工信部?！?014〕368號《工業(yè)和信息化部關(guān)于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò )安全工作的指導意見(jiàn)》

工業(yè)和信息化部關(guān)于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò )安全工作的指導意見(jiàn)

工信部?！?014〕368號

各省、自治區、直轄市通信管理局，中國電信集團公司、中國移動(dòng)通信集團公司、中國聯(lián)合網(wǎng)絡(luò )通信集團有限公司，國家計算機網(wǎng)絡(luò )應急技術(shù)處理協(xié)調中心，工業(yè)和信息化部電信研究院、通信行業(yè)職業(yè)技能鑒定指導中心，中國通信企業(yè)協(xié)會(huì )、中國互聯(lián)網(wǎng)協(xié)會(huì )，各互聯(lián)網(wǎng)域名注冊管理機構，有關(guān)單位：

近年來(lái)，各單位認真貫徹落實(shí)黨中央、國務(wù)院決策部署及工業(yè)和信息化部的工作要求，在加強網(wǎng)絡(luò )基礎設施建設、促進(jìn)網(wǎng)絡(luò )經(jīng)濟快速發(fā)展的同時(shí)，不斷強化網(wǎng)絡(luò )安全工作，網(wǎng)絡(luò )安全保障能力明顯提高。但也要看到，當前網(wǎng)絡(luò )安全形勢十分嚴峻復雜，境內外網(wǎng)絡(luò )攻擊活動(dòng)日趨頻繁，網(wǎng)絡(luò )攻擊的手法更加復雜隱蔽，新技術(shù)新業(yè)務(wù)帶來(lái)的網(wǎng)絡(luò )安全問(wèn)題逐漸凸顯。新形勢下電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò )安全工作存在的問(wèn)題突出表現在：重發(fā)展、輕安全思想普遍存在，網(wǎng)絡(luò )安全工作體制機制不健全，網(wǎng)絡(luò )安全技術(shù)能力和手段不足，關(guān)鍵軟硬件安全可控程度低等。為有效應對日益嚴峻復雜的網(wǎng)絡(luò )安全威脅和挑戰，切實(shí)加強和改進(jìn)網(wǎng)絡(luò )安全工作，進(jìn)一步提高電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò )安全保障能力和水平，提出以下意見(jiàn)。

一、總體要求

認真貫徹落實(shí)黨的十八大、十八屆三中全會(huì )以及中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組第一次會(huì )議關(guān)于維護網(wǎng)絡(luò )安全的有關(guān)精神，堅持以安全保發(fā)展、以發(fā)展促安全，堅持安全與發(fā)展工作統一謀劃、統一部署、統一推進(jìn)、統一實(shí)施，堅持法律法規、行政監管、行業(yè)自律、技術(shù)保障、公眾監督、社會(huì )教育相結合，堅持立足行業(yè)、服務(wù)全局，以提升網(wǎng)絡(luò )安全保障能力為主線(xiàn)，以完善網(wǎng)絡(luò )安全保障體系為目標，著(zhù)力提高網(wǎng)絡(luò )基礎設施和業(yè)務(wù)系統安全防護水平，增強網(wǎng)絡(luò )安全技術(shù)能力，強化網(wǎng)絡(luò )數據和用戶(hù)信息保護，推進(jìn)安全可控關(guān)鍵軟硬件應用，為維護國家安全、促進(jìn)經(jīng)濟發(fā)展、保護人民群眾利益和建設網(wǎng)絡(luò )強國發(fā)揮積極作用。

二、工作重點(diǎn)

（一）深化網(wǎng)絡(luò )基礎設施和業(yè)務(wù)系統安全防護。認真落實(shí)《通信網(wǎng)絡(luò )安全防護管理辦法》（工業(yè)和信息化部令第11號）和通信網(wǎng)絡(luò )安全防護系列標準，做好定級備案，嚴格落實(shí)防護措施，定期開(kāi)展符合性評測和風(fēng)險評估，及時(shí)消除安全隱患。加強網(wǎng)絡(luò )和信息資產(chǎn)管理，全面梳理關(guān)鍵設備列表，明確每個(gè)網(wǎng)絡(luò )、系統和關(guān)鍵設備的網(wǎng)絡(luò )安全責任部門(mén)和責任人。合理劃分網(wǎng)絡(luò )和系統的安全域，理清網(wǎng)絡(luò )邊界，加強邊界防護。加強網(wǎng)站安全防護和企業(yè)辦公、維護終端的安全管理。完善域名系統安全防護措施，優(yōu)化系統架構，增強帶寬保障。加強公共遞歸域名解析系統的域名數據應急備份。加強網(wǎng)絡(luò )和系統上線(xiàn)前的風(fēng)險評估。加強軟硬件版本管理和補丁管理，強化漏洞信息的跟蹤、驗證和風(fēng)險研判及通報，及時(shí)采取有效補救措施。

