貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見
貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見
公網(wǎng)安[2020]1960號
網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度是黨中央有關(guān)文件和《網(wǎng)絡(luò)安全法》確定的基本制度。近年來,各單位、各部門按照中央網(wǎng)絡(luò)安全政策要求和《網(wǎng)絡(luò)安全法》等法律法規(guī)規(guī)定,全面加強網(wǎng)絡(luò)安全工作,有力保障了國家關(guān)鍵信息基礎(chǔ)設(shè)施、重要網(wǎng)絡(luò)和數(shù)據(jù)安全。但隨著信息技術(shù)飛速發(fā)展,網(wǎng)絡(luò)安全工作仍面臨一些新形勢、新任務(wù)和新挑戰(zhàn)。為深入貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度,健全完善國家網(wǎng)絡(luò)安全綜合防控體系,有效防范網(wǎng)絡(luò)安全威脅,有力處置網(wǎng)絡(luò)安全事件,嚴厲打擊危害網(wǎng)絡(luò)安全的違法犯罪活動,切實保障國家網(wǎng)絡(luò)安全,特制定以下指導(dǎo)意見。
一、指導(dǎo)思想、基本原則和工作目標(biāo)
(一)指導(dǎo)思想
以習(xí)近平新時代中國特色社會主義思想為指導(dǎo),按照黨中央、國務(wù)院決策部署,以總體國家安全觀為統(tǒng)領(lǐng),認真貫徹實施網(wǎng)絡(luò)強國戰(zhàn)略,全面加強網(wǎng)絡(luò)安全工作統(tǒng)籌規(guī)劃,以貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度為基礎(chǔ),以保護關(guān)鍵信息基礎(chǔ)設(shè)施、重要網(wǎng)絡(luò)和數(shù)據(jù)安全為重點,全面加強網(wǎng)絡(luò)安全防范管理、監(jiān)測預(yù)警、應(yīng)急處置、偵查打擊、情報信息等各項工作,及時監(jiān)測、處置網(wǎng)絡(luò)安全風(fēng)險、威脅和網(wǎng)絡(luò)安全突發(fā)事件,保護關(guān)鍵信息基礎(chǔ)設(shè)施、重要網(wǎng)絡(luò)和數(shù)據(jù)免受攻擊、侵入、干擾和破壞,依法懲治網(wǎng)絡(luò)違法犯罪活動,切實提高網(wǎng)絡(luò)安全保護能力,積極構(gòu)建國家網(wǎng)絡(luò)安全綜合防控體系,切實維護國家網(wǎng)絡(luò)空間主權(quán)、國家安全和社會公共利益,保護人民群眾的合法權(quán)益,保障和促進經(jīng)濟社會信息化健康發(fā)展。
(二)基本原則
堅持分等級保護、突出重點。根據(jù)網(wǎng)絡(luò)(包含網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)、數(shù)據(jù)資源等)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,以及其遭到破壞后的危害程度等因素,科學(xué)確定網(wǎng)絡(luò)的安全保護等級,實施分等級保護、分等級監(jiān)管,重點保障關(guān)鍵信息基礎(chǔ)設(shè)施和第三級(含第三級、下同)以上網(wǎng)絡(luò)的安全。
堅持積極防御、綜合防護。按照法律法規(guī)和有關(guān)國家標(biāo)準規(guī)范,充分利用人工智能、大數(shù)據(jù)分析等技術(shù),積極落實網(wǎng)絡(luò)安全管理和技術(shù)防范措施,強化網(wǎng)絡(luò)安全監(jiān)測、態(tài)勢感知、通報預(yù)警和應(yīng)急處置等重點工作,綜合采取網(wǎng)絡(luò)安全保護、保衛(wèi)、保障措施,防范和遏制重大網(wǎng)絡(luò)安全風(fēng)險、事件發(fā)生,保護云計算、物聯(lián)網(wǎng)、新型互聯(lián)網(wǎng)、大數(shù)據(jù)、智能制造等新技術(shù)應(yīng)用和新業(yè)態(tài)安全。
