<delect id="b06od"></delect>
                <delect id="b06od"><noframes id="b06od">
                <label id="b06od"><div id="b06od"><del id="b06od"></del></div></label>
                  <delect id="b06od"></delect><delect id="b06od"></delect>
                    <label id="b06od"></label><label id="b06od"></label>

                          安全資訊

                          《網絡安全等級保護條例》與《信息安全等級保護管理辦法》

                          2018年6月27日,公安部發布《網絡安全等級保護條例(征求意見稿)》(以下簡稱“《征求意見稿》”),向社會公開征求意見?!墩髑笠庖姼濉钒倓t、支持與保障、網絡的安全保護、涉密網絡的安全保護、密碼管理、監督管理、法律責任和附則等八章,共七十三條。

                          《征求意見稿》對于網絡安全等級保護的各項要求、工作流程、涉密網絡、密碼管理等方面做出了非常細致的規定。對比《網絡安全法》頒布之前的《信息安全等級保護管理辦法》及其配套的相關規范、標準(以下簡稱“等保1.0”),《網絡安全法》頒布之后的網絡安全等級保護制度(以下簡稱“等保2.0”)結合新時期的網絡安全新形勢、新變化以及新技術、新應用的發展提出了更高的要求,網絡安全等級保護制度成為一個全新的國家網絡安全基本制度體系。

                          我們昨天推出《從<網絡安全等級保護條例(征求意見稿)>看等保1.0到等保2.0的重要變化》,以《征求意見稿》為抓手,從法律依據的效力位階、領導機構和主管部門、保護對象和適用范圍、等級分類界定、法律責任五個角度,對等保1.0到等保2.0所發生的重要變化進行分析。

                          本文為《從<網絡安全等級保護條例(征求意見稿)>看等保1.0到等保2.0的重要變化》中提到的《征求意見稿》與《管理辦法》的條款比對,讀者可通過本文對等保1.0到等保2.0的變化做更深入的了解。

                          下列對比中,前為等保2.0《網絡安全等級保護條例(征求意見稿)》,后為等保1.0《信息安全等級保護管理辦法》。

                          宗旨

                          加強網絡安全等級保護工作,提高網絡安全防范能力和水平,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展

                          規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設

                          立法依據

                          《網絡安全法》、《保守國家秘密法》

                          《計算機信息系統安全保護條例》等

                          定義

                          網絡:由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。

                          信息系統:由計算機及其相關和配套的設備、設施構成的,按照一定的應用目標和規則對信息進行存儲、傳輸、處理的系統或者網絡。

                          (來源:《關于信息安全等級保護工作的實施意見》第3條第2款)

                          工作原則

                          突出重點、主動防御、綜合防控,重點保護涉及國家安全、國計民生、社會公共利益的網絡的基礎設施安全、運行安全和數據安全。

                          明確責任,共同保護;依照標準,自行保護;同步建設,動態調整;指導監督,重點保護。國家重點保護涉及國家安全、經濟命脈、社會穩定基礎信息網絡和重要信息系統。

                          (來源:《關于信息安全等級保護工作的實施意見》第2條)

                          職責分工

                          中央網絡安全和信息化領導機構統一領導網絡安全等級保護工作;國家網信部門負責網絡安全等級保護工作的統籌協調;

                          國務院公安部門主管網絡安全等級保護工作;國家保密行政管理部門主管涉密網絡分級保護工作;國家密碼管理部門負責網絡安全等級保護工作中有關密碼管理工作的監督管理。

                          公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。

                          責任義務

                          網絡運營者應當依法開展網絡定級備案、安全建設整改、等級測評和自查等工作,采取管理和技術措施,保障網絡基礎設施安全、網絡運行安全、數據安全和信息安全,有效應對網絡安全事件,防范網絡違法犯罪活動。

                          信息系統運營、使用單位依據該管理辦法和相關技術標準對信息系統進行保護。

                          支持保障

                          建立健全網絡安全等級保護制度的組織領導體系、技術支持體系和保障體系。其中,行業主管部門、各級人民政府應當將網絡安全等級保護工作納入績效考核評價、社會治安綜合治理考核等。