（二）提升突發(fā)網(wǎng)絡(luò )安全事件應急響應能力。認真落實(shí)工業(yè)和信息化部《公共互聯(lián)網(wǎng)網(wǎng)絡(luò )安全應急預案》，制定和完善本單位網(wǎng)絡(luò )安全應急預案。健全大規模拒絕服務(wù)攻擊、重要域名系統故障、大規模用戶(hù)信息泄露等突發(fā)網(wǎng)絡(luò )安全事件的應急協(xié)同配合機制。加強應急預案演練，定期評估和修訂應急預案，確保應急預案的科學(xué)性、實(shí)用性、可操作性。提高突發(fā)網(wǎng)絡(luò )安全事件監測預警能力，加強預警信息發(fā)布和預警處置，對可能造成全局性影響的要及時(shí)報通信主管部門(mén)。嚴格落實(shí)突發(fā)網(wǎng)絡(luò )安全事件報告制度。建設網(wǎng)絡(luò )安全應急指揮調度系統，提高應急響應效率。根據有關(guān)部門(mén)的需求，做好重大活動(dòng)和特殊時(shí)期對其他行業(yè)重要信息系統、政府網(wǎng)站和重點(diǎn)新聞網(wǎng)站等的網(wǎng)絡(luò )安全支援保障。

（三）維護公共互聯(lián)網(wǎng)網(wǎng)絡(luò )安全環(huán)境。認真落實(shí)工業(yè)和信息化部《木馬和僵尸網(wǎng)絡(luò )監測與處置機制》、《移動(dòng)互聯(lián)網(wǎng)惡意程序監測與處置機制》，建立健全釣魚(yú)網(wǎng)站監測與處置機制。在與用戶(hù)簽訂的業(yè)務(wù)服務(wù)合同中明確用戶(hù)維護網(wǎng)絡(luò )安全環(huán)境的責任和義務(wù)。加強木馬病毒樣本庫、移動(dòng)惡意程序樣本庫、漏洞庫、惡意網(wǎng)址庫等建設，促進(jìn)行業(yè)內網(wǎng)絡(luò )安全威脅信息共享。加強對黑客地下產(chǎn)業(yè)利益鏈條的深入分析和源頭治理，積極配合相關(guān)執法部門(mén)打擊網(wǎng)絡(luò )違法犯罪?；A電信企業(yè)在業(yè)務(wù)推廣和用戶(hù)辦理業(yè)務(wù)時(shí)，要加強對用戶(hù)網(wǎng)絡(luò )安全知識和技能的宣傳輔導，積極拓展面向用戶(hù)的網(wǎng)絡(luò )安全增值服務(wù)。

（四）推進(jìn)安全可控關(guān)鍵軟硬件應用。推動(dòng)建立國家網(wǎng)絡(luò )安全審查制度，落實(shí)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò )安全審查工作要求。根據《通信工程建設項目招標投標管理辦法》（工業(yè)和信息化部令第27號）的有關(guān)要求，在關(guān)鍵軟硬件采購招標時(shí)統籌考慮網(wǎng)絡(luò )安全需要，在招標文件中明確對關(guān)鍵軟硬件的網(wǎng)絡(luò )安全要求。加強關(guān)鍵軟硬件采購前的網(wǎng)絡(luò )安全檢測評估，通過(guò)合同明確供應商的網(wǎng)絡(luò )安全責任和義務(wù)，要求供應商簽署網(wǎng)絡(luò )安全承諾書(shū)。加大重要業(yè)務(wù)應用系統的自主研發(fā)力度，開(kāi)展業(yè)務(wù)應用程序源代碼安全檢測。

