中華人民共和國公安部
公網安[2020]1960號
關於印送《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》的函
中央和國家機關各部委,國務院各直屬機構、辦事機構、事業單位,各中央企業:
為深入貫徹黨中央有關文件精神和《網絡安全法》,指導重點行業、部門全面落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度,健全完善國家網絡安全綜合防控體系,有效防範網絡安全威脅,有力處置重大網絡安全事件,配合公安機關加強網絡安全監管,嚴厲打擊危害網絡安全的違法犯罪活動,切實保障關鍵信息基礎設施、重要網絡和數據安全,公安部研究制定了《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》。現印送給你們,請結合本行業、本部門工作實際,認真參照執行。
公安部2020年7月22日
貫徹落實網絡安全等級保護制度和
關鍵信息基礎設施安全保護制度的指導意見
網絡安全等級保護制度和關鍵信息基礎設施安全保護制度是黨中央有關文件和《網絡安全法》確定的基本制度。近年來,各單位、各部門按照中央網絡安全政策要求和《網絡安全法》等法律法規規定,全面加強網絡安全工作,有力保障了國家關鍵信息基礎設施、重要網絡和數據安全。但隨著信息技術飛速發展,網絡安全工作仍面臨一些新形勢、新任務和新挑戰。為深入貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度,健全完善國家網絡安全綜合防控體系,有效防範網絡安全威脅,有力處置網絡安全事件,嚴厲打擊危害網絡安全的違法犯罪活動,切實保障國家網絡安全,特制定以下指導意見。
一、指導思想、基本原則和工作目標
(一)指導思想
以習近平新時代中國特色社會主義思想為指導,按照黨中央、國務院決策部署,以總體國家安全觀為統領,認真貫徹實施網絡強國戰略,全面加強網絡安全工作統籌規劃,以貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度為基礎,以保護關鍵信息基礎設施、重要網絡和數據安全為重點,全面加強網絡安全防範管理、監測預警、應急處置、偵查打擊、情報信息等各項工作,及時監測、處置網絡安全風險、威脅和網絡安全突發事件,保護關鍵信息基礎設施、重要網絡和數據免受攻擊、侵入、幹擾和破壞,依法懲治網絡違法犯罪活動,切實提高網絡安全保護能力,積極構建國家網絡安全綜合防控體系,切實維護國家網絡空間主權、國家安全和社會公共利益,保護人民群眾的合法權益,保障和促進經濟社會信息化健康發展。
(二)基本原則
堅持分等級保護、突出重點。根據網絡(包含網絡設施、信息系統、數據資源等)在國家安全、經濟建設、社會生活中的重要程度,以及其遭到破壞後的危害程度等因素,科學確定網絡的安全保護等級,實施分等級保護、分等級監管,重點保障關鍵信息基礎設施和第三級(含第三級、下同)以上網絡的安全。
堅持積極防禦、綜合防護。按照法律法規和有關國家標準規範,充分利用人工智慧、大數據分析等技術,積極落實網絡安全管理和技術防範措施,強化網絡安全監測、態勢感知、通報預警和應急處置等重點工作,綜合採取網絡安全保護、保衛、保障措施,防範和遏制重大網絡安全風險、事件發生,保護雲計算、物聯網、新型網際網路、大數據、智能製造等新技術應用和新業態安全。
堅持依法保護、形成合力。依據《網絡安全法》等法律法規規定,公安機關依法履行網絡安全保衛和監督管理職責,網絡安全行業主管部門(含監管部門,下同)依法履行本行業網絡安全主管、監管責任,強化和落實網絡運營者主體防護責任,充分發揮和調動社會各方力量,協調配合、群策群力,形成網絡安全保護工作合力。
