工信部網站今日公布《通信網絡安全防護監督管理辦法(征求意見稿)》，對我國網絡安全監測、備份、風險評估、救援等擬定了具體要求，并公開征集意見，以提高我國通信網絡的安全水平。在該征求意見稿中規定，未按通信網絡安全防護標準落實安全防護措施或者存在重大網絡安全隱患的，由電信管理機構責令整改，并對整改情況進行監督檢查。拒不改正的，由電信管理機構給予警告，并處1萬元以上3萬元以下的罰款。

以下是工信部文件全文：

為切實履行通信網絡安全管理職責，提高通信網絡安全防護水平，依據《中華人民共和國電信條例》，工業和信息化部起草了《通信網絡安全防護監督管理辦法(征求意見稿)》，現予以公告，征求意見。請于2009年9月4日前反饋意見。

聯系地址：北京西長安街13號工業和信息化部政策法規司(郵編：100804)

電子郵件：wangxiaofei@miit.gov.cn

通信網絡安全防護監督管理辦法 (征求意見稿)

第一條(目的依據)為加強對通信網絡安全的管理，提高通信網絡安全防護能力，保障通信網絡安全暢通，根據《中華人民共和國電信條例》，制定本辦法。

第二條(適用范圍)中華人民共和國境內的電信業務經營者和互聯網域名服務提供者(以下統稱“通信網絡運行單位”)管理和運行的公用通信網和互聯網(以下統稱“通信網絡”)的網絡安全防護工作，適用本辦法。

本辦法所稱互聯網域名服務，是指設置域名數據庫或域名解析服務器，為域名持有者提供域名注冊或權威解析服務的行為。

本辦法所稱網絡安全防護工作，是指為防止通信網絡阻塞、中斷、癱瘓或被非法控制等以及通信網絡中傳輸、存儲、處理的數據信息丟失、泄露或被非法篡改等而開展的相關工作。

第三條(管轄職責)中華人民共和國工業和信息化部(以下簡稱工業和信息化部)負責全國通信網絡安全防護工作的統一指導、協調、監督和檢查，建立健全通信網絡安全防護體系，制訂通信網絡安全防護標準。

省、自治區、直轄市通信管理局(以下簡稱“通信管理局”)依據本辦法的規定，對本行政區域內通信網絡安全防護工作進行指導、協調、監督和檢查。

工業和信息化部和通信管理局統稱“電信管理機構”。

第四條(責任主體)通信網絡運行單位應當按照本辦法和通信網絡安全防護政策、標準的要求開展通信網絡安全防護工作，對本單位通信網絡安全負責。

第五條(方針原則)通信網絡安全防護工作堅持積極防御、綜合防范的方針，實行分級保護的原則。

第六條(同步要求)通信網絡運行單位規劃、設計、新建、改建通信網絡工程項目，應當同步規劃、設計、建設滿足通信網絡安全防護標準要求的通信網絡安全保障設施，并與主體工程同時進行驗收和投入運行。

已經投入運行的通信網絡安全保障設施沒有滿足通信網絡安全防護標準要求的，通信網絡運行單位應當進行改建。

通信網絡安全保障設施的規劃、設計、新建、改建費用，應當納入本單位建設項目預算。

第七條(分級保護要求)通信網絡運行單位應當按照通信網絡安全防護標準規定的方法，對本單位已正式投入運行的通信網絡進行單元劃分，將各通信網絡單元按照其對國家和社會經濟發展的重要程度由低到高分別劃分為一級、二級、三級、四級、五級。

通信網絡單元的分級結果應由接受其備案的電信管理機構組織專家進行評審。

通信網絡運行單位應當根據實際情況適時調整通信網絡單元的劃分和級別。通信網絡運行單位調整通信網絡單元的劃分和級別的，應當按照前款規定重新進行評審。

第八條(備案要求1)通信網絡運行單位應當按照下列規定在通信網絡投入運行后30日內將通信網絡單元向電信管理機構備案：

(一)基礎電信業務經營者集團公司直接管理的通信網絡單元，向工業和信息化部備案;基礎電信業務經營者各省(自治區、直轄市)子公司、分公司負責管理的通信網絡單元，向當地通信管理局備案。

(二)增值電信業務經營者的通信網絡單元，向電信業務經營許可證的發證機構備案。

(三)互聯網域名服務提供者的通信網絡單元，向工業和信息化部備案。

第九條(備案要求2)通信網絡運行單位辦理通信網絡單元備案，應當提交以下信息：

(一)通信網絡單元的名稱、級別、主要功能等。

(二)通信網絡單元責任單位的名稱、聯系方式等。

(三)通信網絡單元主要負責人的姓名、聯系方式等。

(四)通信網絡單元的拓撲架構、網絡邊界、主要軟硬件及型號、關鍵設施位址等。

前款規定的備案信息發生變化的，通信網絡運行單位應當自變更之日起15日內向電信管理機構變更備案。

第十條(備案審核)電信管理機構應當自收到通信網絡單元備案申請后20日內完成備案信息審核工作。備案信息真實、齊全、符合規定形式的，應當予以備案;備案信息不真實、不齊全或者不符合規定形式的，應當通知備案單位補正。