（五）強化網(wǎng)絡(luò )數據和用戶(hù)個(gè)人信息保護。認真落實(shí)《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護規定》（工業(yè)和信息化部令第24號），嚴格規范用戶(hù)個(gè)人信息的收集、存儲、使用和銷(xiāo)毀等行為，落實(shí)各個(gè)環(huán)節的安全責任，完善相關(guān)管理制度和技術(shù)手段。落實(shí)數據安全和用戶(hù)個(gè)人信息安全防護標準要求，完善網(wǎng)絡(luò )數據和用戶(hù)信息的防竊密、防篡改和數據備份等安全防護措施。強化對內部人員、合作伙伴的授權管理和審計，加大違規行為懲罰力度。發(fā)生大規模用戶(hù)個(gè)人信息泄露事件后要立即向通信主管部門(mén)報告，并及時(shí)采取有效補救措施。

（六）加強移動(dòng)應用商店和應用程序安全管理。加強移動(dòng)應用商店、移動(dòng)應用程序的安全管理，督促應用商店建立健全移動(dòng)應用程序開(kāi)發(fā)者真實(shí)身份信息驗證、應用程序安全檢測、惡意程序下架、惡意程序黑名單、用戶(hù)監督舉報等制度。建立健全移動(dòng)應用程序第三方安全檢測機制。推動(dòng)建立移動(dòng)應用程序開(kāi)發(fā)者第三方數字證書(shū)簽名和應用商店、智能終端的簽名驗證和用戶(hù)提示機制。完善移動(dòng)惡意程序舉報受理和黑名單共享機制。加強社會(huì )宣傳，引導用戶(hù)從正規應用商店下載安裝移動(dòng)應用程序、安裝終端安全防護軟件。

（七）加強新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò )安全管理。加強對云計算、大數據、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò )安全問(wèn)題的跟蹤研究，對涉及提供公共電信和互聯(lián)網(wǎng)服務(wù)的基礎設施和業(yè)務(wù)系統要納入通信網(wǎng)絡(luò )安全防護管理體系，加快推進(jìn)相關(guān)網(wǎng)絡(luò )安全防護標準研制，完善和落實(shí)相應的網(wǎng)絡(luò )安全防護措施。積極開(kāi)展新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò )安全防護技術(shù)的試點(diǎn)示范。加強新業(yè)務(wù)網(wǎng)絡(luò )安全風(fēng)險評估和網(wǎng)絡(luò )安全防護檢查。

（八）強化網(wǎng)絡(luò )安全技術(shù)能力和手段建設。深入開(kāi)展網(wǎng)絡(luò )安全監測預警、漏洞挖掘、惡意代碼分析、檢測評估和溯源取證技術(shù)研究，加強高級可持續攻擊應對技術(shù)研究。建立和完善入侵檢測與防御、防病毒、防拒絕服務(wù)攻擊、異常流量監測、網(wǎng)頁(yè)防篡改、域名安全、漏洞掃描、集中賬號管理、數據加密、安全審計等網(wǎng)絡(luò )安全防護技術(shù)手段。健全基于網(wǎng)絡(luò )側的木馬病毒、移動(dòng)惡意程序等監測與處置手段。積極研究利用云計算、大數據等新技術(shù)提高網(wǎng)絡(luò )安全監測預警能力。促進(jìn)企業(yè)技術(shù)手段與通信主管部門(mén)技術(shù)手段對接，制定接口標準規范，實(shí)現監測數據共享。加強與網(wǎng)絡(luò )安全服務(wù)企業(yè)的合作，防范服務(wù)過(guò)程中的風(fēng)險，在依托安全服務(wù)單位開(kāi)展網(wǎng)絡(luò )安全集成建設和風(fēng)險評估等工作時(shí)，應當選用通過(guò)有關(guān)行業(yè)組織網(wǎng)絡(luò )安全服務(wù)能力評定的單位。

三、保障措施

（一）加強網(wǎng)絡(luò )安全監管。通信主管部門(mén)要切實(shí)履行電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò )安全監管職責，不斷健全網(wǎng)絡(luò )安全監管體系，積極推動(dòng)關(guān)鍵信息基礎設施保護、網(wǎng)絡(luò )數據保護等網(wǎng)絡(luò )安全相關(guān)立法，進(jìn)一步完善網(wǎng)絡(luò )安全防護標準和有關(guān)工作機制；要加大對基礎電信企業(yè)的網(wǎng)絡(luò )安全監督檢查和考核力度，加強對互聯(lián)網(wǎng)域名注冊管理和服務(wù)機構以及增值電信企業(yè)的網(wǎng)絡(luò )安全監管，推動(dòng)建立電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò )安全認證體系。國家計算機網(wǎng)絡(luò )應急技術(shù)處理協(xié)調中心和工業(yè)和信息化部電信研究院等要加大網(wǎng)絡(luò )安全技術(shù)、資金和人員投入，大力提升對通信主管部門(mén)網(wǎng)絡(luò )安全監管的支撐能力。