(三)工作目標
網絡安全等級保護制度深入貫徹實施。網絡安全等級保護定級備案、等級測評、安全建設和檢查等基礎工作深入推進。網絡安全保護「實戰化、體系化、常態化」和「動態防禦、主動防禦、縱深防禦、精準防護、整體防控、聯防聯控」的「三化六防」措施得到有效落實,網絡安全保護良好生態基本建立,國家網絡安全綜合防護能力和水平顯著提升。
關鍵信息基礎設施安全保護制度建立實施。關鍵信息基礎設施底數清晰,安全保護機構健全、職責明確、保障有力。在貫徹落實網絡安全等級保護制度的基礎上,關鍵信息基礎設施涉及的關鍵崗位人員管理、供應鏈安全、數據安全、應急處置等重點安全保護措施得到有效落實,關鍵信息基礎設施安全防護能力明顯增強。
網絡安全監測預警和應急處置能力顯著提升。跨行業、跨部門、跨地區的立體化網絡安全監測體系和網絡安全保護平臺基本建成,網絡安全態勢感知、通報預警和事件發現處置能力明顯提高。網絡安全預案科學齊備,應急處置機制完善,應急演練常態化開展,網絡安全重大事件得到有效防範、遏制和處置。
網絡安全綜合防控體系基本形成。網絡安全保護工作機制健全完善,黨委統籌領導、各部門分工負責、社會力量多方參與的網絡安全工作格局進一步完善。網絡安全責任製得到有效落實,網絡安全管理防範、監督指導和偵查打擊等能力顯著提升,「打防管控」一體化的網絡安全綜合防控體系基本形成。
二、深入貫徹實施國家網絡安全等級保護制度
按照國家網絡安全等級保護制度要求,各單位、各部門在公安機關指導監督下,認真組織、深入開展網絡安全等級保護工作,建立良好的網絡安全保護生態,切實履行主體責任,全面提升網絡安全保護能力。
(一)深化網絡定級備案工作。網絡運營者應全面梳理本單位各類網絡,特別是雲計算、物聯網、新型網際網路、大數據、智能製造等新技術應用的基本情況,並根據網絡的功能、服務範圍、服務對象和處理數據等情況,科學確定網絡的安全保護等級,對第二級以上網絡依法向公安機關備案,並向行業主管部門報備。對新建網絡,應在規劃設計階段確定安全保護等級。公安機關對網絡運營者提交的備案材料和網絡的安全保護等級進行審核,對定級結果合理、備案材料符合要求的,及時出具網絡安全等級保護備案證明。行業主管部門可以依據《網絡安全等級保護定級指南》國家標準,結合行業特點制定行業網絡安全等級保護定級指導意見。
(二)定期開展網絡安全等級測評。網絡運營者應依據有關標準規範,對已定級備案網絡的安全性進行檢測評估,查找可能存在的網絡安全問題和隱患。第三級以上網絡運營者應委託符合國家有關規定的等級測評機構,每年開展一次網絡安全等級測評,並及時將等級測評報告提交受理備案的公安機關和行業主管部門。新建第三級以上網絡應在通過等級測評後投入運行。網絡運營者在開展測評服務過程中要與測評機構籤署安全保密協議,並對測評過程進行監督管理。公安機關要加強對本地等級測評機構的監督管理,建立測評人員背景審查和人員審核制度,確保等級測評過程客觀、公正、安全。
(三)科學開展安全建設整改。網絡運營者應在網絡建設和運營過程中,同步規劃、同步建設、同步使用有關網絡安全保護措施。應依據《網絡安全等級保護基本要求》《網絡安全等級保護安全設計技術要求》等國家標準,在現有安全保護措施的基礎上,全面梳理分析安全保護需求,並結合等級測評過程中發現的問題隱患,按照「一個中心(安全管理中心)、三重防護(安全通信網絡、安全區域邊界、安全計算環境)」的要求,認真開展網絡安全建設和整改加固,全面落實安全保護技術措施。網絡運營者可將網絡遷移上雲,或將網絡安全服務外包,充分利用雲服務商和網絡安全服務商提升網絡安全保護能力和水平。應全面加強網絡安全管理,建立完善人員管理、教育培訓、系統安全建設和運維等管理制度,加強機房、設備和介質安全管理,強化重要數據和個人信息保護,制定操作規範和工作流程,加強日常監督和考核,確保各項管理措施有效落實。
