第一篇:等級保護全面自查
潞安容海發電有限責任公司信息安全等級保護自查報告
隨著我國信息網絡事業的飛速發展,信息安全保障能力提到了一個新的高度,我廠信息安全以及信息安全等級保護工作就提到了日常議程上來了。圍繞提高信息安全保障能力,維護國家安全、公共利益和社會穩定,促進信息化建設的要求,一年來,我廠認真貫徹落實行業和公司的總體部署,在公司和企業信息化工作的統一部署下,按照突出重點、統籌規劃,重點保障基礎信息網絡和重要信息系統安全的總體要求和原則,狠抓系統維護、培訓和流程梳理,促進管理規范,提高系統運行效率。進一步完善企業新的運行機制條件下的信息化管理工作,促進企業年度信息安全管理工作目標的實現。特別是今年9月以來,我廠在總結以往工作的基礎上,通過認真學習和領會《信息系統安全等級保護基本要求》精神,根據公司的統一部署,結合我廠的具體情況,認真梳理和開展了信息安全等級保護這項工作,取得一定成效。現簡要總結匯報我廠2011年度開展信息安全等級保護工作情況。
一、企業開展信息安全等級保護主要工作回顧
1、加強宣傳,增強認識,積極推進企業信息安全等級保護工作。為提高企業對信息安全等級保護這項工作的認識,我廠組織信息化管理部門和相關人員認真宣傳學習了工業和信息化部文件,大家充分了解到開展定級等工作內容、要求和技術標。一是增強了大家對推行信息安全等級保護制度的重要性和必要性以及信息安全等級保護工作的認識。二是在總結過去工作經驗的基礎上,確定了將信息安全等級保護工作作為今年網絡安全保障工作的一項重要任務來抓。三是采取一定措施,積極推進了公司和企業信息安全等級保護工作。從系統定級、定級評審、系統備案、測評整改、監督檢查等五個階段進行了一些有益的探索。并按照既定的工作目標和時限要求,確保等級保護定級工作保質保量完成。
2、對照要求,認真查找和消除企業信息安全等級保護工作中的差距。信息化管理部門和相關人員通過對照國家和行業有關信息安全等級保護工作文件相關規定和我廠實際,認真開展自查和總結。針對企業現狀展開分析和討論,尋找我廠開展信息安全等級保護這項工作的差距,理清工作思路,進一步確立了企業信息安全等級保護工作思路和目標。一是對企業信息安全總體情況進行了全面摸底,檢查了企業信息安全管理、信息安全技術、和信息安全運維三個體系建設情況。二是對信息安全檢查中發現的主要問題進行了及時整改,采取了相應的對策和措施。
3、落實組織,建立企業信息安全等級保護工作長效機制。我廠領導高度重視信息安全等級保護工作的開展。企業有關領導和相關信息安全職能部門充分認識到開展信息安全等級保護是保障全市政治穩定、經濟發展和社會和諧的有效手段。為適應公司組織機構調整需要,提高企業信息安全保障能力,維護國家安全、公共利益和社會穩定,促進信息化建設,我廠及時調整了信息化工作領導機構,同時,成立了潞安容海電廠關于成立信息系統安全工作領導小組,進一步落實了信息系統安全工作責任。在落實企業信息安全等級保護工作目標責任基礎上,一是重新梳理和調整了企業信息化隊伍;二是建立健全了信息安全管理制度;三是落實和發揮了系統備份、安全巡檢、安全監控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能;四是實現了集中安全管理控制,快速安全事件響應,高可信的安全防護;五是重申了對IT系統和產品開展入網前安全檢查,消除安全隱患等幾項具體措施。
4、總體規劃,分步實施和落實信息安全策略。我廠信息安全規劃堅持行業和政策實際,著眼于企業長遠的發展目標,以及高新技術迅猛發展的需要,立足企業當前的基礎和迫切需要解決的問題。信息安全規劃主要是企業部署了網絡硬件路由、防火墻和網絡防毒墻。實施和應用了中心機房安全監控、火災報警系統,瑞星網絡版企業殺毒軟件和上網行為管理系統。機房和綜合樓辦公樓實施了 UPS供電,建立了中心機房網絡雷電防護體系。安全策略主要是針對網絡進行了CISCO PIX515安全策略配置,企業內部網絡采用了路由和VLAN技術;服務器采取用戶和密碼登錄;各部門上網用戶實行等級權限,采用帳戶和密碼登錄方式進行單個PC管理。各個終端運維強調Windows補丁管理,并通過Windows安全策略向用戶提供限制性的訪問權限,有效地保護了windows機器。