第十一條(符合性評測要求)通信網絡運行單位應當按照通信網絡安全防護標準的要求，落實與通信網絡單元級別相適應的安全防護措施，并自行組織進行符合性評測。評測方法應當符合通信網絡安全防護標準的有關規定。

三級及三級以上通信網絡單元，應當每年進行一次符合性評測;二級通信網絡單元，應當每兩年進行一次符合性評測。通信網絡單元的級別調整后，應當及時重新進行符合性評測。

符合性評測結果及整改情況或者整改計劃應當于評測結束后30日內報送通信網絡單元的備案機構。

第十二條(風險評估要求)通信網絡運行單位應當對通信網絡單元進行經常性的風險評估，及時消除重大網絡安全隱患。風險評估方法應當符合通信網絡安全防護標準的有關規定。

三級及三級以上通信網絡單元，應當每年進行一次風險評估;二級通信網絡單元，應當每兩年進行一次風險評估;國家重大活動舉辦前，三級及三級以上通信網絡單元應當進行風險評估。

風險評估結果及隱患處理情況或者處理計劃應當于風險評估結束后30日內上報通信網絡單元的備案機構。

第十三條(災難備份要求)通信網絡運行單位應當按照通信網絡安全防護標準的要求，對通信網絡單元的重要線路、設備、系統和數據等進行備份。

第十四條(演練要求)通信網絡運行單位應當定期或不定期組織演練檢驗通信網絡安全防護措施的有效性，并參加電信管理機構組織開展的演練。

第十五條(監測要求)通信網絡運行單位應當對本單位通信網絡的安全狀況進行自主監測，按照通信網絡安全防護標準建設和運行通信網絡安全監測系統。

通信網絡運行單位的監測系統應當按照電信管理機構的要求，與電信管理機構的監測系統互聯。

第十六條(CNCERT職責)工業和信息化部委托國家計算機網絡應急技術處理協調中心建設和運行互聯網網絡安全監測系統。

第十七條(安全服務規范)通信網絡運行單位委托其他單位進行安全評測、評估、監測等工作的，應當加強對受委托單位的管理，保證其服務符合通信網絡安全防護標準及有關法律、法規和政策的要求。

第十八條(監督檢查)電信管理機構應當根據本辦法和通信網絡安全防護政策、標準，對通信網絡運行單位開展通信網絡安全防護工作的情況進行監督檢查。

第十九條(檢查措施)電信管理機構有權采取以下措施對通信網絡安全防護工作進行監督檢查：

(一)查閱通信網絡運行單位的符合性評測報告和風險評估報告。

(二)查閱通信網絡運行單位的有關文檔和工作記錄。

(三)向通信網絡運行單位工作人員詢問了解有關情況。

(四)查驗通信網絡運行單位的有關設施。

(五)對通信網絡進行技術性分析和測試。

(六)采用法律、行政法規規定的其他檢查方式。

第二十條(委托檢查)電信管理機構可以委托網絡安全檢測專業機構開展通信網絡安全檢測活動。

第二十一條(配合檢查的義務)通信網絡運行單位對電信管理機構及其委托的專業機構依據本辦法開展的監督檢查和檢測活動應當予以配合，不得拒絕、阻撓。

第二十二條(規范檢查單位)電信管理機構及其委托的專業機構對通信網絡安全防護工作進行監督檢查和檢測，不得影響通信網絡的正常運行，不得收取任何費用，不得要求接受監督檢查的單位購買指定品牌或者指定生產、銷售單位的安全軟件、設備或者其他產品。

第二十三條(規范檢查人員)電信管理機構及其委托的專業機構的監督檢查人員應當忠于職守、堅持原則，不得泄漏監督檢查工作中知悉的國家秘密、商業秘密、技術秘密和個人隱私。

第二十四條(對專業機構的要求)電信管理機構委托的專業機構進行檢測時，應當書面記錄檢查的對象、時間、地點、內容、發現的問題等，由檢查單位和被檢查單位相關負責人簽字蓋章后，報委托方。

第二十五條(罰則1)違反本辦法第六條、第七條、第八條、第九條、第十一條、第十二條、第十三條、第十四條、第十五條、第十七條、第二十一條規定的，由電信管理機構責令改正，給予警告，并處5000元以上3萬元以下的罰款。

第二十六條(罰則2)未按照通信網絡安全防護標準落實安全防護措施或者存在重大網絡安全隱患的，由電信管理機構責令整改，并對整改情況進行監督檢查。拒不改正的，由電信管理機構給予警告，并處1萬元以上3萬元以下的罰款。

第二十七條(罰則3)電信管理機構及其委托的專業機構的工作人員違反本辦法第二十二條、第二十三條，在通信網絡安全監督檢查工作中，玩忽職守、濫用職權、徇私舞弊的，由所在單位或者上級主管部門給予行政處分;構成犯罪的，依法追究刑事責任。

第二十八條(附則)本辦法自 年 月 日起施行。