堅持依法保護、形成合力。依據(jù)《網(wǎng)絡(luò)安全法》等法律法規(guī)規(guī)定,公安機關(guān)依法履行網(wǎng)絡(luò)安全保衛(wèi)和監(jiān)督管理職責(zé),網(wǎng)絡(luò)安全行業(yè)主管部門(含監(jiān)管部門,下同)依法履行本行業(yè)網(wǎng)絡(luò)安全主管、監(jiān)管責(zé)任,強化和落實網(wǎng)絡(luò)運營者主體防護責(zé)任,充分發(fā)揮和調(diào)動社會各方力量,協(xié)調(diào)配合、群策群力,形成網(wǎng)絡(luò)安全保護工作合力。
(三)工作目標(biāo)
網(wǎng)絡(luò)安全等級保護制度深入貫徹實施。網(wǎng)絡(luò)安全等級保護定級備案、等級測評、安全建設(shè)和檢查等基礎(chǔ)工作深入推進。網(wǎng)絡(luò)安全保護“實戰(zhàn)化、體系化、常態(tài)化”和“動態(tài)防御、主動防御、縱深防御、精準防護、整體防控、聯(lián)防聯(lián)控”的“三化六防”措施得到有效落實,網(wǎng)絡(luò)安全保護良好生態(tài)基本建立,國家網(wǎng)絡(luò)安全綜合防護能力和水平顯著提升。
關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度建立實施。關(guān)鍵信息基礎(chǔ)設(shè)施底數(shù)清晰,安全保護機構(gòu)健全、職責(zé)明確、保障有力。在貫徹落實網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,關(guān)鍵信息基礎(chǔ)設(shè)施涉及的關(guān)鍵崗位人員管理、供應(yīng)鏈安全、數(shù)據(jù)安全、應(yīng)急處置等重點安全保護措施得到有效落實,關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力明顯增強。
網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急處置能力顯著提升??缧袠I(yè)、跨部門、跨地區(qū)的立體化網(wǎng)絡(luò)安全監(jiān)測體系和網(wǎng)絡(luò)安全保護平臺基本建成,網(wǎng)絡(luò)安全態(tài)勢感知、通報預(yù)警和事件發(fā)現(xiàn)處置能力明顯提高。網(wǎng)絡(luò)安全預(yù)案科學(xué)齊備,應(yīng)急處置機制完善,應(yīng)急演練常態(tài)化開展,網(wǎng)絡(luò)安全重大事件得到有效防范、遏制和處置。
網(wǎng)絡(luò)安全綜合防控體系基本形成。網(wǎng)絡(luò)安全保護工作機制健全完善,黨委統(tǒng)籌領(lǐng)導(dǎo)、各部門分工負責(zé)、社會力量多方參與的網(wǎng)絡(luò)安全工作格局進一步完善。網(wǎng)絡(luò)安全責(zé)任制得到有效落實,網(wǎng)絡(luò)安全管理防范、監(jiān)督指導(dǎo)和偵查打擊等能力顯著提升,“打防管控”一體化的網(wǎng)絡(luò)安全綜合防控體系基本形成。
二、深入貫徹實施國家網(wǎng)絡(luò)安全等級保護制度
按照國家網(wǎng)絡(luò)安全等級保護制度要求,各單位、各部門在公安機關(guān)指導(dǎo)監(jiān)督下,認真組織、深入開展網(wǎng)絡(luò)安全等級保護工作,建立良好的網(wǎng)絡(luò)安全保護生態(tài),切實履行主體責(zé)任,全面提升網(wǎng)絡(luò)安全保護能力。
(一)深化網(wǎng)絡(luò)定級備案工作。網(wǎng)絡(luò)運營者應(yīng)全面梳理本單位各類網(wǎng)絡(luò),特別是云計算、物聯(lián)網(wǎng)、新型互聯(lián)網(wǎng)、大數(shù)據(jù)、智能制造等新技術(shù)應(yīng)用的基本情況,并根據(jù)網(wǎng)絡(luò)的功能、服務(wù)范圍、服務(wù)對象和處理數(shù)據(jù)等情況,科學(xué)確定網(wǎng)絡(luò)的安全保護等級,對第二級以上網(wǎng)絡(luò)依法向公安機關(guān)備案,并向行業(yè)主管部門報備。對新建網(wǎng)絡(luò),應(yīng)在規(guī)劃設(shè)計階段確定安全保護等級。公安機關(guān)對網(wǎng)絡(luò)運營者提交的備案材料和網(wǎng)絡(luò)的安全保護等級進行審核,對定級結(jié)果合理、備案材料符合要求的,及時出具網(wǎng)絡(luò)安全等級保護備案證明。行業(yè)主管部門可以依據(jù)《網(wǎng)絡(luò)安全等級保護定級指南》國家標(biāo)準,結(jié)合行業(yè)特點制定行業(yè)網(wǎng)絡(luò)安全等級保護定級指導(dǎo)意見。
