第一篇:等级保护全面自查
潞安容海发电有限责任公司信息安全等级保护自查报告
随着我国信息网络事业的飞速发展,信息安全保障能力提到了一个新的高度,我厂信息安全以及信息安全等级保护工作就提到了日常议程上来了。围绕提高信息安全保障能力,维护国家安全、公共利益和社会稳定,促进信息化建设的要求,一年来,我厂认真贯彻落实行业和公司的总体部署,在公司和企业信息化工作的统一部署下,按照突出重点、统筹规划,重点保障基础信息网络和重要信息系统安全的总体要求和原则,狠抓系统维护、培训和流程梳理,促进管理规范,提高系统运行效率。进一步完善企业新的运行机制条件下的信息化管理工作,促进企业年度信息安全管理工作目标的实现。特别是今年9月以来,我厂在总结以往工作的基础上,通过认真学习和领会《信息系统安全等级保护基本要求》精神,根据公司的统一部署,结合我厂的具体情况,认真梳理和开展了信息安全等级保护这项工作,取得一定成效。现简要总结汇报我厂2011年度开展信息安全等级保护工作情况。
一、企业开展信息安全等级保护主要工作回顾
1、加强宣传,增强认识,积极推进企业信息安全等级保护工作。为提高企业对信息安全等级保护这项工作的认识,我厂组织信息化管理部门和相关人员认真宣传学习了工业和信息化部文件,大家充分了解到开展定级等工作内容、要求和技术标。一是增强了大家对推行信息安全等级保护制度的重要性和必要性以及信息安全等级保护工作的认识。二是在总结过去工作经验的基础上,确定了将信息安全等级保护工作作为今年网络安全保障工作的一项重要任务来抓。三是采取一定措施,积极推进了公司和企业信息安全等级保护工作。从系统定级、定级评审、系统备案、测评整改、监督检查等五个阶段进行了一些有益的探索。并按照既定的工作目标和时限要求,确保等级保护定级工作保质保量完成。
2、对照要求,认真查找和消除企业信息安全等级保护工作中的差距。信息化管理部门和相关人员通过对照国家和行业有关信息安全等级保护工作文件相关规定和我厂实际,认真开展自查和总结。针对企业现状展开分析和讨论,寻找我厂开展信息安全等级保护这项工作的差距,理清工作思路,进一步确立了企业信息安全等级保护工作思路和目标。一是对企业信息安全总体情况进行了全面摸底,检查了企业信息安全管理、信息安全技术、和信息安全运维三个体系建设情况。二是对信息安全检查中发现的主要问题进行了及时整改,采取了相应的对策和措施。
3、落实组织,建立企业信息安全等级保护工作长效机制。我厂领导高度重视信息安全等级保护工作的开展。企业有关领导和相关信息安全职能部门充分认识到开展信息安全等级保护是保障全市政治稳定、经济发展和社会和谐的有效手段。为适应公司组织机构调整需要,提高企业信息安全保障能力,维护国家安全、公共利益和社会稳定,促进信息化建设,我厂及时调整了信息化工作领导机构,同时,成立了潞安容海电厂关于成立信息系统安全工作领导小组,进一步落实了信息系统安全工作责任。在落实企业信息安全等级保护工作目标责任基础上,一是重新梳理和调整了企业信息化队伍;二是建立健全了信息安全管理制度;三是落实和发挥了系统备份、安全巡检、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能;四是实现了集中安全管理控制,快速安全事件响应,高可信的安全防护;五是重申了对IT系统和产品开展入网前安全检查,消除安全隐患等几项具体措施。
4、总体规划,分步实施和落实信息安全策略。我厂信息安全规划坚持行业和政策实际,着眼于企业长远的发展目标,以及高新技术迅猛发展的需要,立足企业当前的基础和迫切需要解决的问题。信息安全规划主要是企业部署了网络硬件路由、防火墙和网络防毒墙。实施和应用了中心机房安全监控、火灾报警系统,瑞星网络版企业杀毒软件和上网行为管理系统。机房和综合楼办公楼实施了 UPS供电,建立了中心机房网络雷电防护体系。安全策略主要是针对网络进行了CISCO PIX515安全策略配置,企业内部网络采用了路由和VLAN技术;服务器采取用户和密码登录;各部门上网用户实行等级权限,采用帐户和密码登录方式进行单个PC管理。各个终端运维强调Windows补丁管理,并通过Windows安全策略向用户提供限制性的访问权限,有效地保护了windows机器。
另外,结合企业职业健康安全管理体系建设要求,对供电体系、雷电防护体系缺陷、计算机的安全保护,信息泄露、数据备份、病毒或黑客入侵等危险源进行了认真的辨识,对二级以上危险源都制订了预控措施,明确了各岗位的岗位职责并对相关职责抓好落实。目前,企业信息系统的安全正式纳入烟草行业安全管理信息系统管理,并着手规划建立健全信息安全技术和信息安全运维两个体系建设。
5、完善制度,建立和落实了信息安全保护责任制。自从2009年组建信息系统网络以来,我厂就先后制订并修改了各项信息安全相关制度,坚持对重大节日期间的信息安全保障工作进行专门部署。今年,我厂在加强内部信息化管理制度建设方面,将国家局行业卷烟生产经营决策管理系统五个操作文件纳入了企业贯标管理。另外,为加强企业网络安全与信息管理,适应行业改革与发展机制的需要,企业除执行国家、行业和公司有关信息网络管理法律法规和制度外,内部制订和修订了一系列规章制度(包括预案和管理办法)。这些制度的制订和修改遵循了相关流程,并形成了记录。目前已正式印发的制度主要包括:《计算机和网络信息系统管理办法》、《通信管理制度》、《网络与信息安全事件专项应急预案》、《潞安矿业(集团)公司容海热电厂计算机安全管理规定》、《通信突发事件应急处置专项预案》。制度下发以后,日常开展督导和制度执行力检查,促进信息安全保护责任的落实。