(四)強化安全責任落實。行業主管部門、網絡運營者應依據《網絡安全法》等法律法規和有關政策要求,按照「誰主管誰負責、誰運營誰負責」的原則,釐清網絡安全保護邊界,明確安全保護工作責任,建立網絡安全等級保護工作責任制,落實責任追究制度,作到「守土有責、守土盡責」。網絡運營者要定期組織專門力量開展網絡安全自查和檢測評估,行業主管部門要組織風險評估,及時發現網絡安全隱患和薄弱環節並予以整改,不斷提高網絡安全保護能力和水平。
(五)加強供應鏈安全管理。網絡運營者應加強網絡關鍵人員的安全管理,第三級以上網絡運營者應對為其提供設計、建設、運維、技術服務的機構和人員加強管理,評估服務過程中可能存在的安全風險,並採取相應的管控措施。網絡運營者應加強網絡運維管理,因業務需要確需通過網際網路遠程運維的,應進行評估論證,並採取相應的管控措施。網絡運營者應採購、使用符合國家法律法規和有關標準規範要求的網絡產品及服務,第三級以上網絡運營者應積極應用安全可信的網絡產品及服務。
(六)落實密碼安全防護要求。網絡運營者應貫徹落實《密碼法》等有關法律法規規定和密碼應用相關標準規範。第三級以上網絡應正確、有效採用密碼技術進行保護,並使用符合相關要求的密碼產品和服務。第三級以上網絡運營者應在網絡規劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關標準,在網絡安全等級測評中同步開展密碼應用安全性評估。
三、建立並實施關鍵信息基礎設施安全保護制度
公安機關指導監督關鍵信息基礎設施安全保護工作。各單位、各部門應加強關鍵信息基礎設施安全的法律體系、政策體系、標準體系、保護體系、保衛體系和保障體系建設,建立並實施關鍵信息基礎設施安全保護制度,在落實網絡安全等級保護制度基礎上,突出保護重點,強化保護措施,切實維護關鍵信息基礎設施安全。
(一)組織認定關鍵信息基礎設施。根據黨中央和公安部有關規定,公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的主管、監管部門(以下統稱保護工作部門)應制定本行業、本領域關鍵信息基礎設施認定規則並報公安部備案。保護工作部門根據認定規則負責組織認定本行業、本領域關鍵信息基礎設施,及時將認定結果通知相關設施運營者並報公安部。應將符合認定條件的基礎網絡、大型專網、核心業務系統、雲平臺、大數據平臺、物聯網、工業控制系統、智能製造系統、新型網際網路、新興通訊設施等重點保護對象納入關鍵信息基礎設施。關鍵信息基礎設施清單實行動態調整機制,有關網絡設施、信息系統發生較大變化,可能影響其認定結果的,運營者應及時將相關情況報告保護工作部門,保護工作部門應組織重新認定,將認定結果通知運營者,並報公安部。
(二)明確關鍵信息基礎設施安全保護工作職能分工。公安部負責關鍵信息基礎設施安全保護工作的頂層設計和規劃部署,會同相關部門健全完善關鍵信息基礎設施安全保護制度體系。保護工作部門負責對本行業、本領域關鍵信息基礎設施安全保護工作的組織領導,根據國家網絡安全法律法規和有關標準規範要求,制定並實施本行業、本領域關鍵信息基礎設施安全總體規劃和安全防護策略,落實本行業、本領域網絡安全指導監督責任。關鍵信息基礎設施運營者負責設置專門安全管理機構,組織開展關鍵信息基礎設施安全保護工作,主要負責人對本單位關鍵信息基礎設施安全保護負總責。