另外,結合企業職業健康安全管理體系建設要求,對供電體系、雷電防護體系缺陷、計算機的安全保護,信息泄露、數據備份、病毒或黑客入侵等危險源進行了認真的辨識,對二級以上危險源都制訂了預控措施,明確了各崗位的崗位職責并對相關職責抓好落實。目前,企業信息系統的安全正式納入煙草行業安全管理信息系統管理,并著手規劃建立健全信息安全技術和信息安全運維兩個體系建設。
5、完善制度,建立和落實了信息安全保護責任制。自從2009年組建信息系統網絡以來,我廠就先后制訂并修改了各項信息安全相關制度,堅持對重大節日期間的信息安全保障工作進行專門部署。今年,我廠在加強內部信息化管理制度建設方面,將國家局行業卷煙生產經營決策管理系統五個操作文件納入了企業貫標管理。另外,為加強企業網絡安全與信息管理,適應行業改革與發展機制的需要,企業除執行國家、行業和公司有關信息網絡管理法律法規和制度外,內部制訂和修訂了一系列規章制度(包括預案和管理辦法)。這些制度的制訂和修改遵循了相關流程,并形成了記錄。目前已正式印發的制度主要包括:《計算機和網絡信息系統管理辦法》、《通信管理制度》、《網絡與信息安全事件專項應急預案》、《潞安礦業(集團)公司容海熱電廠計算機安全管理規定》、《通信突發事件應急處置專項預案》。制度下發以后,日常開展督導和制度執行力檢查,促進信息安全保護責任的落實。
6、抓好人員培訓和系統演練,促進企業重要信息系統日常信息安全保護工作落到實處。另外,在下半年的10月和11月,內部分兩期采取模擬信息網絡及中心機房突發事件、發生網絡中斷等突發事件,以訓帶練的形式開展了這兩個應急預案的演練。由生技部牽頭,安全科、生產(設備)、物資科等相關部門安排相關人員參加了這次預案的培訓和演練。培訓和演練取得了預期目的。
5、日常認真抓好信息安全檢查和系統運維,促進信息安全管理和系統整治規范。為了營造良好的網絡環境,保護自身信息的安全,我廠信息化主管部門結合信息技術支持與服務本職,突出工作重點,積極抓好網絡安全管理,進一步使安全落到實處。
(一)、堅持日常信息系統運維檢查。針對企業信息網絡系統管理和因特網上病毒和欺騙木馬程序(病毒)攻擊猖獗現狀,信息化主管部門日常組織開展了專業性和群眾性的信息及安全檢查,集中消除和治理安全隱患,杜絕各種信息安全事故發生。
(二)、定期開展信息系統管理制度執行情況檢查。按照企業制度督察檢查辦法,信息化主管部門編制了《計算機網絡系統管理辦法檢查表》,對照信息系統管理制度內容開展對各部門和各崗位以及重點部位、重點項目檢查,形成檢查記錄。
(三)、結合節假日和安全生產月、6S以及內部審核活動等開展信息網絡安全專項檢查。按照節假日和安全生產月、6S以及內部審核活動要求,開展網絡設備全面檢查和現場清理整頓工作,(1)是檢查全廠各部門采用集線束對辦公設備連線的整理規范狀況;(2)是重點對兩個機房以及各網絡交換點場所的開關線路和周圍雜物及時進行清理。對檢查發現的問題,尤其是嚴重對網絡系統造成安全隱患的項目立即下達通知整改,使問題消滅在萌芽狀態,促進信息網絡安全監督檢查到位,安全記錄真實規范。(3)是按照電力行業嚴格規范的總要求,對全廠網絡的一些歷史遺留問題和以往布線(電話線、有線、網線等)凸顯瑕疵的地方,結合廠區布局的規范化,結合網絡規范和6S管理要求,嚴格按相關標準進行了一次全面清理。
二、企業信息安全工作存在的問題是和改善工作意見或建議
1、企業在網絡審計、安全設備統一管理、網站防篡改、行業數字證書(CA)認證等系統方面的建設工作未開展,建議公司加強企業信息安全技術體系建設這些方面給予特別支持和引導。另外,指導企業對信息系統備份措施的檢查,包括檢查的方法和內容。
2、公司對國家局行業生產經營決策管理系統的安全運維今年正式進行了部署,建議對每次巡檢發現的問題能給予統一解決和處理。另外,指導企業開展網絡和應用系統應急預案的編制和演練。