                          等級分類

                          分類依據:網絡在國家安全、經濟建設、社會生活中的重要程度,以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀后,對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素。

                          分類依據:信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素。

                          網絡等級:五級

                          信息系統安全保護等級:五級

                          第一級,一旦受到破壞會對相關公民、法人和其他組織的合法權益造成損害,但不危害國家安全、社會秩序和公共利益的一般網絡。

                          第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。

                          第二級,一旦受到破壞會對相關公民、法人和其他組織的合法權益造成嚴重損害,或者對社會秩序和公共利益造成危害,但不危害國家安全的一般網絡。

                          第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。

                          第三級,一旦受到破壞會對相關公民、法人和其他組織的合法權益造成特別嚴重損害,或者會對社會秩序和社會公共利益造成嚴重危害,或者對國家安全造成危害的重要網絡。

                          第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。

                          第四級,一旦受到破壞會對社會秩序和公共利益造成特別嚴重危害,或者對國家安全造成嚴重危害的特別重要網絡。

                          第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。

                          第五級,一旦受到破壞后會對國家安全造成特別嚴重危害的極其重要網絡。

                          第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。

                          網絡定級

                          網絡運營者應當在規劃設計階段確定網絡的安全保護等級。當網絡功能、服務范圍、服務對象和處理的數據等發生重大變化時,網絡運營者應當依法變更網絡的安全保護等級。

                          自主定級、自主保護。

                          定級評審

                          對擬定為第二級以上的網絡,其運營者應當組織專家評審;有行業主管部門的,應當在評審后報請主管部門核準。

                          跨省或者全國統一聯網運行的網絡由行業主管部門統一擬定安全保護等級,統一組織定級評審;

                          行業主管部門可以依據國家標準規范,結合本行業網絡特點制定行業網絡安全等級保護定級指導意見。

                          信息系統運營、使用單位確定信息系統的安全保護等級。有主管部門的,應當經主管部門審核批準;

                          跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級;

                          對擬確定為第四級以上信息系統的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

                          定級備案

                          第二級以上網絡運營者應當在網絡的安全保護等級確定后10個工作日內,到縣級以上公安機關備案;

                          因網絡撤銷或變更調整安全保護等級的,應當在10個工作日內向原受理備案公安機關辦理備案撤銷或變更手續;

                          公安機關應當對網絡運營者提交的備案材料進行審核。對定級準確、備案材料符合要求的,應在10個工作日內出具網絡安全等級保護備案證明。

                          已運營(運行)的第二級以上信息系統,應當在安全保護等級確定后30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續;

                          新建第二級以上信息系統,應當在投入運行后30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。

                          隸屬于中央的在京單位,其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續??缡』蛘呷珖y一聯網運行的信息系統在各地運行、應用的分支系統,應當向當地設區的市級以上公安機關備案。

                          信息系統備案后,公安機關應當對信息系統的備案情況進行審核,對符合等級保護要求的,應當在收到備案材料之日起的10個工作日內頒發信息系統安全等級保護備案證明;發現不符合《信息安全等級保護管理辦法》及有關標準的,應當在收到備案材料之日起的10個工作日內通知備案單位予以糾正;發現定級不準的,應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。

                          安全保護義務

                          網絡運營者的一般安全保護義務,及第三級以上網絡運營者的特殊安全保護義務(詳見《網絡安全等級保護條例(征求意見稿)》第20條及第21條)

                          信息系統運營、使用單位應當按照《信息系統安全等級保護實施指南》具體實施等級保護工作。

                          上線檢測

                          新建的第二級網絡上線運行前應當按照網絡安全等級保護有關標準規范,對網絡的安全性進行測試。

                          新建的第三級以上網絡上線運行前應當委托網絡安全等級測評機構按照網絡安全等級保護有關標準規范進行等級測評,通過等級測評后方可投入運行。


                          等級測評

                          第三級以上網絡的運營者應當每年開展一次網絡安全等級測評,發現并整改安全風險隱患,并每年將開展網絡安全等級測評的工作情況及測評結果向備案的公安機關報告。

                          信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合該管理辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評,第五級信息系統應當依據特殊安全需求進行等級測評。