6、抓好人员培训和系统演练,促进企业重要信息系统日常信息安全保护工作落到实处。另外,在下半年的10月和11月,内部分两期采取模拟信息网络及中心机房突发事件、发生网络中断等突发事件,以训带练的形式开展了这两个应急预案的演练。由生技部牵头,安全科、生产(设备)、物资科等相关部门安排相关人员参加了这次预案的培训和演练。培训和演练取得了预期目的。
5、日常认真抓好信息安全检查和系统运维,促进信息安全管理和系统整治规范。为了营造良好的网络环境,保护自身信息的安全,我厂信息化主管部门结合信息技术支持与服务本职,突出工作重点,积极抓好网络安全管理,进一步使安全落到实处。
(一)、坚持日常信息系统运维检查。针对企业信息网络系统管理和因特网上病毒和欺骗木马程序(病毒)攻击猖獗现状,信息化主管部门日常组织开展了专业性和群众性的信息及安全检查,集中消除和治理安全隐患,杜绝各种信息安全事故发生。
(二)、定期开展信息系统管理制度执行情况检查。按照企业制度督察检查办法,信息化主管部门编制了《计算机网络系统管理办法检查表》,对照信息系统管理制度内容开展对各部门和各岗位以及重点部位、重点项目检查,形成检查记录。
(三)、结合节假日和安全生产月、6S以及内部审核活动等开展信息网络安全专项检查。按照节假日和安全生产月、6S以及内部审核活动要求,开展网络设备全面检查和现场清理整顿工作,(1)是检查全厂各部门采用集线束对办公设备连线的整理规范状况;(2)是重点对两个机房以及各网络交换点场所的开关线路和周围杂物及时进行清理。对检查发现的问题,尤其是严重对网络系统造成安全隐患的项目立即下达通知整改,使问题消灭在萌芽状态,促进信息网络安全监督检查到位,安全记录真实规范。(3)是按照电力行业严格规范的总要求,对全厂网络的一些历史遗留问题和以往布线(电话线、有线、网线等)凸显瑕疵的地方,结合厂区布局的规范化,结合网络规范和6S管理要求,严格按相关标准进行了一次全面清理。
二、企业信息安全工作存在的问题是和改善工作意见或建议
1、企业在网络审计、安全设备统一管理、网站防篡改、行业数字证书(CA)认证等系统方面的建设工作未开展,建议公司加强企业信息安全技术体系建设这些方面给予特别支持和引导。另外,指导企业对信息系统备份措施的检查,包括检查的方法和内容。
2、公司对国家局行业生产经营决策管理系统的安全运维今年正式进行了部署,建议对每次巡检发现的问题能给予统一解决和处理。另外,指导企业开展网络和应用系统应急预案的编制和演练。
三、2012年企业信息安全工作重点
信息安全管理的对象是计算机网络和相关硬件系统以及在此系统上构架应用的软件和信息系统的决策规划、效能应用、系统安全、网络监察、个人上网等一切网络管理行为。而信息和信息网络安全的防范和监管是信息主管部门的一个重要职责。为此,需要做好以下安全防范工作。
1、明确各层组织机构和人员的信息和信息网络安全责任,实现组织和人力上的安全保证;
2、组织建立和健全各项信息和信息网络安全制度,实现制度和管理上的安全保证;
3、规范日常信息化管理和检查制度。包括:软件管理、硬件管理、机房管理、系统运行和维护管理、网络管理等,提出并实施各系统配置和标准化设置,便于安全的维护和加固,实现基础管理上的安全保证;
4、除采用相应的物理防火墙和安全软件外,做好应急预案是确保万无一失的第一步,实现技术上的安全保证;
5、组织好本单位内的项目协调、实施、推广应用与培训等工作,确保信息化项目的实施成效,实现规划和应用上的安全保证;
6、定期组织开展信息和网络安全检查活动。通过对现场检查和清理,系统的监管,促进网络现场规范,营造一个整洁、规范、安全、高效的网络和信息系统环境,实现环境上的安全保证。
2011年12月3日
第二篇:信息安全等级保护自查项目表
信息安全等级保护自查项目表
一、备案单位基本情况 单位全称 责任部门负责人 责任部门联系人 已定级备案的信 息系统数量 姓 姓 名 名 职务或职称 职务或职称 三级系统 等级保护工作责任部门 办公电话 办公电话 二级系统 移动电话 移动电话 合 计
四级系统
二、备案单位等级保护工作开展情况
(一)等级保护工作的组织部署和实施情况 序号 1-1 1-2 1-3 检 查 内 容 具 体 情 况
等级保护协调领导机构设置、落实信息安全责任情况。等级保护责任部门和岗位人员确定情况。等级保护工作的文件,有关工作意见或方案的制定情况。
1-4 1-5 1-6
依据国家等级保护政策、标准规范和行业主管部门等要求,组织开展各项工作情况。等级保护工作会议、业务培训情况。单位主要领导对等级保护工作批示、指示情况。