三、2012年企業信息安全工作重點
信息安全管理的對象是計算機網絡和相關硬件系統以及在此系統上構架應用的軟件和信息系統的決策規劃、效能應用、系統安全、網絡監察、個人上網等一切網絡管理行為。而信息和信息網絡安全的防范和監管是信息主管部門的一個重要職責。為此,需要做好以下安全防范工作。
1、明確各層組織機構和人員的信息和信息網絡安全責任,實現組織和人力上的安全保證;
2、組織建立和健全各項信息和信息網絡安全制度,實現制度和管理上的安全保證;
3、規范日常信息化管理和檢查制度。包括:軟件管理、硬件管理、機房管理、系統運行和維護管理、網絡管理等,提出并實施各系統配置和標準化設置,便于安全的維護和加固,實現基礎管理上的安全保證;
4、除采用相應的物理防火墻和安全軟件外,做好應急預案是確保萬無一失的第一步,實現技術上的安全保證;
5、組織好本單位內的項目協調、實施、推廣應用與培訓等工作,確保信息化項目的實施成效,實現規劃和應用上的安全保證;
6、定期組織開展信息和網絡安全檢查活動。通過對現場檢查和清理,系統的監管,促進網絡現場規范,營造一個整潔、規范、安全、高效的網絡和信息系統環境,實現環境上的安全保證。
2011年12月3日
第二篇:信息安全等級保護自查項目表
信息安全等級保護自查項目表
一、備案單位基本情況 單位全稱 責任部門負責人 責任部門聯系人 已定級備案的信 息系統數量 姓 姓 名 名 職務或職稱 職務或職稱 三級系統 等級保護工作責任部門 辦公電話 辦公電話 二級系統 移動電話 移動電話 合 計
四級系統
二、備案單位等級保護工作開展情況
(一)等級保護工作的組織部署和實施情況 序號 1-1 1-2 1-3 檢 查 內 容 具 體 情 況
等級保護協調領導機構設置、落實信息安全責任情況。等級保護責任部門和崗位人員確定情況。等級保護工作的文件,有關工作意見或方案的制定情況。
1-4 1-5 1-6
依據國家等級保護政策、標準規范和行業主管部門等要求,組織開展各項工作情況。等級保護工作會議、業務培訓情況。單位主要領導對等級保護工作批示、指示情況。
(二)信息安全管理制度的建立和落實情況 2-1 2-2 2-3 2-4 2-5 2-6 人員安全管理制度建設情況。包括人員錄用、離崗、考核、安全保密、教育培訓、外來人員管理等安全管理制度。是否建立安全責任制,系統管理員、網絡管理員、安全管理 員、安全審計員是否與本單位簽訂信息安全責任書。是否有完善的機房安全管理制度,是否建立了機房進出人員 管理和日常監控制度。信息安全產品采購、使用管理、工程實施、驗收交付、服務 外包等系統建設相關管理制度建設情況。信息安全事件報告和處置管理制度建設情況,是否建立了日 常信息安全監測和預警機制。制定信息系統安全應急處置預案情況,是否定期組織開展應 急處置演練,并根據演練情況進行完善。
(三)信息系統安全等級保護定級備案情況
3-1 3-2 3-3 3-4
本單位是否有未定級、備案信息系統,已定級信息系統是否 定級準確。新建信息系統是否在規劃、設計階段確定安全保護等級并備 案。信息系統所承載的業務、服務范圍、安全需求等是否發生變 化,信息系統安全保護等級是否及時進行變更。是否對本單位重要信息系統的重要性有清楚的認識,是否開 展重要信息系統相關的威脅分析和相互依賴分析。
(四)重要信息系統開展等級測評和安全建設整改情況。4-1 4-2 是否對本單位信息系統等級測評和安全建設整改工作進行總 體部署,具體工作計劃是什么? 重要信息系統等級測評和安全建設整改工作是否納入經 費預算,如何予以保障? 是否每年對第三級(含)以上信息系統進行等級測評,開展 等級測評時,《全國信息安全等級保護測評機構推薦目錄》 從 中選擇測評機構。是否要求測評機構和測評人員提供相關證明和資質材料;是 否與測評機構簽訂保密協議
并對測評過程進行監督。
4-3
4-4
4-5
是否按照國家標準或行業標準建設安全設施,落實安全措施; 是否根據等級測評結果,對不符合安全標準要求的,進一步 進行安全整改。