                          安全整改

                          網絡運營者應當對等級測評中發現的安全風險隱患,制定整改方案,落實整改措施,消除風險隱患。

                          測評或者自查,信息系統安全狀況未達到安全保護等級要求的,運營、使用單位應當制定方案進行整改。

                          自查

                          網絡運營者應當每年對本單位落實網絡安全等級保護制度情況和網絡安全狀況至少開展一次自查,發現安全風險隱患及時整改,并向備案的公安機關報告。

                          信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查,第四級信息系統應當每半年至少進行一次自查,第五級信息系統應當依據特殊安全需求進行自查。

                          測評機構、網絡服務機構要求

                          網絡安全等級測評機構應當為網絡運營者提供安全、客觀、公正的等級測評服務。

                          網絡安全等級測評機構應當與網絡運營者簽署服務協議,并對測評人員進行安全保密教育,與其簽訂安全保密責任書,明確測評人員的安全保密義務和法律責任,組織測評人員參加專業培訓。

                          從事信息系統安全等級測評的機構,應當履行下列義務:

                          (一)遵守國家有關法律法規和技術標準,提供安全、客觀、公正的檢測評估服務,保證測評的質量和效果;

                          (二)保守在測評活動中知悉的國家秘密、商業秘密和個人隱私,防范測評風險;

                          (三)對測評人員進行安全保密教育,與其簽訂安全保密責任書,規定應當履行的安全保密義務和承擔的法律責任,并負責檢查落實。

                          網絡服務提供者為第三級以上網絡提供網絡建設、運行維護、安全監測、數據分析等網絡服務,應當符合國家有關法律法規和技術標準的要求。

                          網絡安全等級測評機構等網絡服務提供者應當保守服務過程中知悉的國家秘密、個人信息和重要數據。不得非法使用或擅自發布、披露在提供服務中收集掌握的數據信息和系統漏洞、惡意代碼、網絡入侵攻擊等網絡安全信息。

                          產品服務采購使用安全要求

                          第三級以上網絡運營者應當采用與其安全保護等級相適應的網絡產品和服務;對重要部位使用的網絡產品,應當委托專業測評機構進行專項測試,根據測試結果選擇符合要求的網絡產品;采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。

                          第三級以上信息系統應當選擇使用符合以下條件的信息安全產品:

                          (一)產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內具有獨立的法人資格;

                          (二)產品的核心技術、關鍵部件具有我國自主知識產權;

                          (三)產品研制、生產單位及其主要業務、技術人員無犯罪記錄;

                          (四)產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能;

                          (五)對國家安全、社會秩序、公共利益不構成危害;

                          (六)對已列入信息安全產品認證目錄的,應當取得國家信息安全產品認證機構頒發的認證證書。

                          技術維護要求

                          第三級以上網絡應當在境內實施技術維護,不得境外遠程技術維護。因業務需要,確需進行境外遠程技術維護的,應當進行網絡安全評估,并采取風險管控措施。實施技術維護,應當記錄并留存技術維護日志,并在公安機關檢查時如實提供。


                          監測預警和信息通報

                          第三級以上網絡運營者應當建立健全網絡安全監測預警和信息通報制度,按照規定向同級公安機關報送網絡安全監測預警信息,報告網絡安全事件。有行業主管部門的,同時向行業主管部門報送和報告。


                          數據和信息安全保護

                          網絡運營者應當建立并落實重要數據和個人信息安全保護制度;采取保護措施,保障數據和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全;建立異地備份恢復等技術措施,保障重要數據的完整性、保密性和可用性。

                          未經允許或授權,網絡運營者不得收集與其提供的服務無關的數據和個人信息;不得違反法律、行政法規規定和雙方約定收集、使用和處理數據和個人信息;不得泄露、篡改、損毀其收集的數據和個人信息;不得非授權訪問、使用、提供數據和個人信息。


