-
-
加入收藏
设为首页
加入收藏
设为首页
第七章附则
第七十六条 本法下列用语的含义:
(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
第七十七条 存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。
第七十八条 军事网络的安全保护,由中央军事委员会另行规定。
第七十九条 本法自2017年6月1日起施行[1]。
为规范和加强信息安全管理工作,督促通信网络运行单位做好信息安全防护工作,切实提升通信网络运行单位信息安全防护水平,保障生产运行安全和企业信息化健康发展,现就《中华人民共和国网络安全法》在通信网络运行单位具体执行过程所产生的要点工信部概述如下:
一、用语的含义:
(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(二)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(三)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
(四)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
二、网络运营者在促进公共数据资源开放的同时,应严格遵守《网络安全法》的第十条、第二十二条、第三十条、第四十二条的规定,对于自身网络产品和服务所收集的重要数据及用户个人信息,应在中华人民共和国境内存储,不得私自泄露、篡改、毁损网络数据信息,更不得未经被收集者或网信部门和有关部门的同意向境外或有境外身份、背景的合作者及中介机构提供数据信息和个人信息,但是,经过处理无法识别特定个人且不能复原的除外。
三、网络运营者应严格遵照《网络安全法》第三十七条的规定,关键信息基础设施的运营者特别是被列入《外商投资产业指导目录》限制外商投资行业的网络运营者的在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
关键信息基础设施的运营者、被列入《外商投资产业指导目录》限制外商投资行业的网络运营者赴境外上市所涉及的的审计业务,不委托有外资参股或外资背景或由中外合作转制为特殊普通合伙制的会计师事务所执行。应当优先委托中国内地依法设立、具有首次公开发行财务报告审计或上市后年度财务报告审计经验、执业质量和职业道德良好且最近3年内未因执业行为受到暂停执业6个月以上行政处罚的合伙制(含特殊的普通合伙)会计师事务所,其主要负责人及承办审计业务人员具有中华人民共和国国籍,并无其他国家或地区的永久或长期居留权的,在中国内地执行审计业务。
第一章 总 则
第一条 为规范和加强通信网络运行单位信息安全管理工作,落实信息安全管理责任,强化安全监管和服务保障;有效保护通信网络运行单位重要信息系统、网络信息等信息安全,加快构建通讯领域信息安全保障体系。根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《信息系统安全等级保护基本要求》、《涉及国家秘密的信息系统分级保护管理规范》等法规制度和国家标准,制定本办法。
第二条 中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
第三条 信息安全是指利用计算机、网络、信息系统存储和处理的电子信息的安全,包括电子信息的保密性、完整性、可用性和可控性。
保密性是指电子信息只能由合法用户所获取、识别和使用,保证信息不泄露给未经授权的人;完整性是指保证电子信息的准确性、完整性和一致性,防止信息数据被非法篡改;可用性是指保证合法用户在使用信息时不会被不正当地拒绝;可控性是指对信息及信息系统能够实施安全监控。
第四条 涉及国家秘密的电子信息称为涉密信息,存储和处理涉密信息的计算机、网络、信息系统,称为涉密计算机、涉密网络、涉密信息系统。
不涉及国家秘密的电子信息称为非涉密信息,存储和处理非涉密信息的计算机、网络、信息系统,称为非涉密计算机、非涉密网络、非涉密信息系统。
第五条 信息安全管理包括信息安全组织管理、信息安全人员管理、信息安全资产管理、信息安全技术防护、信息处理安全管理、信息系统应急管理、信息安全检查等。