(五)信息安全產品使用、等級保護自查整改等情況。是否按照《管理辦法》要求的條件選擇使用信息安全產品; 采用國外信息安全產品的,是否經主管部門批準,并請有關 單位對產品進行專門技術檢測。本單位如采用國外信息安全產品,主要是哪幾類產品,所占 比例如何? 本單位是否采用國外信息安全服務,如采用,主要是哪幾個 方面,主要原因是什么? 本單位等級保護自查工作組織部署情況;如接收過公安機關 反饋意見或整改通知書,具體落實情況。重要信息系統 2011 年以來發生的重大信息安全事件(事故)等情況。
5-1
5-2 5-3 5-4 5-5
(七)其他需要說明的自查情況以及對等級保護工作的意見和建議情況
填表時間:
自查單位主管人員(簽字):
本單位信息系統基本情況表
是否 定級 備案 安全 保護 等級 等級測評工作開展情況 未測評 已制定測 已測評 評機構 安全建設整改工作開展情況 未整改 已制定整改方案 完成整改 正在組織實施 并達標
信息系統名稱
總數
總數
總數
總數
總數
總數
總數
填表人:
審核人:
填表日期:
第三篇:等級保護
信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段,作為公安部授權的第三方測評機構,為企事業單位提供免費專業的信息安全等級測評咨詢服務。
信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力,一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現;另一方面分布在信息系統中的安全技術和安全管理上不同的安全控制,通過連接、交互、依賴、協調、協同等相互關聯關系,共同作用于信息系統的安全功能,使信息系統的整體安全功能與信息系統的結構以及安全控制間、層面間和區域間的相互關聯關系密切相關。因此,信息系統安全等級測評在安全控制測評的基礎上,還要包括系統整體測評。
第一級:用戶自主保護級;
第二級:系統審計保護級;
第三級:安全標記保護級;
第四級:結構化保護級;
第五級:訪問驗證保護級”
計算機信息系統安全等級保護劃分準則(GB 17859-1999)(基礎類標準)
信息系統安全等級保護實施指南(GB/T 25058-2010)(基礎類標準)
信息系統安全保護等級定級指南(GB/T 22240-2008)(應用類定級標準)
信息系統安全等級保護基本要求(GB/T 22239-2008)(應用類建設標準)
信息系統通用安全技術要求(GB/T 20271-2006)(應用類建設標準)
信息系統等級保護安全設計技術要求(GB/T 25070-2010)(應用類建設標準)信息系統安全等級保護測評要求(GB/T 28448-2012)(應用類測評標準)
信息系統安全等級保護測評過程指南(GB/T 28449-2012)(應用類測評標準)信息系統安全管理要求(GB/T 20269-2006)(應用類管理標準)
信息系統安全工程管理要求(GB/T 20282-2006)(應用類管理標準)
第四篇:2011年××單位信息安全等級保護自查工作報告
2011年××單位信息安全等級保護自查工作報告
我校信息安全等級保護工作自查工作自啟動以來,結合自身具體實際,認真貫徹落實相關工作機制,逐步完善各項制度,積極參加信息公開相關培訓,穩步有序地推進我校信息安全等級建設等各項工作。現將自查報告總結如下:
一、自查情況
(一)安全制度落實情況
我校成立了信息安全機構,主要負責人由校長兼任,網站、信息安全員由王**同志兼任。制定了計算機及網絡的保密管理制度。信息管護人員負責保密管理,密碼管理,對計算機享有獨立使用權,計算機的用戶名和開機密碼為其專有,且規定嚴禁外泄。
(二)安全防范措施落實情況
1、涉密計算機經過了保密技術檢查,并安裝了防火墻。同時配置安裝了專業殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄漏等方面有效性。