(三)落實關鍵信息基礎設施重點防護措施。關鍵信息基礎設施運營者應依據網絡安全等級保護標準開展安全建設並進行等級測評,發現問題和風險隱患要及時整改;依據關鍵信息基礎設施安全保護標準,加強安全保護和保障,並進行安全檢測評估。要梳理網絡資產,建立資產檔案,強化核心崗位人員管理、整體防護、監測預警、應急處置、數據保護等重點保護措施,合理分區分域,收斂網際網路暴露面,加強網絡攻擊威脅管控,強化縱深防禦,積極利用新技術開展網絡安全保護,構建以密碼技術、可信計算、人工智慧、大數據分析等為核心的網絡安全保護體系,不斷提升關鍵信息基礎設施內生安全、主動免疫和主動防禦能力。有條件的運營者應組建自己的安全服務機構,承擔關鍵信息基礎設施安全保護任務,也可通過遷移上雲或購買安全服務等方式,提高網絡安全專業化、集約化保障能力。
(四)加強重要數據和個人信息保護。運營者應建立並落實重要數據和個人信息安全保護制度,對關鍵信息基礎設施中的重要網絡和資料庫進行容災備份,採取身份鑑別、訪問控制、密碼保護、安全審計、安全隔離、可信驗證等關鍵技術措施,切實保護重要數據全生命周期安全。運營者在境內運營中收集和產生的個人信息和重要數據應當在境內存儲,因業務需要,確需向境外提供的,應當遵守有關規定並進行安全評估。
(五)強化核心崗位人員和產品服務的安全管理。要對專門安全管理機構的負責人和關鍵崗位人員進行安全背景審查,加強管理。要對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理,採購安全可信的網絡產品和服務,確保供應鏈安全。當採購產品和服務可能影響國家安全的,應按照國家有關規定通過安全審查。公安機關加強對關鍵信息基礎設施安全服務機構的安全管理,為運營者開展安全保護工作提供支持。
四、加強網絡安全保護工作協作配合
行業主管部門、網絡運營者與公安機關要密切協同,大力開展安全監測、通報預警、應急處置、威脅情報等工作,落實常態化措施,提升應對、處置網絡安全突發事件和重大風險防控能力。
(一)加強網絡安全立體化監測體系建設。各單位、各部門要全面加強網絡安全監測,對關鍵信息基礎設施、重要網絡等開展實時監測,發現網絡攻擊和安全威脅,立即報告公安機關和有關部門並採取有效措施處置。要加強網絡新技術研究和應用,研究繪製網絡空間地理信息圖譜(網絡地圖),實現掛圖作戰。行業主管部門、網絡運營要建設本行業、本單位的網絡安全保護業務平臺,建設平臺智慧大腦,依託平臺和大數據開展實時監測、通報預警、應急處置、安全防護、指揮調度等工作,並與公安機關有關安全保衛平臺對接,形成條塊結合、縱橫聯通、協同聯動的綜合防控大格局。重點行業、網絡運營者和公安機關要建設網絡安全監控指揮中心,落實7x24小時值班值守制度,建立常態化、實戰化的網絡安全工作機制。
(二)加強網絡安全信息共享和通報預警。行業主管部門、網絡運營者要依託國家網絡與信息安全信息通報機制,加強本行業、本領域網絡安全信息通報預警力量建設,及時收集、匯總、分析各方網絡安全信息,加強威脅情報工作,組織開展網絡安全威脅分析和態勢研判,及時通報預警和處置。第三級以上網絡運營者和關鍵信息基礎設施運營者要開展網絡安全監測預警和信息通報工作,及時接收、處置來自國家、行業和地方網絡安全預警通報信息,按規定向行業主管部門、備案公安機關報送網絡安全監測預警信息和網絡安全事件。公安機關要加強網絡與信息安全信息通報預警機制建設和力量建設,不斷提高網絡安全通報預警能力。