                          應急處置

                          第三級以上網絡的運營者應當按照國家有關規定,制定網絡安全應急預案,定期開展網絡安全應急演練。網絡運營者處置網絡安全事件應當保護現場,記錄并留存相關數據信息,并及時向公安機關和行業主管部門報告。


                          審計審核

                          網絡運營者建設、運營、維護和使用網絡,向社會公眾提供需取得行政許可的經營活動的,相關主管部門應當將網絡安全等級保護制度落實情況納入審計、審核范圍。


                          新技術新應用風險管控

                          網絡運營者應當按照網絡安全等級保護制度要求,采取措施,管控云計算、大數據、人工智能、物聯網、工控系統和移動互聯網等新技術、新應用帶來的安全風險,消除安全隱患。


                          涉密分級

                          涉密網絡按照存儲、處理、傳輸國家秘密的最高密級分為絕密級、機密級和秘密級。

                          涉密信息系統按照所處理信息的最高密級,由低到高分為秘密、機密、絕密三個等級。

                          涉密網絡定級

                          涉密網絡運營者應當依法確定涉密網絡的密級,通過本單位保密委員會(領導小組)的審定,并向同級保密行政管理部門備案。

                          涉密信息系統建設使用單位應當在信息規范定密的基礎上,依據涉密信息系統分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統分級保護技術要求》確定系統等級。對于包含多個安全域的涉密信息系統,各安全域可以分別確定保護等級。

                          涉密信息系統建設使用單位應當將涉密信息系統定級和建設使用情況,及時上報業務主管部門的保密工作機構和負責系統審批的保密工作部門備案,并接受保密部門的監督、檢查、指導。

                          涉密網絡建設管理

                          涉密網絡運營者委托其他單位承擔涉密網絡建設的,應當選擇具有相應涉密信息系統集成資質的單位,并與建設單位簽訂保密協議,明確保密責任,采取保密措施。

                          涉密信息系統建設使用單位應當選擇具有涉密集成資質的單位承擔或者參與涉密信息系統的設計與實施。

                          涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理規范和技術標準,按照秘密、機密、絕密三級的不同要求,結合系統實際進行方案設計,實施分級保護,其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。

                          涉密網絡信息設備、安全保密產品管理

                          涉密網絡中使用的信息設備,應當從國家有關主管部門發布的涉密專用信息設備名錄中選擇;未納入名錄的,應選擇政府采購目錄中的產品。確需選用進口產品的,應當進行安全保密檢測。

                          涉密網絡運營者不得選用國家保密行政管理部門禁止使用或者政府采購主管部門禁止采購的產品。

                          涉密網絡中使用的安全保密產品,應當通過國家保密行政管理部門設立的檢測機構檢測。計算機病毒防護產品應當選用取得計算機信息系統安全專用產品銷售許可證的可靠產品,密碼產品應當選用國家密碼管理部門批準的產品。

                          涉密信息系統使用的信息安全保密產品原則上應當選用國產品,并應當通過國家保密局授權的檢測機構依據有關國家保密標準進行的檢測,通過檢測的產品由國家保密局審核發布目錄。

                          涉密網絡測評審查和風險評估

                          涉密網絡應當由國家保密行政管理部門設立或者授權的保密測評機構進行檢測評估,并經設區的市級以上保密行政管理部門審查合格,方可投入使用。

                          涉密網絡運營者在涉密網絡投入使用后,應定期開展安全保密檢查和風險自評估,并接受保密行政管理部門組織的安全保密風險評估。絕密級網絡每年至少進行一次,機密級和秘密級網絡每兩年至少進行一次。

                          涉密信息系統建設使用單位在系統工程實施結束后,應當向保密工作部門提出申請,由國家保密局授權的系統測評機構依據國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統分級保護測評指南》,對涉密信息系統進行安全保密測評。