(二)定期開展網(wǎng)絡(luò)安全等級測評。網(wǎng)絡(luò)運營者應(yīng)依據(jù)有關(guān)標(biāo)準規(guī)范,對已定級備案網(wǎng)絡(luò)的安全性進行檢測評估,查找可能存在的網(wǎng)絡(luò)安全問題和隱患。第三級以上網(wǎng)絡(luò)運營者應(yīng)委托符合國家有關(guān)規(guī)定的等級測評機構(gòu),每年開展一次網(wǎng)絡(luò)安全等級測評,并及時將等級測評報告提交受理備案的公安機關(guān)和行業(yè)主管部門。新建第三級以上網(wǎng)絡(luò)應(yīng)在通過等級測評后投入運行。網(wǎng)絡(luò)運營者在開展測評服務(wù)過程中要與測評機構(gòu)簽署安全保密協(xié)議,并對測評過程進行監(jiān)督管理。公安機關(guān)要加強對本地等級測評機構(gòu)的監(jiān)督管理,建立測評人員背景審查和人員審核制度,確保等級測評過程客觀、公正、安全。
(三)科學(xué)開展安全建設(shè)整改。網(wǎng)絡(luò)運營者應(yīng)在網(wǎng)絡(luò)建設(shè)和運營過程中,同步規(guī)劃、同步建設(shè)、同步使用有關(guān)網(wǎng)絡(luò)安全保護措施。應(yīng)依據(jù)《網(wǎng)絡(luò)安全等級保護基本要求》《網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》等國家標(biāo)準,在現(xiàn)有安全保護措施的基礎(chǔ)上,全面梳理分析安全保護需求,并結(jié)合等級測評過程中發(fā)現(xiàn)的問題隱患,按照“一個中心(安全管理中心)、三重防護(安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境)”的要求,認真開展網(wǎng)絡(luò)安全建設(shè)和整改加固,全面落實安全保護技術(shù)措施。網(wǎng)絡(luò)運營者可將網(wǎng)絡(luò)遷移上云,或?qū)⒕W(wǎng)絡(luò)安全服務(wù)外包,充分利用云服務(wù)商和網(wǎng)絡(luò)安全服務(wù)商提升網(wǎng)絡(luò)安全保護能力和水平。應(yīng)全面加強網(wǎng)絡(luò)安全管理,建立完善人員管理、教育培訓(xùn)、系統(tǒng)安全建設(shè)和運維等管理制度,加強機房、設(shè)備和介質(zhì)安全管理,強化重要數(shù)據(jù)和個人信息保護,制定操作規(guī)范和工作流程,加強日常監(jiān)督和考核,確保各項管理措施有效落實。
(四)強化安全責(zé)任落實。行業(yè)主管部門、網(wǎng)絡(luò)運營者應(yīng)依據(jù)《網(wǎng)絡(luò)安全法》等法律法規(guī)和有關(guān)政策要求,按照“誰主管誰負責(zé)、誰運營誰負責(zé)”的原則,厘清網(wǎng)絡(luò)安全保護邊界,明確安全保護工作責(zé)任,建立網(wǎng)絡(luò)安全等級保護工作責(zé)任制,落實責(zé)任追究制度,作到“守土有責(zé)、守土盡責(zé)”。網(wǎng)絡(luò)運營者要定期組織專門力量開展網(wǎng)絡(luò)安全自查和檢測評估,行業(yè)主管部門要組織風(fēng)險評估,及時發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患和薄弱環(huán)節(jié)并予以整改,不斷提高網(wǎng)絡(luò)安全保護能力和水平。
(五)加強供應(yīng)鏈安全管理。網(wǎng)絡(luò)運營者應(yīng)加強網(wǎng)絡(luò)關(guān)鍵人員的安全管理,第三級以上網(wǎng)絡(luò)運營者應(yīng)對為其提供設(shè)計、建設(shè)、運維、技術(shù)服務(wù)的機構(gòu)和人員加強管理,評估服務(wù)過程中可能存在的安全風(fēng)險,并采取相應(yīng)的管控措施。網(wǎng)絡(luò)運營者應(yīng)加強網(wǎng)絡(luò)運維管理,因業(yè)務(wù)需要確需通過互聯(lián)網(wǎng)遠程運維的,應(yīng)進行評估論證,并采取相應(yīng)的管控措施。網(wǎng)絡(luò)運營者應(yīng)采購、使用符合國家法律法規(guī)和有關(guān)標(biāo)準規(guī)范要求的網(wǎng)絡(luò)產(chǎn)品及服務(wù),第三級以上網(wǎng)絡(luò)運營者應(yīng)積極應(yīng)用安全可信的網(wǎng)絡(luò)產(chǎn)品及服務(wù)。
