彩88app

彩88app

【字体:      】  打印
榆林市人民政府办公室关于印发榆林市贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的实施意见的通知
来源:榆林市人民政府网站     发布时间:2020-12-29 14:27    浏览次数:次         文号:榆规〔2020〕012-市政办003

各县市区人民政府,市人民政府各工作部门、各直属事业单位:

《榆林市贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的实施意见》已经市政府同意,现印发给你们,请认真贯彻执行。




榆林市人民政府办公室            

2020年10月27日               

(此件公开发布)



榆林市贯彻落实网络安全等级保护制度

和关键信息基础设施安全保护制度的实施意见



为贯彻落实《中华人民共和国网络安全法》《公安部 国家保密局 国家密码管理局 国务院信息化工作办公室关于印发〈信息系统安全等级保护管理办法〉的通知》(公通字〔2007〕43号)、《公安部关于印送〈贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见〉的函》(公网安〔2020〕1960号)要求,严格落实网络安全等级保护相关制度,大力推进重要网络系统运营、使用单位、企业(以下统称为:网络运营者)网络安全等级保护定级备案、等级测评、建设整改等工作,切实保障关键信息基础设施、重要网络和数据安全,消除各类网络安全隐患,为经济社会发展创造和谐稳定的网络环境,结合我市工作实际,特制定本实施意见。

一、指导思想

以习近平总书记关于网络安全工作重要指示精神为指引,按照党中央、国务院和省委、省政府有关决策部署要求,坚持以贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础,以保护关键信息基础设施、重要网络和数据安全为重点,全面加强网络安全设施建设、防范管理、检测预警、应急处置、侦查打击、情报信息等各项工作,为促进我市经济社会信息化安全有序发展提供坚实保障。

二、总体目标

网络安全等级保护定级备案、等级测评、安全建设和执法检查等基础工作全面开展。网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施得到有效落实。关键信息基础设施的数据安全、人员管理、应急处置等重点安全保护措施全面落实。网络安全监测预警、应急处置能力和综合防护能力明显提升,网络环境实现有效治理,基本建成党委领导、政府主导、部门负责、社会参与的“打防管控”一体化网络安全综合防控体系。

三、工作任务

(一)深入贯彻实施国家网络安全等级保护制度

1.全面推进网络定级备案工作。网络运营者要全面梳理本单位各类网络、系统,特别是云计算、物联网、新型互联网、大数据、智能制造等新技术应用的基本情况,依据《信息安全技术信息系统安全等级保护实施指南》《信息安全技术网络安全等级保护定级指南》等国家标准,科学确定网络的安全保护等级。已运行的第二级(含)以上网络运营者要在网络安全等级确定后30日内,向公安机关备案,并向行业主管部门报备;新建第二级(含)以上网络运营者要在网络投入运行后30日内,向公安机关备案,并向行业主管部门报备。市公安局对网络运营者提交的备案材料和网络的安全保护等级进行审核,对定级结果合理、备案材料符合要求的,及时出具网络安全等级保护备案证明。对于已定级的网络系统,由于定级不准、需求变更或撤销的,网络运营者要重新确定安全保护等级;对新建的网络系统,网络运营者要在规划设计阶段确定安全保护等级。

2.定期开展网络安全等级测评。网络运营者要依据《信息安全技术网络安全等级保护基本要求》等国家标准,委托符合国家有关规定的等级测评机构定期对已定级备案网络的安全性进行检测评估,查找可能存在的网络安全问题和隐患,并及时将等级测评报告提交公安机关和行业主管部门。第三级(含)以上网络运营者每年开展一次安全等级测评;第二级网络运营者至少每两年开展一次安全等级测评,鼓励每年开展一次安全等级测评。在开展安全等级测评服务过程中,网络运营者要与等级测评机构签署安全保密协议,并对等级测评全过程进行监督管理。市公安局要按照公安部《网络安全等级保护测评机构管理办法》(公信安〔2018〕765号)要求,加强本地等级测评机构监督管理,建立测评人员背景审查和人员审核制度,确保等级测评过程客观、公正、安全。

3.持续推进网络安全建设整改。网络运营者要组织具备公安部颁发的相关资质的专家对网络安全等级测评情况及测评出的网络安全问题和隐患进行安全评审。网络运营者要在现有安全保护措施的基础上,结合等级测评发现的问题隐患和专家评审意见,对照《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护安全设计技术要求》等有关国家标准,认真开展等级保护安全建设和整改加固工作,全面落实安全保护技术措施。市公安局要不定时开展网络安全执法检查“回头看”,检查网络安全隐患整改情况,确保网络安全隐患漏洞能够及时整改加固、提档升级,切实提高网络安全防护能力。