第六条 信息安全管理的总体方针是“安全第一,预防为主,管理和技术并重,综合防范,全员参与”。
信息安全工作要严格执行信息系统等级保护和分级保护制度,确保计算机和信息系统持续、稳定、可靠运行,防止因信息系统自身故障导致不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播。
信息系统建设过程中,要同步规划、设计、建设、运行、管理信息安全设施,建立健全信息安全技术防护体系。
第二章 信息安全管理体系
第七条 各级地方工业信息化主管部门(以下简称为“地方主管部门”)负责本地区通信网络运行单位信息安全管理体系建设以及对企业工作的指导与监督检查。
第八条 各级地方主管部门组织制定信息安全管理制度,完善技术防护措施,开展信息安全检查,协调处理信息安全事故。加快完善通信领域信息安全等级保护、风险评估、应急管理、监督检查等机制,指导通信网络运行单位规范信息安全管理、加强重要信息系统防护。
第九条 各级地方主管部门要加快建立并切实落实通信网络运行单位信息安全管理制度,建设信息安全技术防护体系,会同有关部门开展信息安全教育培训和监督检查。指导通信网络运行单位建立信息安全责任制,组建信息安全管理机构,将管理责任层层分解落实到企业主要领导、工作部门以及具体岗位和人员。
第三章 指导通信网络运行单位强化信息安全管理措施
第十条 各级地方主管部门指导通信网络运行单位切实贯彻落实国家有关信息安全法律法规和标准规范,建立健全各项管理机制和技术保障措施,加快提升通信网络运行单位信息安全防护水平。
第十一条 审计信息安全关系国家信息安全、被审计单位信息安全。各级地方主管部门指导通信网络运行单位切实贯彻落实财政部《会计师事务所从事中国内地企业境外上市审计业务暂行规定》(财会[2015]9号),凡涉及电子信息、计算机数据库服务及被列入《外商投资产业指导目录》限制外商投资行业的中国内地企业境外上市的,不委托有外资参股或外资背景或由中外合作转制为特殊普通合伙制的会计师事务所执行审计业务;应当优先委托中国内地依法设立、具有首次公开发行财务报告审计或上市后年度财务报告审计经验、执业质量和职业道德良好且最近3年内未因执业行为受到暂停执业6个月以上行政处罚的合伙制(含特殊的普通合伙)会计师事务所,主要负责人及承办审计业务人员具有中华人民共和国国籍,并无其他国家或地区的永久或长期居留权的,在中国内地执行审计业务。
第十二条 健全企业管理制度
督促各通信网络运行单位抓紧落实等级保护、分级保护和风险评估制度,建立健全定期自查和风险评估长效机制。支持重点通信网络运行单位根据企业信息资产、面临的安全威胁以及可能导致信息安全事件等情况,研究制定企业信息安全建设专项规划并组织实施。
通信网络运行单位新建技术改造或信息化、智能化项目的,应同步规划、建设和运行信息安全防护系统,信息安全建设运行费用应纳入项目预算,加强资金保障和使用监管。
第十三条 规范人员管理和培养
各级地方主管部门要指导各通信网络运行单位建立员工信息安全和保密责任制度,对重点部位实施人员准入管理,对重要岗位强化员工岗前安全审查,签订保密承诺书,对离岗离职员工实行脱密脱敏管理。
推动各通信网络运行单位定期组织企业职工教育培训,增强全员信息安全意识。强化对重要岗位、重要部位管理技术人员的技能培训,努力提升信息安全基础知识和防护技能水平。
第十四条 强化信息系统技术防护
指导各通信网络运行单位综合采用网络隔离、访问控制、密码保护、配置核查、安全审计、灾难备份等技术手段,强化对企业内部网络、网站和业务信息系统的技术保护。严格对移动存储设备、无线路由器等接入设备的安全管理。做好突发信息安全事件应急准备,关键网络设备、安全设备、终端设备、软件系统和重要数据要采取必要的备机、备件、备份等容灾措施。
第四章 强化安全监督检查与服务保障
第十五条 各级地方主管部门要认真履行职责,突出监管督查、技术支撑和服务保障等手段,为提升通信网络运行单位信息安全管理水平营造良好外部环境。
第十六条 强化安全监管督查。各级地方主管部门要会同有关部门,定期开展专项督查,督促通信网络运行单位健全安全管理制度和技术防护措施等工作。必要时可委托专业机构进行安全抽查。
第十七条 提升技术支撑服务能力。各级地方主管部门要加大政策扶持和资金投入力度,加快引进或培育高水平信息安全专业机构和专家队伍。