(六)落實密碼安全防護要求。網(wǎng)絡(luò)運營者應(yīng)貫徹落實《密碼法》等有關(guān)法律法規(guī)規(guī)定和密碼應(yīng)用相關(guān)標(biāo)準規(guī)范。第三級以上網(wǎng)絡(luò)應(yīng)正確、有效采用密碼技術(shù)進行保護,并使用符合相關(guān)要求的密碼產(chǎn)品和服務(wù)。第三級以上網(wǎng)絡(luò)運營者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運行階段,按照密碼應(yīng)用安全性評估管理辦法和相關(guān)標(biāo)準,在網(wǎng)絡(luò)安全等級測評中同步開展密碼應(yīng)用安全性評估。
三、建立并實施關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度
公安機關(guān)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。各單位、各部門應(yīng)加強關(guān)鍵信息基礎(chǔ)設(shè)施安全的法律體系、政策體系、標(biāo)準體系、保護體系、保衛(wèi)體系和保障體系建設(shè),建立并實施關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度,在落實網(wǎng)絡(luò)安全等級保護制度基礎(chǔ)上,突出保護重點,強化保護措施,切實維護關(guān)鍵信息基礎(chǔ)設(shè)施安全。
(一)組織認定關(guān)鍵信息基礎(chǔ)設(shè)施。根據(jù)黨中央和公安部有關(guān)規(guī)定,公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的主管、監(jiān)管部門(以下統(tǒng)稱保護工作部門)應(yīng)制定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則并報公安部備案。保護工作部門根據(jù)認定規(guī)則負責(zé)組織認定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施,及時將認定結(jié)果通知相關(guān)設(shè)施運營者并報公安部。應(yīng)將符合認定條件的基礎(chǔ)網(wǎng)絡(luò)、大型專網(wǎng)、核心業(yè)務(wù)系統(tǒng)、云平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、智能制造系統(tǒng)、新型互聯(lián)網(wǎng)、新興通訊設(shè)施等重點保護對象納入關(guān)鍵信息基礎(chǔ)設(shè)施。關(guān)鍵信息基礎(chǔ)設(shè)施清單實行動態(tài)調(diào)整機制,有關(guān)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)發(fā)生較大變化,可能影響其認定結(jié)果的,運營者應(yīng)及時將相關(guān)情況報告保護工作部門,保護工作部門應(yīng)組織重新認定,將認定結(jié)果通知運營者,并報公安部。
(二)明確關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作職能分工。公安部負責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的頂層設(shè)計和規(guī)劃部署,會同相關(guān)部門健全完善關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度體系。保護工作部門負責(zé)對本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的組織領(lǐng)導(dǎo),根據(jù)國家網(wǎng)絡(luò)安全法律法規(guī)和有關(guān)標(biāo)準規(guī)范要求,制定并實施本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全總體規(guī)劃和安全防護策略,落實本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)安全指導(dǎo)監(jiān)督責(zé)任。關(guān)鍵信息基礎(chǔ)設(shè)施運營者負責(zé)設(shè)置專門安全管理機構(gòu),組織開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作,主要負責(zé)人對本單位關(guān)鍵信息基礎(chǔ)設(shè)施安全保護負總責(zé)。