4.加强供应链安全管理。网络运营者要加强网络关键人员的安全管理,第三级(含)以上网络运营者要对为其提供设计、建设、运维、技术服务的机构和人员加强管理,评估服务过程中可能存在的安全风险,并采取相应的管控措施。网络运营者要加强网络运维管理,因业务需要确需通过互联网远程运维的,要进行评估论证,并采取相应的管控措施。网络运营者要采购、使用符合国家法律法规和有关标准规范要求的网络产品及服务,第三级(含)以上网络运营者应积极应用安全可信的网络产品及服务。

5.落实密码安全防护要求。网络运营者要认真贯彻落实《中华人民共和国密码法》等有关法律法规规定和密码应用相关标准规范。第三级(含)以上网络运营者要正确、有效采用密码技术对网络系统进行保护,使用符合相关要求的密码产品和服务。第三级(含)以上网络运营者要在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。

(二)加强关键信息基础设施安全保护

6.关键信息基础设施的认定及职能分工。各行业主管(监管)部门按照关键信息基础设施识别指南,认定本行业、本领域的关键信息基础设施,并将面向公众提供网络信息服务,支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或一旦发生网络安全事故,会影响行业正常运行,可能严重危害国家安全、国计民生、公共利益的工业控制系统纳入关键信息基础设施保护范围。网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作;公安、国家安全、保密、密码管理等部门单位按照职责分工负责关键信息基础设施安全保护和监督管理工作;行业主管部门负责对本行业、本领域关键信息基础设施安全保护工作的组织领导,落实本行业、本领域网络安全指导监督责任;关键信息基础设施运营者负责设置专门安全管理机构,组织开展关键信息基础设施安全保护工作,主要负责人对本单位关键信息基础设施安全保护负总责。

7.落实关键信息基础设施重点防护措施。关键信息基础设施运营者要依据网络安全等级保护标准,开展安全建设并进行等级测评,发现问题和风险隐患要及时整改;依据关键信息基础设施安全保护标准,加强安全保护和保障,并进行安全检测评估。要梳理网络资产,建立资产档案,强化核心岗位人员管理、整体防护、监测预警、应急处置、数据保护等重点保护措施,合理分区分域,收敛互联网暴露面,加强网络攻击威胁管控,强化纵深防御,积极利用新技术开展网络安全保护,构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全保护体系,不断提升关键信息基础设施内生安全、主动免疫和主动防御能力。有条件的关键信息基础设施运营者要组建自己的安全服务机构,承担关键信息基础设施安全保护任务,也可通过迁移上云或购买安全服务等方式,提高网络安全专业化、集约化保障能力。

8.加强重要数据和个人信息保护。关键信息基础设施运营者要建立并落实重要数据和个人信息安全保护制度,对关键信息基础设施中的重要网络和数据库进行容灾备份,采取身份鉴别、访问控制、密码保护、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据要在境内存储,因业务需要,确需向境外提供的,要遵守有关规定并进行安全评估。

9.强化核心岗位人员和产品服务的安全管理。关键信息基础设施运营者要对本单位专门安全管理机构的负责人和关键岗位人员进行安全背景审查,加强管理。要对关键信息基础设施设计、建设、运行、维护等服务实施安全管理,采购安全可信的网络产品和服务,确保供应链安全。当采购产品和服务可能影响国家安全的,要按照国家有关规定通过安全审查。公安机关要加强对关键信息基础设施安全服务机构的安全管理,为关键信息基础设施运营者开展安全保护工作提供支持。

(三)强化网络安全保护工作协作配合

10.实施网络安全立体化监测体系建设。各部门单位要全面加强网络安全监测,对重要网络、关键信息基础设施等开展实时监测,发现网络攻击和安全威胁,立即报告属地公安机关和有关部门,并采取有效措施处置。市公安局要会同相关部门,完善网络安全保护体系,加快推进适应网络安全新形势的市级网络安全监测平台建设,依托平台和大数据开展实时监测、通报预警、应急处置、安全防护、调度指挥等工作。各行业主管部门、网络运营者、关键信息基础设施运营者要与市公安局对接,主动入驻市级网络安全监测平台,逐步形成条块结合、纵横联通、协同联动的综合防控大格局。

11.加强网络安全信息共享和通报预警。公安机关要充分利用榆林市网络与信息安全通报机制,及时收集、汇总、分析各方网络安全信息,加强威胁情报工作,组织开展网络安全威胁分析和态势研判,及时通报预警和处置。行业主管部门、网络运营者、关键信息基础设施运营者要建立网络安全监测预警机制,发现预警信息和网络安全事件,及时向备案公安机关推送。