2、涉密計算機都設有開機密碼,由專人保管負責。
3、網絡終端沒有違規上國際互聯網及其他的信息網的現象。
4、建立了后臺信息發布審核制度,由主要領導審核以后專人進行后臺發送。后臺用戶名、口令僅限于信息管護人員使用。
(三)應急響應機制建設情況
1、制定了初步應急預案,并隨著信息化程度的深入,結合我校的實
際,處于不斷完善階段。
2、堅持和涉密計算機系統定點維修單位聯系機關計算機維修事宜。
3、嚴格文件的收發,完善了清點、修理、編號、簽收制度,并要求
信息管理員每天下班前進行系統備份。
二、存在問題及下一步打算
1、要繼續加強對師生的安全意識教育,提高做好安全工作的主動性
和自覺性。
2、設備維護、更新及時。要加大對線路、系統等的及時維護和保養,同時,針對信息技術飛速發展的特點,要加大更新力度。
3、進一步加大培訓力度,提升業務水平和計算機信息系統安全防范
能力。不斷提高政務信息工作人員的綜合素質,增強處理信息的能力,提高信息質量,確保我校信息公開工作安全、順利開展。2010年12月12日
第五篇:網絡安全等級保護條例
第一章第二章第三章第四章第五章第六章第七章第八章 網絡安全等級保護條例
(征求意見稿)
目錄
總 則..........................................支持與保障......................................網絡的安全保護..................................涉密網絡的安全保護.............................密碼管理.......................................監督管理.......................................法律責任.......................................附 則.........................................第一章 總 則
第一條【立法宗旨與依據】為加強網絡安全等級保護工作,提高網絡安全防范能力和水平,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,依據《中華人民共和國網絡安全法》、《中華人民共和國保守國家秘密法》等法律,制定本條例。
第二條【適用范圍】在中華人民共和國境內建設、運營、維護、使用網絡,開展網絡安全等級保護工作以及監督管理,適用本條例。個人及家庭自建自用的網絡除外。
第三條【確立制度】國家實行網絡安全等級保護制度,對網絡實施分等級保護、分等級監管。
前款所稱“網絡”是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。
第四條【工作原則】網絡安全等級保護工作應當按照突出重點、主動防御、綜合防控的原則,建立健全網絡安全防護體系,重點保護涉及國家安全、國計民生、社會公共利益的網絡的基礎設施安全、運行安全和數據安全。
網絡運營者在網絡建設過程中,應當同步規劃、同步建設、同步運行網絡安全保護、保密和密碼保護措施。
3絡安全防范意識。
國家鼓勵和支持企事業單位、高等院校、研究機構等開展網絡安全等級保護制度的教育與培訓,加強網絡安全等級保護管理和技術人才培養。
第十四條【鼓勵創新】國家鼓勵利用新技術、新應用開展網絡安全等級保護管理和技術防護,采取主動防御、可信計算、人工智能等技術,創新網絡安全技術保護措施,提升網絡安全防范能力和水平。
國家對網絡新技術、新應用的推廣,組織開展網絡安全風險評估,防范網絡新技術、新應用的安全風險。
第三章 網絡的安全保護
第十五條【網絡等級】根據網絡在國家安全、經濟建設、社會生活中的重要程度,以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀后,對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素,網絡分為五個安全保護等級。