(三)落實關(guān)鍵信息基礎(chǔ)設(shè)施重點防護措施。關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)依據(jù)網(wǎng)絡(luò)安全等級保護標(biāo)準開展安全建設(shè)并進行等級測評,發(fā)現(xiàn)問題和風(fēng)險隱患要及時整改;依據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護標(biāo)準,加強安全保護和保障,并進行安全檢測評估。要梳理網(wǎng)絡(luò)資產(chǎn),建立資產(chǎn)檔案,強化核心崗位人員管理、整體防護、監(jiān)測預(yù)警、應(yīng)急處置、數(shù)據(jù)保護等重點保護措施,合理分區(qū)分域,收斂互聯(lián)網(wǎng)暴露面,加強網(wǎng)絡(luò)攻擊威脅管控,強化縱深防御,積極利用新技術(shù)開展網(wǎng)絡(luò)安全保護,構(gòu)建以密碼技術(shù)、可信計算、人工智能、大數(shù)據(jù)分析等為核心的網(wǎng)絡(luò)安全保護體系,不斷提升關(guān)鍵信息基礎(chǔ)設(shè)施內(nèi)生安全、主動免疫和主動防御能力。有條件的運營者應(yīng)組建自己的安全服務(wù)機構(gòu),承擔(dān)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護任務(wù),也可通過遷移上云或購買安全服務(wù)等方式,提高網(wǎng)絡(luò)安全專業(yè)化、集約化保障能力。
(四)加強重要數(shù)據(jù)和個人信息保護。運營者應(yīng)建立并落實重要數(shù)據(jù)和個人信息安全保護制度,對關(guān)鍵信息基礎(chǔ)設(shè)施中的重要網(wǎng)絡(luò)和數(shù)據(jù)庫進行容災(zāi)備份,采取身份鑒別、訪問控制、密碼保護、安全審計、安全隔離、可信驗證等關(guān)鍵技術(shù)措施,切實保護重要數(shù)據(jù)全生命周期安全。運營者在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲,因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)遵守有關(guān)規(guī)定并進行安全評估。
(五)強化核心崗位人員和產(chǎn)品服務(wù)的安全管理。要對專門安全管理機構(gòu)的負責(zé)人和關(guān)鍵崗位人員進行安全背景審查,加強管理。要對關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)計、建設(shè)、運行、維護等服務(wù)實施安全管理,采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),確保供應(yīng)鏈安全。當(dāng)采購產(chǎn)品和服務(wù)可能影響國家安全的,應(yīng)按照國家有關(guān)規(guī)定通過安全審查。公安機關(guān)加強對關(guān)鍵信息基礎(chǔ)設(shè)施安全服務(wù)機構(gòu)的安全管理,為運營者開展安全保護工作提供支持。
四、加強網(wǎng)絡(luò)安全保護工作協(xié)作配合
行業(yè)主管部門、網(wǎng)絡(luò)運營者與公安機關(guān)要密切協(xié)同,大力開展安全監(jiān)測、通報預(yù)警、應(yīng)急處置、威脅情報等工作,落實常態(tài)化措施,提升應(yīng)對、處置網(wǎng)絡(luò)安全突發(fā)事件和重大風(fēng)險防控能力。
(一)加強網(wǎng)絡(luò)安全立體化監(jiān)測體系建設(shè)。各單位、各部門要全面加強網(wǎng)絡(luò)安全監(jiān)測,對關(guān)鍵信息基礎(chǔ)設(shè)施、重要網(wǎng)絡(luò)等開展實時監(jiān)測,發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和安全威脅,立即報告公安機關(guān)和有關(guān)部門并采取有效措施處置。要加強網(wǎng)絡(luò)新技術(shù)研究和應(yīng)用,研究繪制網(wǎng)絡(luò)空間地理信息圖譜(網(wǎng)絡(luò)地圖),實現(xiàn)掛圖作戰(zhàn)。