(二)信息安全管理制度的建立和落实情况 2-1 2-2 2-3 2-4 2-5 2-6 人员安全管理制度建设情况。包括人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度。是否建立安全责任制,系统管理员、网络管理员、安全管理 员、安全审计员是否与本单位签订信息安全责任书。是否有完善的机房安全管理制度,是否建立了机房进出人员 管理和日常监控制度。信息安全产品采购、使用管理、工程实施、验收交付、服务 外包等系统建设相关管理制度建设情况。信息安全事件报告和处置管理制度建设情况,是否建立了日 常信息安全监测和预警机制。制定信息系统安全应急处置预案情况,是否定期组织开展应 急处置演练,并根据演练情况进行完善。
(三)信息系统安全等级保护定级备案情况
3-1 3-2 3-3 3-4
本单位是否有未定级、备案信息系统,已定级信息系统是否 定级准确。新建信息系统是否在规划、设计阶段确定安全保护等级并备 案。信息系统所承载的业务、服务范围、安全需求等是否发生变 化,信息系统安全保护等级是否及时进行变更。是否对本单位重要信息系统的重要性有清楚的认识,是否开 展重要信息系统相关的威胁分析和相互依赖分析。
(四)重要信息系统开展等级测评和安全建设整改情况。4-1 4-2 是否对本单位信息系统等级测评和安全建设整改工作进行总 体部署,具体工作计划是什么? 重要信息系统等级测评和安全建设整改工作是否纳入经 费预算,如何予以保障? 是否每年对第三级(含)以上信息系统进行等级测评,开展 等级测评时,《全国信息安全等级保护测评机构推荐目录》 从 中选择测评机构。是否要求测评机构和测评人员提供相关证明和资质材料;是 否与测评机构签订保密协议
并对测评过程进行监督。
4-3
4-4
4-5
是否按照国家标准或行业标准建设安全设施,落实安全措施; 是否根据等级测评结果,对不符合安全标准要求的,进一步 进行安全整改。
(五)信息安全产品使用、等级保护自查整改等情况。是否按照《管理办法》要求的条件选择使用信息安全产品; 采用国外信息安全产品的,是否经主管部门批准,并请有关 单位对产品进行专门技术检测。本单位如采用国外信息安全产品,主要是哪几类产品,所占 比例如何? 本单位是否采用国外信息安全服务,如采用,主要是哪几个 方面,主要原因是什么? 本单位等级保护自查工作组织部署情况;如接收过公安机关 反馈意见或整改通知书,具体落实情况。重要信息系统 2011 年以来发生的重大信息安全事件(事故)等情况。
5-1
5-2 5-3 5-4 5-5
(七)其他需要说明的自查情况以及对等级保护工作的意见和建议情况
填表时间:
自查单位主管人员(签字):
本单位信息系统基本情况表
是否 定级 备案 安全 保护 等级 等级测评工作开展情况 未测评 已制定测 已测评 评机构 安全建设整改工作开展情况 未整改 已制定整改方案 完成整改 正在组织实施 并达标
信息系统名称
总数
总数
总数
总数
总数
总数
总数
填表人:
审核人:
填表日期:
第三篇:等级保护
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级”
计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准)
信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准)
信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)
信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准)
信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准)
信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准)信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准)信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准)
信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准)
第四篇:2011年××单位信息安全等级保护自查工作报告
2011年××单位信息安全等级保护自查工作报告
我校信息安全等级保护工作自查工作自启动以来,结合自身具体实际,认真贯彻落实相关工作机制,逐步完善各项制度,积极参加信息公开相关培训,稳步有序地推进我校信息安全等级建设等各项工作。现将自查报告总结如下:
一、自查情况
(一)安全制度落实情况
我校成立了信息安全机构,主要负责人由校长兼任,网站、信息安全员由王**同志兼任。制定了计算机及网络的保密管理制度。信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(二)安全防范措施落实情况
1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄漏等方面有效性。
2、涉密计算机都设有开机密码,由专人保管负责。
3、网络终端没有违规上国际互联网及其他的信息网的现象。