(一)第一級,一旦受到破壞會對相關公民、法人和其他組織的合法權益造成損害,但不危害國家安全、社會秩序和公共利益的一般網絡。
(二)第二級,一旦受到破壞會對相關公民、法人和其他組織的合法權益造成嚴重損害,或者對社會秩序和公共利益造
6用;
(八)落實違法信息發現、阻斷、消除等措施,落實防范違法信息大量傳播、違法犯罪證據滅失等措施;
(九)落實聯網備案和用戶真實身份查驗等責任;
(十)對網絡中發生的案事件,應當在二十四小時內向屬地公安機關報告;泄露國家秘密的,應當同時向屬地保密行政管理部門報告。
(十一)法律、行政法規規定的其他網絡安全保護義務。第二十一條【特殊安全保護義務】第三級以上網絡的運營者除履行本條例第二十條規定的網絡安全保護義務外,還應當履行下列安全保護義務:
(一)確定網絡安全管理機構,明確網絡安全等級保護的工作職責,對網絡變更、網絡接入、運維和技術保障單位變更等事項建立逐級審批制度;
(二)制定并落實網絡安全總體規劃和整體安全防護策略,制定安全建設方案,并經專業技術人員評審通過;
(三)對網絡安全管理負責人和關鍵崗位的人員進行安全背景審查,落實持證上崗制度;
(四)對為其提供網絡設計、建設、運維和技術服務的機構和人員進行安全管理;
(五)落實網絡安全態勢感知監測預警措施,建設網絡安全防護管理平臺,對網絡運行狀態、網絡流量、用戶行為、網絡安全案事件等進行動態監測分析,并與同級公安機關對接;
(六)落實重要網絡設備、通信鏈路、系統的冗余、備份和恢復措施;
(七)建立網絡安全等級測評制度,定期開展等級測評,并將測評情況及安全整改措施、整改結果向公安機關和有關部門報告;
(八)法律和行政法規規定的其他網絡安全保護義務。第二十二條【上線檢測】新建的第二級網絡上線運行前應當按照網絡安全等級保護有關標準規范,對網絡的安全性進行測試。
新建的第三級以上網絡上線運行前應當委托網絡安全等級測評機構按照網絡安全等級保護有關標準規范進行等級測評,通過等級測評后方可投入運行。
第二十三條【等級測評】第三級以上網絡的運營者應當每年開展一次網絡安全等級測評,發現并整改安全風險隱患,并每年將開展網絡安全等級測評的工作情況及測評結果向備案的公安機關報告。
第二十四條【安全整改】網絡運營者應當對等級測評中發現的安全風險隱患,制定整改方案,落實整改措施,消除風險隱患。
第二十五條【自查工作】網絡運營者應當每年對本單位落實網絡安全等級保護制度情況和網絡安全狀況至少開展一次自
第二十九條【技術維護要求】第三級以上網絡應當在境內實施技術維護,不得境外遠程技術維護。因業務需要,確需進行境外遠程技術維護的,應當進行網絡安全評估,并采取風險管控措施。實施技術維護,應當記錄并留存技術維護日志,并在公安機關檢查時如實提供。
第三十條【監測預警和信息通報】地市級以上人民政府應當建立網絡安全監測預警和信息通報制度,開展安全監測、態勢感知、通報預警等工作。
第三級以上網絡運營者應當建立健全網絡安全監測預警和信息通報制度,按照規定向同級公安機關報送網絡安全監測預警信息,報告網絡安全事件。有行業主管部門的,同時向行業主管部門報送和報告。
行業主管部門應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度,按照規定向同級網信部門、公安機關報送網絡安全監測預警信息,報告網絡安全事件。
第三十一條【數據和信息安全保護】網絡運營者應當建立并落實重要數據和個人信息安全保護制度;采取保護措施,保障數據和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全;建立異地備份恢復等技術措施,保障重要數據的完整性、保密性和可用性。
未經允許或授權,網絡運營者不得收集與其提供的服務無關的數據和個人信息;不得違反法律、行政法規規定和雙方約
112涉密網絡中使用的安全保密產品,應當通過國家保密行政管理部門設立的檢測機構檢測。計算機病毒防護產品應當選用取得計算機信息系統安全專用產品銷售許可證的可靠產品,密碼產品應當選用國家密碼管理部門批準的產品。