12.完善网络安全应急处置机制。网络运营者、关键信息基础设施运营者要与公安机关密切配合,建立网络安全事件报告制度和应急处置机制。第三级(含)以上网络运营者和关键信息基础设施运营者要定期开展应急演练、网络安全监督检查、比武演习等工作,有效处置网络安全事件,并针对检查、演练中发现的突出问题和漏洞隐患,及时整改加固,完善保护措施,不断提升安全保护能力和对抗能力。

13.加强网络安全事件处置和案件侦办。发生重大网络安全威胁和事件时,行业主管部门、网络运营者、关键信息基础设施运营者和公安机关要联合开展处置。电信业务经营者、网络服务提供者要提供必要支持及协助。网络运营者、关键信息基础设施运营者要配合公安机关打击网络违法犯罪活动;发现违法犯罪线索、重大网络安全威胁和事件时,要及时报告属地公安机关和有关部门并提供必要协助。

14.强化网络安全问题隐患整改督办。市公安局建立挂牌督办制度,针对网络运营者、关键信息基础设施运营者安全保护工作不力、重大安全问题隐患久拖不改,或存在较大网络安全风险、发生重大网络安全案(事)件的,按照规定的权限和程序,会同行业主管部门对相关负责人进行约谈、挂牌督办,并加大监督检查和行政执法力度,依法依规进行行政处罚。网络运营者、关键信息基础设施运营者要按照有关要求采取措施,及时进行整改,消除重大风险隐患。发生重大网络安全案(事)件的,行业主管部门要组织全行业开展整改整顿。

15.强化网络安全监督检查。网络运营者、关键信息基础设施运营者要定期对网络安全保护状况、安全保护制度及技术措施的落实进行自查,对发现存在的安全问题要及时整改。公安机关要严格按照《信息安全技术网络安全监督检查工作规范》要求,对行业主管部门、网络运营者、关键信息基础设施运营者及各子系统运营者开展监督检查,重点检查《网络安全法》《密码法》《计算机信息系统安全保护条例》等法律法规落实情况;网络安全领导机构、专门管理部门、人员配备、管理制度、相关保障及网络安全责任制落实情况;网络安全等级保护制度、网络安全监测、网络安全应急预案制定和演练情况;网络安全状况和重大事件报告、等级测评、风险评估、网络安全案(事)件发现重大风险隐患和问题的处置及责任追究情况;重要数据和公民个人信息保护、新技术新应用的安全防护、自主可控和国产化替代以及公安机关通报重大案(事)件处置落实情况;行业网络安全负责人和相关岗位人员教育培训、通报预警机制建设和工作开展情况等。

四、保障措施

(一)加强组织领导。各部门单位、网络运营者、关键信息基础设施运营者要高度重视网络安全等级保护和关键信息基础设施安全保护工作,将其列入重要议事日程,研究解决网络安全机构设置、人员配备、经费投入、安全保护措施建设等重大问题,明确本部门单位主要负责人是网络安全的第一责任人,并确定一名领导班子成员分管网络安全工作,成立网络安全专门机构,明确任务分工,抓好责任落实。

(二)加强经费保障。各级财政部门要做好网络安全保护经费保障工作,保障第二级(含)以上网络、关键信息基础设施等开展等级测评、风险评估、密码应用安全性检测、演练竞赛、安全建设整改、安全保护平台建设、密码保障系统建设、运行维护、监督检查、教育培训等经费投入。

(三)加强宣传引导。市委宣传部、市委网信办、市公安局要积极开展网络安全宣传,重点宣传网络安全法、网络安全等级保护工作的法规政策以及先进工作经验,营造网络安全保护的良好氛围。市公安局要充分发挥网络安全协会在宣传、评审、培训、行业监督及市场调研等方面的服务和支撑作用。

(四)加强考核评价。各级各部门单位要进一步建立健全网络安全考核评价制度,明确考核指标,组织开展考核。市公安局要将网络安全工作纳入社会治安综合治理考核评价体系,每年组织对各县市区、各市直相关单位推进网络安全工作情况进行考核评价,评选网络安全等级保护、关键信息基础设施安全保护工作先进单位,并将结果报告市委、市政府,抄送市委网信办。

(五)加强责任落实。市政研督查办、市公安局要持续加大对各级各部门职责履行和工作落实情况的督导检查力度,建立定期通报和约谈制度,对不积极配合公安机关开展网络安全等级保护工作的部门单位、企业和个人,市政府将在全市通报批评;对未按照要求开展网络安全等级保护测评和整改,发生重大网络安全案(事)件的,将依纪依法追究部门单位、企业及相关领导和直接责任人的责任。

本实施意见自2020年11月27日起施行,有效期从2020年11月27日起至2025年11月26日止。