4、建立了后台信息发布审核制度,由主要领导审核以后专人进行后台发送。后台用户名、口令仅限于信息管护人员使用。
(三)应急响应机制建设情况
1、制定了初步应急预案,并随着信息化程度的深入,结合我校的实
际,处于不断完善阶段。
2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜。
3、严格文件的收发,完善了清点、修理、编号、签收制度,并要求
信息管理员每天下班前进行系统备份。
二、存在问题及下一步打算
1、要继续加强对师生的安全意识教育,提高做好安全工作的主动性
和自觉性。
2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术飞速发展的特点,要加大更新力度。
3、进一步加大培训力度,提升业务水平和计算机信息系统安全防范
能力。不断提高政务信息工作人员的综合素质,增强处理信息的能力,提高信息质量,确保我校信息公开工作安全、顺利开展。2010年12月12日
第五篇:网络安全等级保护条例
第一章第二章第三章第四章第五章第六章第七章第八章 网络安全等级保护条例
(征求意见稿)
目录
总 则..........................................支持与保障......................................网络的安全保护..................................涉密网络的安全保护.............................密码管理.......................................监督管理.......................................法律责任.......................................附 则.........................................第一章 总 则
第一条【立法宗旨与依据】为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。
第二条【适用范围】在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。个人及家庭自建自用的网络除外。
第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。
前款所称“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
第四条【工作原则】网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。
网络运营者在网络建设过程中,应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。
3络安全防范意识。
国家鼓励和支持企事业单位、高等院校、研究机构等开展网络安全等级保护制度的教育与培训,加强网络安全等级保护管理和技术人才培养。
第十四条【鼓励创新】国家鼓励利用新技术、新应用开展网络安全等级保护管理和技术防护,采取主动防御、可信计算、人工智能等技术,创新网络安全技术保护措施,提升网络安全防范能力和水平。
国家对网络新技术、新应用的推广,组织开展网络安全风险评估,防范网络新技术、新应用的安全风险。
第三章 网络的安全保护
第十五条【网络等级】根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。
(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造
6用;
(八)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;
(九)落实联网备案和用户真实身份查验等责任;
(十)对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。
(十一)法律、行政法规规定的其他网络安全保护义务。第二十一条【特殊安全保护义务】第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务:
(一)确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;
(二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;
(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;
(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;
(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;
(八)法律和行政法规规定的其他网络安全保护义务。第二十二条【上线检测】新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试。