行業(yè)主管部門、網(wǎng)絡(luò)運營要建設(shè)本行業(yè)、本單位的網(wǎng)絡(luò)安全保護業(yè)務(wù)平臺,建設(shè)平臺智慧大腦,依托平臺和大數(shù)據(jù)開展實時監(jiān)測、通報預(yù)警、應(yīng)急處置、安全防護、指揮調(diào)度等工作,并與公安機關(guān)有關(guān)安全保衛(wèi)平臺對接,形成條塊結(jié)合、縱橫聯(lián)通、協(xié)同聯(lián)動的綜合防控大格局。重點行業(yè)、網(wǎng)絡(luò)運營者和公安機關(guān)要建設(shè)網(wǎng)絡(luò)安全監(jiān)控指揮中心,落實7x24小時值班值守制度,建立常態(tài)化、實戰(zhàn)化的網(wǎng)絡(luò)安全工作機制。
(二)加強網(wǎng)絡(luò)安全信息共享和通報預(yù)警。行業(yè)主管部門、網(wǎng)絡(luò)運營者要依托國家網(wǎng)絡(luò)與信息安全信息通報機制,加強本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)安全信息通報預(yù)警力量建設(shè),及時收集、匯總、分析各方網(wǎng)絡(luò)安全信息,加強威脅情報工作,組織開展網(wǎng)絡(luò)安全威脅分析和態(tài)勢研判,及時通報預(yù)警和處置。第三級以上網(wǎng)絡(luò)運營者和關(guān)鍵信息基礎(chǔ)設(shè)施運營者要開展網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報工作,及時接收、處置來自國家、行業(yè)和地方網(wǎng)絡(luò)安全預(yù)警通報信息,按規(guī)定向行業(yè)主管部門、備案公安機關(guān)報送網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息和網(wǎng)絡(luò)安全事件。公安機關(guān)要加強網(wǎng)絡(luò)與信息安全信息通報預(yù)警機制建設(shè)和力量建設(shè),不斷提高網(wǎng)絡(luò)安全通報預(yù)警能力。
(三)加強網(wǎng)絡(luò)安全應(yīng)急處置機制建設(shè)。行業(yè)主管部門、網(wǎng)絡(luò)運營者要按照國家有關(guān)要求制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案,加強網(wǎng)絡(luò)安全應(yīng)急力量建設(shè)和應(yīng)急資源儲備,與公安機關(guān)密切配合,建立網(wǎng)絡(luò)安全事件報告制度和應(yīng)急處置機制。關(guān)鍵信息基礎(chǔ)設(shè)施運營者和第三級以上網(wǎng)絡(luò)運營者應(yīng)定期開展應(yīng)急演練,有效處置網(wǎng)絡(luò)安全事件,并針對應(yīng)急演練中發(fā)現(xiàn)的突出問題和漏洞隱患,及時整改加固,完善保護措施。行業(yè)主管部門、網(wǎng)絡(luò)運營者應(yīng)配合公安機關(guān)每年組織開展的網(wǎng)絡(luò)安全監(jiān)督檢查、比武演習(xí)等工作,不斷提升安全保護能力和對抗能力。
(四)加強網(wǎng)絡(luò)安全事件處置和案件偵辦。關(guān)鍵信息基礎(chǔ)設(shè)施、第三級以上網(wǎng)絡(luò)發(fā)生重大網(wǎng)絡(luò)安全威脅和事件時,行業(yè)主管部門、網(wǎng)絡(luò)運營者和公安機關(guān)應(yīng)聯(lián)合開展處置。電信業(yè)務(wù)經(jīng)營者、網(wǎng)絡(luò)服務(wù)提供者應(yīng)提供支持及協(xié)助。網(wǎng)絡(luò)運營者應(yīng)配合公安機關(guān)打擊網(wǎng)絡(luò)違法犯罪活動;發(fā)現(xiàn)違法犯罪線索、重大網(wǎng)絡(luò)安全威脅和事件時,應(yīng)及時報告公安機關(guān)和有關(guān)部門并提供必要協(xié)助。
(五)加強網(wǎng)絡(luò)安全問題隱患整改督辦。公安機關(guān)建立掛牌督辦制度,針對網(wǎng)絡(luò)運營者網(wǎng)絡(luò)安全工作不力、重大安全問題隱患久拖不改,或存在較大網(wǎng)絡(luò)安全風(fēng)險、發(fā)生重大網(wǎng)絡(luò)安全案事件的,按照規(guī)定的權(quán)限和程序,會同行業(yè)主管部門對相關(guān)負責(zé)人進行約談,掛牌督辦,并加大監(jiān)督檢查和行政執(zhí)法力度,依法依規(guī)進行行政處罰。網(wǎng)絡(luò)運營者應(yīng)按照有關(guān)要求采取措施,及時進行整改,消除重大風(fēng)險隱患。發(fā)生重大網(wǎng)絡(luò)安全案事件的,行業(yè)主管部門應(yīng)組織全行業(yè)開展整改整頓。