（二）充分發(fā)揮行業(yè)組織和專(zhuān)業(yè)機構的作用。充分發(fā)揮行業(yè)組織支撐政府、服務(wù)行業(yè)的橋梁紐帶作用，大力開(kāi)展電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò )安全自律工作。支持相關(guān)行業(yè)組織和專(zhuān)業(yè)機構開(kāi)展面向行業(yè)的網(wǎng)絡(luò )安全法規、政策、標準宣貫和知識技能培訓、競賽，促進(jìn)網(wǎng)絡(luò )安全管理和技術(shù)交流；開(kāi)展網(wǎng)絡(luò )安全服務(wù)能力評定，促進(jìn)和規范網(wǎng)絡(luò )安全服務(wù)市場(chǎng)健康發(fā)展；建立健全網(wǎng)絡(luò )安全社會(huì )監督舉報機制，發(fā)動(dòng)全社會(huì )力量參與維護公共互聯(lián)網(wǎng)網(wǎng)絡(luò )安全環(huán)境；開(kāi)展面向社會(huì )公眾的網(wǎng)絡(luò )安全宣傳教育活動(dòng)，提高用戶(hù)的網(wǎng)絡(luò )安全風(fēng)險意識和自我保護能力。

（三）落實(shí)企業(yè)主體責任。相關(guān)企業(yè)要從維護國家安全、促進(jìn)經(jīng)濟社會(huì )發(fā)展、保障用戶(hù)利益的高度，充分認識做好網(wǎng)絡(luò )安全工作的重要性、緊迫性，切實(shí)加強組織領(lǐng)導，落實(shí)安全責任，健全網(wǎng)絡(luò )安全管理體系?；A電信企業(yè)主要領(lǐng)導要對網(wǎng)絡(luò )安全工作負總責，明確一名主管領(lǐng)導具體負責、統一協(xié)調企業(yè)內部網(wǎng)絡(luò )安全各項工作；要加強集團公司、省級公司網(wǎng)絡(luò )安全管理專(zhuān)職部門(mén)建設，加強專(zhuān)職人員配備，強化專(zhuān)職部門(mén)的網(wǎng)絡(luò )安全管理職能，切實(shí)加大企業(yè)內部網(wǎng)絡(luò )安全工作的統籌協(xié)調、監督檢查、責任考核和責任追究力度?；ヂ?lián)網(wǎng)域名注冊管理和服務(wù)機構、增值電信企業(yè)要結合實(shí)際健全內部網(wǎng)絡(luò )安全管理體系，配備網(wǎng)絡(luò )安全管理專(zhuān)職部門(mén)和人員，保證網(wǎng)絡(luò )安全責任落實(shí)到位。

（四）加大資金保障力度?；A電信企業(yè)要制定本企業(yè)網(wǎng)絡(luò )安全專(zhuān)項規劃，在加大網(wǎng)絡(luò )和業(yè)務(wù)發(fā)展投入的同時(shí)，同步加大網(wǎng)絡(luò )安全保障資金投入，并將網(wǎng)絡(luò )安全經(jīng)費納入企業(yè)年度預算?；ヂ?lián)網(wǎng)域名注冊管理和服務(wù)機構、增值電信企業(yè)要結合實(shí)際加大網(wǎng)絡(luò )安全資金投入力度。

（五）加強人才隊伍建設?；A電信企業(yè)要積極開(kāi)展網(wǎng)絡(luò )安全專(zhuān)業(yè)崗位職業(yè)技能鑒定工作，建立健全網(wǎng)絡(luò )安全專(zhuān)業(yè)崗位持證上崗制度；加強網(wǎng)絡(luò )安全培訓，把相關(guān)培訓納入員工培訓計劃；積極組織和參與網(wǎng)絡(luò )安全知識技能競賽，形成培養、選拔、吸引和使用網(wǎng)絡(luò )安全人才的良性機制。

（聯(lián)系電話(huà)：010-66022774）

掃描二維碼 關(guān)注我們

本文鏈接：http://www.jumpstarthappiness.com/law/8738.html

本文關(guān)鍵詞： 工信部?！?014〕368號, 工業(yè)和信息化部, 電信, 互聯(lián)網(wǎng), 網(wǎng)絡(luò )安全, 指導意見(jiàn)