(三)加強網絡安全應急處置機制建設。行業主管部門、網絡運營者要按照國家有關要求制定網絡安全應急預案,加強網絡安全應急力量建設和應急資源儲備,與公安機關密切配合,建立網絡安全事件報告制度和應急處置機制。關鍵信息基礎設施運營者和第三級以上網絡運營者應定期開展應急演練,有效處置網絡安全事件,並針對應急演練中發現的突出問題和漏洞隱患,及時整改加固,完善保護措施。行業主管部門、網絡運營者應配合公安機關每年組織開展的網絡安全監督檢查、比武演習等工作,不斷提升安全保護能力和對抗能力。
(四)加強網絡安全事件處置和案件偵辦。關鍵信息基礎設施、第三級以上網絡發生重大網絡安全威脅和事件時,行業主管部門、網絡運營者和公安機關應聯合開展處置。電信業務經營者、網絡服務提供者應提供支持及協助。網絡運營者應配合公安機關打擊網絡違法犯罪活動;發現違法犯罪線索、重大網絡安全威脅和事件時,應及時報告公安機關和有關部門並提供必要協助。
(五)加強網絡安全問題隱患整改督辦。公安機關建立掛牌督辦制度,針對網絡運營者網絡安全工作不力、重大安全問題隱患久拖不改,或存在較大網絡安全風險、發生重大網絡安全案事件的,按照規定的權限和程序,會同行業主管部門對相關負責人進行約談,掛牌督辦,並加大監督檢查和行政執法力度,依法依規進行行政處罰。網絡運營者應按照有關要求採取措施,及時進行整改,消除重大風險隱患。發生重大網絡安全案事件的,行業主管部門應組織全行業開展整改整頓。
五、加強網絡安全工作各項保障
(一)加強組織領導。各單位、各部門要高度重視網絡安全等級保護和關鍵信息基礎設施安全保護工作,將其列入重要議事日程,加強統籌領導和規劃設計,認真研究解決網絡安全機構設置、人員配備、經費投入、安全保護措施建設等重大問題。行業主管部門和網絡運營者要明確本單位主要負責人是網絡安全的第一責任人,並確定一名領導班子成員分管網絡安全工作,成立網絡安全專門機構,明確任務分工,一級抓一級,層層抓落實。
(二)加強經費政策保障。各單位、各部門要通過現有經費渠道、保障關鍵信息基礎設施、第三級以上網絡等開展等級測評、風險評估、密碼應用安全性檢測、演練競賽、安全建設整改、安全保護平臺建設、密碼保障系統建設、運行維護、監督檢查、教育培訓等經費投入。關鍵信息基礎設施運營者應保障足額的網絡安全投入,作出網絡安全和信息化有關決策時應有網絡安全管理機構人員參與。有關部門要扶持重點網絡安全技術產業和項目,支持網絡安全技術研究開發和創新應用,推動網絡安全產業健康發展。公安機關要會同相關部門組織實施「一帶一路」網絡安全戰略,支持網絡安全企業「走出去」,與有關國家共享中國網絡安全保護經驗。
(三)加強考核評價。各單位、各部門要進一步健全完善網絡安全考核評價制度,明確考核指標,組織開展考核。公安機關將網絡安全工作納入社會治安綜合治理考核評價體系,每年組織對各地區網絡安全工作進行考核評價,每年評選網絡安全等級保護、關鍵信息基礎設施安全保護工作先進單位,並將結果報告黨委政府,通報網信部門。
(四)加強技術攻關。各單位、各部門要充分調動網絡安全企業、科研機構、專家等社會力量積極參與網絡安全核心技術攻關,加強網絡安全協同協作、互動互補、共治共享和群防群治。公安機關要會同有關部門加強網絡安全等級保護和關鍵信息基礎設施安全保護標準制定工作,出臺標準應用指南,加強標準宣貫和應用實施,建設試點示範基地,促進我國網絡安全產業和企業的健康發展。
(五)加強人才培養。各單位、各部門要加強網絡安全等級保護和關鍵信息基礎設施安全保護業務交流,通過組織開展比武競賽等形式,發現選拔高精尖技術人才,建設人才庫,建立健全人才發現、培養、選拔和使用機制,為做好網絡安全工作提供人才保障。