新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。
第二十三条【等级测评】第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。
第二十四条【安全整改】网络运营者应当对等级测评中发现的安全风险隐患,制定整改方案,落实整改措施,消除风险隐患。
第二十五条【自查工作】网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自
第二十九条【技术维护要求】第三级以上网络应当在境内实施技术维护,不得境外远程技术维护。因业务需要,确需进行境外远程技术维护的,应当进行网络安全评估,并采取风险管控措施。实施技术维护,应当记录并留存技术维护日志,并在公安机关检查时如实提供。
第三十条【监测预警和信息通报】地市级以上人民政府应当建立网络安全监测预警和信息通报制度,开展安全监测、态势感知、通报预警等工作。
第三级以上网络运营者应当建立健全网络安全监测预警和信息通报制度,按照规定向同级公安机关报送网络安全监测预警信息,报告网络安全事件。有行业主管部门的,同时向行业主管部门报送和报告。
行业主管部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,按照规定向同级网信部门、公安机关报送网络安全监测预警信息,报告网络安全事件。
第三十一条【数据和信息安全保护】网络运营者应当建立并落实重要数据和个人信息安全保护制度;采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复等技术措施,保障重要数据的完整性、保密性和可用性。
未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息;不得违反法律、行政法规规定和双方约
112涉密网络中使用的安全保密产品,应当通过国家保密行政管理部门设立的检测机构检测。计算机病毒防护产品应当选用取得计算机信息系统安全专用产品销售许可证的可靠产品,密码产品应当选用国家密码管理部门批准的产品。
第四十条【测评审查和风险评估】涉密网络应当由国家保密行政管理部门设立或者授权的保密测评机构进行检测评估,并经设区的市级以上保密行政管理部门审查合格,方可投入使用。
涉密网络运营者在涉密网络投入使用后,应定期开展安全保密检查和风险自评估,并接受保密行政管理部门组织的安全保密风险评估。绝密级网络每年至少进行一次,机密级和秘密级网络每两年至少进行一次。
公安机关、国家安全机关涉密网络投入使用的管理,依照国家保密行政管理部门会同公安机关、国家安全机关制定的有关规定执行。
第四十一条【涉密网络使用管理总体要求】涉密网络运营者应当制定安全保密管理制度,组建相应管理机构,设臵安全保密管理人员,落实安全保密责任。
第四十二条【涉密网络预警通报要求】涉密网络运营者应建立健全本单位涉密网络安全保密监测预警和信息通报制度,发现安全风险隐患的,应及时采取应急处臵措施,并向保密行政管理部门报告。
4密码产品应当经过密码管理部门批准,采用密码技术的软件系统、硬件设备等产品,应当通过密码检测。
密码的检测、装备、采购和使用等,由密码管理部门统一管理;系统设计、运行维护、日常管理和密码评估,应当按照国家密码管理相关法规和标准执行。
第四十七条【非涉密网络密码保护】非涉密网络应当按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务。第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。
第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。密码应用安全性评估结果应当报受理备案的公安机关和所在地设区市的密码管理部门备案。
第四十八条【密码安全管理责任】网络运营者应当按照国家密码管理法规和相关管理要求,履行密码安全管理职责,加强密码安全制度建设,完善密码安全管理措施,规范密码使用行为。
任何单位和个人不得利用密码从事危害国家安全、社会公共利益的活动,或者从事其他违法犯罪活动。
第六章 监督管理
第四十九条【安全监督管理】县级以上公安机关对网络运营者依照国家法律法规规定和相关标准规范要求,落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处臵、重大活动网络安全保护等工作,实行监督管理;对第三级以上网络运营者按照网络安全等级保护制度落实网络基础设施安全、网络运行安全和数据安全保护责任义务,实行重点监督管理。
县级以上公安机关对同级行业主管部门依照国家法律法规规定和相关标准规范要求,组织督促本行业、本领域落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处臵、重大活动网络安全保护等工作情况,进行监督、检查、指导。
地市级以上公安机关每年将网络安全等级保护工作情况通报同级网信部门。
第五十条【安全检查】县级以上公安机关对网络运营者开展下列网络安全工作情况进行监督检查:
(一)日常网络安全防范工作;
(二)重大网络安全风险隐患整改情况;
(三)重大网络安全事件应急处臵和恢复工作;
(四)重大活动网络安全保护工作落实情况;
(五)其他网络安全保护工作情况。
7自参加境外组织的网络攻防活动。
第五十五条【事件调查】公安机关应当根据有关规定处置网络安全事件,开展事件调查,认定事件责任,依法查处危害网络安全的违法犯罪活动。必要时,可以责令网络运营者采取阻断信息传输、暂停网络运行、备份相关数据等紧急措施。
网络运营者应当配合、支持公安机关和有关部门开展事件调查和处置工作。
第五十六条【紧急情况断网措施】网络存在的安全风险隐患严重威胁国家安全、社会秩序和公共利益的,紧急情况下公安机关可以责令其停止联网、停机整顿。
第五十七条【保密监督管理】保密行政管理部门负责对涉密网络的安全保护工作进行监督管理,负责对非涉密网络的失泄密行为的监管。发现存在安全隐患,违反保密法律法规,或者不符合保密标准保密的,按照《中华人民共和国保守国家秘密法》和国家保密相关规定处理。
第五十八条【密码监督管理】密码管理部门负责对网络安全等级保护工作中的密码管理进行监督管理,监督检查网络运营者对网络的密码配备、使用、管理和密码评估情况。其中重要涉密信息系统每两年至少开展一次监督检查。监督检查中发现存在安全隐患,或者违反密码管理相关规定,或者不符合密码相关标准规范要求的,按照国家密码管理相关规定予以处理。
第五十九条【行业监督管理】行业主管部门应当组织制定本行业、本领域网络安全等级保护工作规划和标准规范,掌握网络基本情况、定级备案情况和安全保护状况;监督管理本行业、本领域网络运营者开展网络定级备案、等级测评、安全建设整改、安全自查等工作。
行业主管部门应当监督管理本行业、本领域网络运营者依照网络安全等级保护制度和相关标准规范要求,落实网络安全管理和技术保护措施,组织开展网络安全防范、网络安全事件应急处臵、重大活动网络安全保护等工作。
第六十条【监督管理责任】网络安全等级保护监督管理部门及其工作人员应当对在履行职责中知悉的国家秘密、个人信息和重要数据严格保密,不得泄露、出售或者非法向他人提供。
第六十一条【执法协助】网络运营者和技术支持单位应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供支持和协助。
第六十二条【网络安全约谈制度】省级以上人民政府公安部门、保密行政管理部门、密码管理部门在履行网络安全等级保护监督管理职责中,发现网络存在较大安全风险隐患或者发生安全事件的,可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门。
第七章 法律责任
第六十三条【违反安全保护义务】网络运营者不履行本条例第十六条,第十七条第一款,第十八条第一款、第二款,第二十条、第二十二条第一款,第二十四条,第二十五条,第二十八条第一款,第三十一条第一款,第三十二条第二款规定的网络安全保护义务的,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。
第三级以上网络运营者违反本条例第二十一条、第二十二条第二款、第二十三条规定、第二十八条第二款,第三十条第二款,第三十二条第一款规定的,按照前款规定从重处罚。
第六十四条【违反技术维护要求】网络运营者违反本条例第二十九条规定,对第三级以上网络实施境外远程技术维护,未进行网络安全评估、未采取风险管控措施、未记录并留存技术维护日志的,由公安机关和相关行业主管部门依据各自职责责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。
第六十五条【违反数据安全和个人信息保护要求】网络运营者违反本条例第三十一条第二款规定,擅自收集、使用、提供数据和个人信息的,由网信部门、公安机关依据各自职责责令改正,依照《中华人民共和国网络安全法》第六十四条第一款的规定处罚。
第六十六条【网络安全服务责任】违反本条例第二十六条
1保密管理和密码管理规定的,由保密行政管理部门或者密码管理部门按照各自职责分工责令改正,拒不改正的,给予警告,并通报向其上级主管部门,建议对其主管人员和其他直接责任人员依法给予处分。
第六十九条【监管部门渎职责任】网信部门、公安机关、国家保密行政管理部门、密码管理部门以及有关行业主管部门及其工作人员有下列行为之一,对直接负责的主管人员和其他直接责任人员,或者有关工作人员依法给予处分:
(一)玩忽职守、滥用职权、徇私舞弊的;
(二)泄露、出售、非法提供在履行网络安全等级保护监管职责中获悉的国家秘密、个人信息和重要数据;或者将获取其他信息,用于其他用途的。
第七十条【法律竞合处理】违反本条例规定,构成违反治安管理行为的,由公安机关依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第八章 附 则
第七十一条【术语解释】本条例所称的“内”、“以上”包含本数;所称的“行业主管部门”包含行业监管部门。
第七十二条【军队】军队的网络安全等级保护工作,按照军队的有关法规执行。
第七十三条【生效时间】本条例由自
年 月 日起施行。