本辦法所稱互聯網域名服務,是指設置域名數據庫或者域名解析服務器,為域名持有者提供域名註冊或者權威解析服務的行為。
本辦法所稱網絡安全防護工作,是指為防止通信網絡阻塞、中斷、癱瘓或者被非法控制,以及為防止通信網絡中傳輸、存儲、處理的數據信息丟失、泄露或者被篡改而開展的工作。第三條 通信網絡安全防護工作堅持積極防禦、綜合防範、分級保護的原則。第四條 中華人民***和國工業和信息化部(以下簡稱工業和信息化部)負責全國通信網絡安全防護工作的統壹指導、協調和檢查,組織建立健全通信網絡安全防護體系,制定通信行業相關標準。
各省、自治區、直轄市通信管理局(以下簡稱通信管理局)依據本辦法的規定,對本行政區域內的通信網絡安全防護工作進行指導、協調和檢查。
工業和信息化部與通信管理局統稱“電信管理機構”。第五條 通信網絡運行單位應當按照電信管理機構的規定和通信行業標準開展通信網絡安全防護工作,對本單位通信網絡安全負責。第六條 通信網絡運行單位新建、改建、擴建通信網絡工程項目,應當同步建設通信網絡安全保障設施,並與主體工程同時進行驗收和投入運行。
通信網絡安全保障設施的新建、改建、擴建費用,應當納入本單位建設項目概算。第七條 通信網絡運行單位應當對本單位已正式投入運行的通信網絡進行單元劃分,並按照各通信網絡單元遭到破壞後可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度,由低到高分別劃分為壹級、二級、三級、四級、五級。
電信管理機構應當組織專家對通信網絡單元的分級情況進行評審。
通信網絡運行單位應當根據實際情況適時調整通信網絡單元的劃分和級別,並按照前款規定進行評審。第八條 通信網絡運行單位應當在通信網絡定級評審通過後三十日內,將通信網絡單元的劃分和定級情況按照以下規定向電信管理機構備案:
(壹)基礎電信業務經營者集團公司向工業和信息化部申請辦理其直接管理的通信網絡單元的備案;基礎電信業務經營者各省(自治區、直轄市)子公司、分公司向當地通信管理局申請辦理其負責管理的通信網絡單元的備案;
(二)增值電信業務經營者向作出電信業務經營許可決定的電信管理機構備案;
(三)互聯網域名服務提供者向工業和信息化部備案。第九條 通信網絡運行單位辦理通信網絡單元備案,應當提交以下信息:
(壹)通信網絡單元的名稱、級別和主要功能;
(二)通信網絡單元責任單位的名稱和聯系方式;
(三)通信網絡單元主要負責人的姓名和聯系方式;
(四)通信網絡單元的拓撲架構、網絡邊界、主要軟硬件及型號和關鍵設施位置;
(五)電信管理機構要求提交的涉及通信網絡安全的其他信息。
前款規定的備案信息發生變化的,通信網絡運行單位應當自信息變化之日起三十日內向電信管理機構變更備案。
通信網絡運行單位報備的信息應當真實、完整。第十條 電信管理機構應當對備案信息的真實性、完整性進行核查,發現備案信息不真實、不完整的,通知備案單位予以補正。第十壹條 通信網絡運行單位應當落實與通信網絡單元級別相適應的安全防護措施,並按照以下規定進行符合性評測:
(壹)三級及三級以上通信網絡單元應當每年進行壹次符合性評測;
(二)二級通信網絡單元應當每兩年進行壹次符合性評測。
通信網絡單元的劃分和級別調整的,應當自調整完成之日起九十日內重新進行符合性評測。
通信網絡運行單位應當在評測結束後三十日內,將通信網絡單元的符合性評測結果、整改情況或者整改計劃報送通信網絡單元的備案機構。第十二條 通信網絡運行單位應當按照以下規定組織對通信網絡單元進行安全風險評估,及時消除重大網絡安全隱患:
(壹)三級及三級以上通信網絡單元應當每年進行壹次安全風險評估;
(二)二級通信網絡單元應當每兩年進行壹次安全風險評估。
國家重大活動舉辦前,通信網絡單元應當按照電信管理機構的要求進行安全風險評估。
通信網絡運行單位應當在安全風險評估結束後三十日內,將安全風險評估結果、隱患處理情況或者處理計劃報送通信網絡單元的備案機構。