第四十條【測評審查和風險評估】涉密網絡應當由國家保密行政管理部門設立或者授權的保密測評機構進行檢測評估,并經設區的市級以上保密行政管理部門審查合格,方可投入使用。
涉密網絡運營者在涉密網絡投入使用后,應定期開展安全保密檢查和風險自評估,并接受保密行政管理部門組織的安全保密風險評估。絕密級網絡每年至少進行一次,機密級和秘密級網絡每兩年至少進行一次。
公安機關、國家安全機關涉密網絡投入使用的管理,依照國家保密行政管理部門會同公安機關、國家安全機關制定的有關規定執行。
第四十一條【涉密網絡使用管理總體要求】涉密網絡運營者應當制定安全保密管理制度,組建相應管理機構,設臵安全保密管理人員,落實安全保密責任。
第四十二條【涉密網絡預警通報要求】涉密網絡運營者應建立健全本單位涉密網絡安全保密監測預警和信息通報制度,發現安全風險隱患的,應及時采取應急處臵措施,并向保密行政管理部門報告。
4密碼產品應當經過密碼管理部門批準,采用密碼技術的軟件系統、硬件設備等產品,應當通過密碼檢測。
密碼的檢測、裝備、采購和使用等,由密碼管理部門統一管理;系統設計、運行維護、日常管理和密碼評估,應當按照國家密碼管理相關法規和標準執行。
第四十七條【非涉密網絡密碼保護】非涉密網絡應當按照國家密碼管理法律法規和標準的要求,使用密碼技術、產品和服務。第三級以上網絡應當采用密碼保護,并使用國家密碼管理部門認可的密碼技術、產品和服務。
第三級以上網絡運營者應在網絡規劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關標準,委托密碼應用安全性測評機構開展密碼應用安全性評估。網絡通過評估后,方可上線運行,并在投入運行后,每年至少組織一次評估。密碼應用安全性評估結果應當報受理備案的公安機關和所在地設區市的密碼管理部門備案。
第四十八條【密碼安全管理責任】網絡運營者應當按照國家密碼管理法規和相關管理要求,履行密碼安全管理職責,加強密碼安全制度建設,完善密碼安全管理措施,規范密碼使用行為。
任何單位和個人不得利用密碼從事危害國家安全、社會公共利益的活動,或者從事其他違法犯罪活動。
第六章 監督管理
第四十九條【安全監督管理】縣級以上公安機關對網絡運營者依照國家法律法規規定和相關標準規范要求,落實網絡安全等級保護制度,開展網絡安全防范、網絡安全事件應急處臵、重大活動網絡安全保護等工作,實行監督管理;對第三級以上網絡運營者按照網絡安全等級保護制度落實網絡基礎設施安全、網絡運行安全和數據安全保護責任義務,實行重點監督管理。
縣級以上公安機關對同級行業主管部門依照國家法律法規規定和相關標準規范要求,組織督促本行業、本領域落實網絡安全等級保護制度,開展網絡安全防范、網絡安全事件應急處臵、重大活動網絡安全保護等工作情況,進行監督、檢查、指導。
地市級以上公安機關每年將網絡安全等級保護工作情況通報同級網信部門。
第五十條【安全檢查】縣級以上公安機關對網絡運營者開展下列網絡安全工作情況進行監督檢查:
(一)日常網絡安全防范工作;
(二)重大網絡安全風險隱患整改情況;
(三)重大網絡安全事件應急處臵和恢復工作;
(四)重大活動網絡安全保護工作落實情況;
(五)其他網絡安全保護工作情況。
7自參加境外組織的網絡攻防活動。
第五十五條【事件調查】公安機關應當根據有關規定處置網絡安全事件,開展事件調查,認定事件責任,依法查處危害網絡安全的違法犯罪活動。必要時,可以責令網絡運營者采取阻斷信息傳輸、暫停網絡運行、備份相關數據等緊急措施。
網絡運營者應當配合、支持公安機關和有關部門開展事件調查和處置工作。
第五十六條【緊急情況斷網措施】網絡存在的安全風險隱患嚴重威脅國家安全、社會秩序和公共利益的,緊急情況下公安機關可以責令其停止聯網、停機整頓。
第五十七條【保密監督管理】保密行政管理部門負責對涉密網絡的安全保護工作進行監督管理,負責對非涉密網絡的失泄密行為的監管。發現存在安全隱患,違反保密法律法規,或者不符合保密標準保密的,按照《中華人民共和國保守國家秘密法》和國家保密相關規定處理。
