通信网络单元的分级情况进行评审。与此同时，《办法》还规定通信网络运行单位应当将通信网络单元的划分和定级情况向电信管理机构备案。为保证备案工作的可操作性，《办法》进一步明确了备案的内容和核查程序。

    二是建立了符合性评测制度，规定通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施，并进行符合性评测。《办法》规定：三级及三级以上通信网络单元应当每年进行一次符合性评测，二级通信网络单元应当每两年进行一次符合性评测。

    三是建立了安全风险评估制度，规定通信网络运行单位应当组织对通信网络单元进行安全风险评估，及时消除重大网络安全隐患。《办法》规定：三级及三级以上通信网络单元应当每年进行一次安全风险评估，二级通信网络单元应当每两年进行一次安全风险评估。

    四是建立了通信网络安全防护检查制度，规定电信管理机构对通信网络运行单位开展通信网络安全防护工作的情况进行检查。《办法》对检查方式进行了明确，并规定：电信管理机构进行检查，不得影响通信网络的正常运行，不得收取任何费用，不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品；电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密、技术秘密和个人隐私，有保密的义务。