                          涉密信息系統建設使用單位在系統投入使用前,應當按照《涉及國家秘密的信息系統審批管理規定》,向設區的市級以上保密工作部門申請進行系統審批,涉密信息系統通過審批后方可投入使用。已投入使用的涉密信息系統,其建設使用單位在按照分級保護要求完成系統整改后,應當向保密工作部門備案。

                          涉密信息系統建設使用單位應當依據國家保密標準BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》,加強涉密信息系統運行中的保密管理,定期進行風險評估,消除泄密隱患和漏洞。

                          涉密網絡使用管理總體要求

                          涉密網絡運營者應當制定安全保密管理制度,組建相應管理機構,設置安全保密管理人員,落實安全保密責任。


                          涉密網絡預警通報要求

                          涉密網絡運營者應建立健全本單位涉密網絡安全保密監測預警和信息通報制度,發現安全風險隱患的,應及時采取應急處置措施,并向保密行政管理部門報告。


                          涉密網絡重大變化的處置

                          有下列情形之一的,涉密網絡運營者應當按照國家保密規定及時向保密行政管理部門報告并采取相應措施

                          (一)密級發生變化的;

                          (二)連接范圍、終端數量超出審查通過的范圍、數量的;

                          (三)所處物理環境或者安全保密設施變化可能導致新的安全保密風險的;

                          (四)新增應用系統的,或者應用系統變更、減少可能導致新的安全保密風險的。

                          對前款所列情形,保密行政管理部門應當及時作出是否對涉密網絡重新進行檢測評估和審查的決定。

                          涉密信息系統發生涉密等級、連接范圍、環境設施、主要應用、安全保密管理責任單位變更時,其建設使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據實際情況,決定是否對其重新進行測評和審批。

                          涉密網絡廢止

                          涉密網絡不再使用的,涉密網絡運營者應當及時向保密行政管理部門報告,并按照國家保密規定和標準對涉密信息設備、產品、涉密載體等進行處理。


                          確定密碼要求

                          國家密碼管理部門根據網絡的安全保護等級、涉密網絡的密級和保護等級,確定密碼的配備、使用、管理和應用安全性評估要求,制定網絡安全等級保護密碼標準規范。

                          國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據被保護對象在國家安全、社會穩定、經濟建設中的作用和重要程度,被保護對象的安全防護要求和涉密程度,被保護對象被破壞后的危害程度以及密碼使用部門的性質等,確定密碼的等級保護準則。

                          信息系統安全等級保護中密碼的配備、使用和管理等,應當嚴格執行國家密碼管理的有關規定。

                          涉密網絡密碼保護

                          涉密網絡及傳輸的國家秘密信息,應當依法采用密碼保護。

                          密碼產品應當經過密碼管理部門批準,采用密碼技術的軟件系統、硬件設備等產品,應當通過密碼檢測。

                          密碼的檢測、裝備、采購和使用等,由密碼管理部門統一管理;系統設計、運行維護、日常管理和密碼評估,應當按照國家密碼管理相關法規和標準執行。

                          采用密碼對涉及國家秘密的信息和信息系統進行保護的,應報經國家密碼管理局審批,密碼的設計、實施、使用、運行維護和日常管理等,應當按照國家密碼管理有關規定和相關標準執行。

                          非涉密網絡密碼保護

                          非涉密網絡應當按照國家密碼管理法律法規和標準的要求,使用密碼技術、產品和服務。第三級以上網絡應當采用密碼保護,并使用國家密碼管理部門認可的密碼技術、產品和服務。

                          第三級以上網絡運營者應在網絡規劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關標準,委托密碼應用安全性測評機構開展密碼應用安全性評估。網絡通過評估后,方可上線運行,并在投入運行后,每年至少組織一次評估。密碼應用安全性評估結果應當報受理備案的公安機關和所在地設區市的密碼管理部門備案。

                          采用密碼對不涉及國家秘密的信息和信息系統進行保護的,須遵守《商用密碼管理條例》和密碼分類分級保護有關規定與相關標準,其密碼的配備使用情況應當向國家密碼管理機構備案。