五、加強網(wǎng)絡(luò)安全工作各項保障
(一)加強組織領(lǐng)導(dǎo)。各單位、各部門要高度重視網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作,將其列入重要議事日程,加強統(tǒng)籌領(lǐng)導(dǎo)和規(guī)劃設(shè)計,認真研究解決網(wǎng)絡(luò)安全機構(gòu)設(shè)置、人員配備、經(jīng)費投入、安全保護措施建設(shè)等重大問題。行業(yè)主管部門和網(wǎng)絡(luò)運營者要明確本單位主要負責(zé)人是網(wǎng)絡(luò)安全的第一責(zé)任人,并確定一名領(lǐng)導(dǎo)班子成員分管網(wǎng)絡(luò)安全工作,成立網(wǎng)絡(luò)安全專門機構(gòu),明確任務(wù)分工,一級抓一級,層層抓落實。
(二)加強經(jīng)費政策保障。各單位、各部門要通過現(xiàn)有經(jīng)費渠道、保障關(guān)鍵信息基礎(chǔ)設(shè)施、第三級以上網(wǎng)絡(luò)等開展等級測評、風(fēng)險評估、密碼應(yīng)用安全性檢測、演練競賽、安全建設(shè)整改、安全保護平臺建設(shè)、密碼保障系統(tǒng)建設(shè)、運行維護、監(jiān)督檢查、教育培訓(xùn)等經(jīng)費投入。關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)保障足額的網(wǎng)絡(luò)安全投入,作出網(wǎng)絡(luò)安全和信息化有關(guān)決策時應(yīng)有網(wǎng)絡(luò)安全管理機構(gòu)人員參與。有關(guān)部門要扶持重點網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項目,支持網(wǎng)絡(luò)安全技術(shù)研究開發(fā)和創(chuàng)新應(yīng)用,推動網(wǎng)絡(luò)安全產(chǎn)業(yè)健康發(fā)展。公安機關(guān)要會同相關(guān)部門組織實施“一帶一路”網(wǎng)絡(luò)安全戰(zhàn)略,支持網(wǎng)絡(luò)安全企業(yè)“走出去”, 與有關(guān)國家共享中國網(wǎng)絡(luò)安全保護經(jīng)驗。
(三)加強考核評價。各單位、各部門要進一步健全完善網(wǎng)絡(luò)安全考核評價制度,明確考核指標(biāo),組織開展考核。公安機關(guān)將網(wǎng)絡(luò)安全工作納入社會治安綜合治理考核評價體系,每年組織對各地區(qū)網(wǎng)絡(luò)安全工作進行考核評價,每年評選網(wǎng)絡(luò)安全等級保護、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作先進單位,并將結(jié)果報告黨委政府,通報網(wǎng)信部門。
(四)加強技術(shù)攻關(guān)。各單位、各部門要充分調(diào)動網(wǎng)絡(luò)安全企業(yè)、科研機構(gòu)、專家等社會力量積極參與網(wǎng)絡(luò)安全核心技術(shù)攻關(guān),加強網(wǎng)絡(luò)安全協(xié)同協(xié)作、互動互補、共治共享和群防群治。公安機關(guān)要會同有關(guān)部門加強網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護標(biāo)準制定工作,出臺標(biāo)準應(yīng)用指南,加強標(biāo)準宣貫和應(yīng)用實施,建設(shè)試點示范基地,促進我國網(wǎng)絡(luò)安全產(chǎn)業(yè)和企業(yè)的健康發(fā)展。
(五)加強人才培養(yǎng)。各單位、各部門要加強網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護業(yè)務(wù)交流,通過組織開展比武競賽等形式,發(fā)現(xiàn)選拔高精尖技術(shù)人才,建設(shè)人才庫,建立健全人才發(fā)現(xiàn)、培養(yǎng)、選拔和使用機制,為做好網(wǎng)絡(luò)安全工作提供人才保障。