《网络安全等级保护条例》由会员分享,可在线阅读,更多相关《网络安全等级保护条例(23页珍藏版)》请在金锄头文库上搜索。
1、- 1 -网络安全等级保护条例(征求意见稿)目 录第一章 总 则 .- 2 -第二章 支持与保障 .- 4 -第三章 网络的安全保护 .- 5 -第四章 涉密网络的安全保护 - 13 -第五章 密码管理 - 15 -第六章 监督管理 - 17 -第七章 法律责任 - 21 -第八章 附 则 - 23 - 2 -第一章 总 则第一条【立法宗旨与依据】为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据中华人民共和国网络安全法、 中华人民共和国保守国家秘密法等法律,制定本条例。第二条【
2、适用范围】在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。个人及家庭自建自用的网络除外。第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。前款所称“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。第四条【工作原则】网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。网络运营者在网络建设过程中,应当同步规划、同步建设、同步运行
3、网络安全保护、保密和密码保护措施。- 3 -涉密网络应当依据国家保密规定和标准,结合系统实际进行保密防护和保密监管。第五条【职责分工】中央网络安全和信息化领导机构统一领导网络安全等级保护工作。国家网信部门负责网络安全等级保护工作的统筹协调。国务院公安部门主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫。国家保密行政管理部门主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理。国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理。国务院其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作。县级
4、以上地方人民政府依照本条例和有关法律法规规定,开展网络安全等级保护工作。第六条【网络运营者责任义务】网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作,采取管理和技术措施,保障网络基础设施安全、网络运行安全、数据安全和信息安全,有效应对网络安全事件,防范网络违法犯罪活动。第七条【行业要求】行业主管部门应当组织、指导本行业、本领域落实网络安全等级保护制度。- 4 -第二章 支持与保障第八条【总体保障】国家建立健全网络安全等级保护制度的组织领导体系、技术支持体系和保障体系。各级人民政府和行业主管部门应当将网络安全等级保护制度实施纳入信息化工作总体规划,统筹推进。第九条【标准制定
5、】国家建立完善网络安全等级保护标准体系。国务院标准化行政主管部门和国务院公安部门、国家保密行政管理部门、国家密码管理部门根据各自职责,组织制定网络安全等级保护的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全等级保护国家标准、行业标准的制定。第十条【投入和保障】各级人民政府鼓励扶持网络安全等级保护重点工程和项目,支持网络安全等级保护技术的研究开发和应用,推广安全可信的网络产品和服务。第十一条【技术支持】国家建设网络安全等级保护专家队伍和等级测评、安全建设、应急处置等技术支持体系,为网络安全等级保护制度提供支撑。第十二条【绩效考核】行业主管部门、各级人民政府应当
6、将网络安全等级保护工作纳入绩效考核评价、社会治安综合治理考核等。第十三条【宣传教育培训】各级人民政府及其有关部门应当加强网络安全等级保护制度的宣传教育,提升社会公众的- 5 -网络安全防范意识。国家鼓励和支持企事业单位、高等院校、研究机构等开展网络安全等级保护制度的教育与培训,加强网络安全等级保护管理和技术人才培养。第十四条【鼓励创新】国家鼓励利用新技术、新应用开展网络安全等级保护管理和技术防护,采取主动防御、可信计算、人工智能等技术,创新网络安全技术保护措施,提升网络安全防范能力和水平。国家对网络新技术、新应用的推广,组织开展网络安全风险评估,防范网络新技术、新应用的安全风险。第三章 网络的
7、安全保护第十五条【网络等级】根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造- 6 -成危害,但不危害国家安全的一般网络。(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别
8、严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。(四)第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。第十六条【网络定级】网络运营者应当在规划设计阶段确定网络的安全保护等级。当网络功能、服务范围、服务对象和处理的数据等发生重大变化时,网络运营者应当依法变更网络的安全保护等级。第十七条【定级评审】对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准。跨省或者全国统一联网运行的网络由行业主