                          密碼安全管理責任

                          網絡運營者應當按照國家密碼管理法規和相關管理要求,履行密碼安全管理職責,加強密碼安全制度建設,完善密碼安全管理措施,規范密碼使用行為。

                          任何單位和個人不得利用密碼從事危害國家安全、社會公共利益的活動,或者從事其他違法犯罪活動。


                          密碼產品使用


                          運用密碼技術對信息系統進行系統等級保護建設和整改的,必須采用經國家密碼管理部門批準使用或者準于銷售的密碼產品進行安全保護,不得采用國外引進或者擅自研制的密碼產品;未經批準不得采用含有加密功能的進口信息技術產品。

                          密碼及密碼設備測評


                          信息系統中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔,其他任何部門、單位和個人不得對密碼進行評測和監控。

                          密碼配備、使用和管理檢查和測評


                          各級密碼管理部門可以定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密信息系統的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監督檢查過程中,發現存在安全隱患或者違反密碼管理相關規定或者未達到密碼相關標準要求的,應當按照國家密碼管理的相關規定進行處置。

                          監督管理

                          公安機關:負責安全監督管理,對第三級以上網絡運營者按照網絡安全等級保護制度落實網絡基礎設施安全、網絡運行安全和數據安全保護責任義務,實行重點監督管理。(第49條)

                          保密行政管理部門:負責保密監督管理。(第57條)

                          密碼管理部門:負責密碼監督管理,重要涉密信息系統每兩年至少開展一次監督檢查。(第58條)

                          行業主管部門:負責行業監督管理。(第59條)

                          公安機關、國家指定的專門部門的安全監督、檢查、指導;

                          國家和地方各級保密工作部門依法對各地區、各部門涉密信息系統分級保護工作實施監督管理。

                          安全檢查

                          縣級以上公安機關對網絡運營者開展下列網絡安全工作情況進行監督檢查:

                          (一)日常網絡安全防范工作;

                          (二)重大網絡安全風險隱患整改情況;

                          (三)重大網絡安全事件應急處置和恢復工作;

                          (四)重大活動網絡安全保護工作落實情況;

                          (五)其他網絡安全保護工作情況。

                          受理備案的公安機關應當對第三級、第四級信息系統的運營、使用單位的信息安全等級保護工作情況進行檢查。

                          公安機關對第三級以上網絡運營者每年至少開展一次安全檢查。涉及相關行業的可以會同其行業主管部門開展安全檢查。必要時,公安機關可以委托社會力量提供技術支持。

                          對第三級信息系統每年至少檢查一次,對第四級信息系統每半年至少檢查一次。對跨省或者全國統一聯網運行的信息系統的檢查,應當會同其主管部門進行。對第五級信息系統,應當由國家指定的專門部門進行檢查。

                          公安機關依法實施監督檢查,網絡運營者應當協助、配合,并按照公安機關要求如實提供相關數據信息。

                          信息系統運營、使用單位應當接受公安機關、國家指定的專門部門的安全監督、檢查、指導,如實向公安機關、國家指定的專門部門提供有關信息安全保護的信息資料及數據文件。

                          公安機關在監督檢查中發現網絡安全風險隱患的,應當責令網絡運營者采取措施立即消除;不能立即消除的,應當責令其限期整改。

                          公安機關發現第三級以上網絡存在重大安全風險隱患的,應當及時通報行業主管部門,并向同級網信部門通報。

                          公安機關在監督檢查中發現重要行業或本地區存在嚴重威脅國家安全、公共安全和社會公共利益的重大網絡安全風險隱患的,應報告同級人民政府、網信部門和上級公安機關。

                          公安機關檢查發現信息系統安全保護狀況不符合信息安全等級保護有關管理規范和技術標準的,應當向運營、使用單位發出整改通知。運營、使用單位應當根據整改通知要求,按照管理規范和技術標準進行整改。整改完成后,應當將整改報告向公安機關備案。必要時,公安機關可以對整改情況組織檢查。