第五十八條【密碼監督管理】密碼管理部門負責對網絡安全等級保護工作中的密碼管理進行監督管理,監督檢查網絡運營者對網絡的密碼配備、使用、管理和密碼評估情況。其中重要涉密信息系統每兩年至少開展一次監督檢查。監督檢查中發現存在安全隱患,或者違反密碼管理相關規定,或者不符合密碼相關標準規范要求的,按照國家密碼管理相關規定予以處理。
第五十九條【行業監督管理】行業主管部門應當組織制定本行業、本領域網絡安全等級保護工作規劃和標準規范,掌握網絡基本情況、定級備案情況和安全保護狀況;監督管理本行業、本領域網絡運營者開展網絡定級備案、等級測評、安全建設整改、安全自查等工作。
行業主管部門應當監督管理本行業、本領域網絡運營者依照網絡安全等級保護制度和相關標準規范要求,落實網絡安全管理和技術保護措施,組織開展網絡安全防范、網絡安全事件應急處臵、重大活動網絡安全保護等工作。
第六十條【監督管理責任】網絡安全等級保護監督管理部門及其工作人員應當對在履行職責中知悉的國家秘密、個人信息和重要數據嚴格保密,不得泄露、出售或者非法向他人提供。
第六十一條【執法協助】網絡運營者和技術支持單位應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供支持和協助。
第六十二條【網絡安全約談制度】省級以上人民政府公安部門、保密行政管理部門、密碼管理部門在履行網絡安全等級保護監督管理職責中,發現網絡存在較大安全風險隱患或者發生安全事件的,可以約談網絡運營者的法定代表人、主要負責人及其行業主管部門。
第七章 法律責任
第六十三條【違反安全保護義務】網絡運營者不履行本條例第十六條,第十七條第一款,第十八條第一款、第二款,第二十條、第二十二條第一款,第二十四條,第二十五條,第二十八條第一款,第三十一條第一款,第三十二條第二款規定的網絡安全保護義務的,由公安機關責令改正,依照《中華人民共和國網絡安全法》第五十九條第一款的規定處罰。
第三級以上網絡運營者違反本條例第二十一條、第二十二條第二款、第二十三條規定、第二十八條第二款,第三十條第二款,第三十二條第一款規定的,按照前款規定從重處罰。
第六十四條【違反技術維護要求】網絡運營者違反本條例第二十九條規定,對第三級以上網絡實施境外遠程技術維護,未進行網絡安全評估、未采取風險管控措施、未記錄并留存技術維護日志的,由公安機關和相關行業主管部門依據各自職責責令改正,依照《中華人民共和國網絡安全法》第五十九條第一款的規定處罰。
第六十五條【違反數據安全和個人信息保護要求】網絡運營者違反本條例第三十一條第二款規定,擅自收集、使用、提供數據和個人信息的,由網信部門、公安機關依據各自職責責令改正,依照《中華人民共和國網絡安全法》第六十四條第一款的規定處罰。
第六十六條【網絡安全服務責任】違反本條例第二十六條
1保密管理和密碼管理規定的,由保密行政管理部門或者密碼管理部門按照各自職責分工責令改正,拒不改正的,給予警告,并通報向其上級主管部門,建議對其主管人員和其他直接責任人員依法給予處分。
第六十九條【監管部門瀆職責任】網信部門、公安機關、國家保密行政管理部門、密碼管理部門以及有關行業主管部門及其工作人員有下列行為之一,對直接負責的主管人員和其他直接責任人員,或者有關工作人員依法給予處分:
(一)玩忽職守、濫用職權、徇私舞弊的;
(二)泄露、出售、非法提供在履行網絡安全等級保護監管職責中獲悉的國家秘密、個人信息和重要數據;或者將獲取其他信息,用于其他用途的。
第七十條【法律競合處理】違反本條例規定,構成違反治安管理行為的,由公安機關依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第八章 附 則
第七十一條【術語解釋】本條例所稱的“內”、“以上”包含本數;所稱的“行業主管部門”包含行業監管部門。
第七十二條【軍隊】軍隊的網絡安全等級保護工作,按照軍隊的有關法規執行。
第七十三條【生效時間】本條例由自
年 月 日起施行。
點擊咨詢 