9、管部门统一拟定安全保护等级,统一组织定级评审。行业主管部门可以依据国家标准规范,结合本行业网络特点制定行业网络安全等级保护定级指导意见。第十八条【定级备案】第二级以上网络运营者应当在网络- 7 -的安全保护等级确定后 10 个工作日内,到县级以上公安机关备案。因网络撤销或变更调整安全保护等级的,应当在 10 个工作日内向原受理备案公安机关办理备案撤销或变更手续。备案的具体办法由国务院公安部门组织制定。第十九条【备案审核】公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的,应在 10个工作日内出具网络安全等级保护备案证明。第二十条【一般安全保护义务】网络运营者应当依法
10、履行下列安全保护义务,保障网络和信息安全:(一)确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度;(二)建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;(三)落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;(四)落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施;(五)落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志;(六)落实数据分类、重要数据备份和加密等措施;(七)依法收集、使用、处理个人信
11、息,并落实个人信息保护- 8 -措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;(八)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;(九)落实联网备案和用户真实身份查验等责任;(十)对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。(十一)法律、行政法规规定的其他网络安全保护义务。第二十一条【特殊安全保护义务】第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务:(一)确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运
12、维和技术保障单位变更等事项建立逐级审批制度;(二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安- 9 -全案事件等进行动态监测分析,并与同级公安机关对接;(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整
13、改结果向公安机关和有关部门报告;(八)法律和行政法规规定的其他网络安全保护义务。第二十二条【上线检测】新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试。新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。第二十三条【等级测评】第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。第二十四条【安全整改】网络运营者应当对等级测评中发现的安全风险隐患,制定整改方案,落实整改措施,消除风险隐
14、患。第二十五条【自查工作】网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自- 10 -查,发现安全风险隐患及时整改,并向备案的公安机关报告。第二十六条【测评活动安全管理】网络安全等级测评机构应当为网络运营者提供安全、客观、公正的等级测评服务。网络安全等级测评机构应当与网络运营者签署服务协议,并对测评人员进行安全保密教育,与其签订安全保密责任书,明确测评人员的安全保密义务和法律责任,组织测评人员参加专业培训。第二十七条【网络服务机构要求】网络服务提供者为第三级以上网络提供网络建设、运行维护、安全监测、数据分析等网络服务,应当符合国家有关法律法规和技术标准的要求。
15、网络安全等级测评机构等网络服务提供者应当保守服务过程中知悉的国家秘密、个人信息和重要数据。不得非法使用或擅自发布、披露在提供服务中收集掌握的数据信息和系统漏洞、恶意代码、网络入侵攻击等网络安全信息。第二十八条【产品服务采购使用的安全要求】网络运营者应当采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务。第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务;对重要部位使用的网络产品,应当委托专业测评机构进行专项测试,根据测试结果选择符合要求的网络产品;采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。- 11 -第二十九条【
16、技术维护要求】第三级以上网络应当在境内实施技术维护,不得境外远程技术维护。因业务需要,确需进行境外远程技术维护的,应当进行网络安全评估,并采取风险管控措施。实施技术维护,应当记录并留存技术维护日志,并在公安机关检查时如实提供。第三十条【监测预警和信息通报】地市级以上人民政府应当建立网络安全监测预警和信息通报制度,开展安全监测、态势感知、通报预警等工作。第三级以上网络运营者应当建立健全网络安全监测预警和信息通报制度,按照规定向同级公安机关报送网络安全监测预警信息,报告网络安全事件。有行业主管部门的,同时向行业主管部门报送和报告。行业主管部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,按照规定向同级网信部门、公安机关报送网络安全监测预警信息,报告网络安全事件。第三十一条【数据和信息安全保护】网络运营者应当建立并落实重要数据和个人信息安全保护制度;采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复等技术措施,保障重要数据的完整性、保密性和可用性。未经允许或授权,网络运营者不得收集与其提供的服务