                          對測評機構和安全建設機構的監管

                          國家對網絡安全等級測評機構和安全建設機構實行推薦目錄管理,指導網絡安全等級測評機構和安全建設機構建立行業自律組織,制定行業自律規范,加強自律管理。

                          非涉密網絡安全等級測評機構和安全建設機構具體管理辦法,由國務院公安部門制定。保密科技測評機構管理辦法由國家保密行政管理部門制定。


                          關鍵人員管理

                          第三級以上網絡運營者的關鍵崗位人員以及為第三級以上網絡提供安全服務的人員,不得擅自參加境外組織的網絡攻防活動。


                          事件調查

                          公安機關應當根據有關規定處置網絡安全事件,開展事件調查,認定事件責任,依法查處危害網絡安全的違法犯罪活動。必要時,可以責令網絡運營者采取阻斷信息傳輸、暫停網絡運行、備份相關數據等緊急措施


                          緊急情況斷網措施

                          網絡存在的安全風險隱患嚴重威脅國家安全、社會秩序和公共利益的,緊急情況下公安機關可以責令其停止聯網、停機整頓。


                          網絡安全約談制度

                          省級以上人民政府公安部門、保密行政管理部門、密碼管理部門在履行網絡安全等級保護監督管理職責中,發現網絡存在較大安全風險隱患或者發生安全事件的,可以約談網絡運營者的法定代表人、主要負責人及其行業主管部門。


                          法律責任

                          違反安全保護義務:由公安機關責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。

                          第三級以上信息系統運營、使用單位違反《信息安全等級保護管理辦法》規定,由公安機關、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正;逾期不改正的,給予警告,并向其上級主管部門通報情況,建議對其直接負責的主管人員和其他直接責任人員予以處理,并及時反饋處理結果。

                          違反技術維護要求:由公安機關和相關行業主管部門依據各自職責責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。

                          違反數據安全和個人信息保護要求:由網信部門、公安機關依據各自職責責令改正,可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。

                          違反網絡安全服務責任:由公安機關責令改正,可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,并可以責令暫停相關業務、停業整頓,直至通知發證機關吊銷相關業務許可證或者吊銷營業執照。

                          泄露、非法出售或者向他人提供個人信息的,尚不構成犯罪的,由公安機關沒收違法所得,并處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款。

                          違反執法協助義務:由公安機關、保密行政管理部門、密碼管理部門、行業主管部門和有關部門依據各自職責責令改正;拒不改正或者情節嚴重的,處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員,處一萬元以上十萬元以下罰款。

                          違反保密和密碼管理責任:由保密行政管理部門或者密碼管理部門按照各自職責分工責令改正,拒不改正的,給予警告,并通報向其上級主管部門,建議對其主管人員和其他直接責任人員依法給予處分。

                          監管部門瀆職責任

                          網信部門、公安機關、國家保密行政管理部門、密碼管理部門以及有關行業主管部門及其工作人員有下列行為之一,對直接負責的主管人員和其他直接責任人員,或者有關工作人員依法給予處分:

                          (一)玩忽職守、濫用職權、徇私舞弊的;

                          (二)泄露、出售、非法提供在履行網絡安全等級保護監管職責中獲悉的國家秘密、個人信息和重要數據;或者將獲取其他信息,用于其他用途的。

                          信息安全監管部門及其工作人員在履行監督管理職責中,玩忽職守、濫用職權、徇私舞弊的,依法給予行政處分;構成犯罪的,依法追究刑事責任。

                          法律競合處理

                          違反《網絡安全等級保護條例規定》,構成違反治安管理行為的,由公安機關依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。

                          服務熱線

                          400-1021-996

                          產品和特性

                          價格和優惠

                          安徽靈狐網絡公眾號

                          微信公眾號

                          国产精品免费_一级毛片一级毛片_天堂一区人妻无码_色资源站
                                      <delect id="b06od"></delect>
                                        <delect id="b06od"><noframes id="b06od">
                                        <label id="b06od"><div id="b06od"><del id="b06od"></del></div></label>
                                          <delect id="b06od"></delect><delect id="b06od"></delect>
                                            <label id="b06od"></label><label id="b06od"></label>