关于印发《江苏省通信行业信息安全责任管理办法实施细则(试行)》

PAGE\*MERGEFORMAT#关于印发《江苏省通信行业信息安全责任管理办法实施细则（试行）》的通知中国电信股份有限公司江苏分公司、中国移动通信集团江苏有限公司、中国联合网络通信有限公司江苏省分公司、中国铁通集团有限公司江苏分公司，省内各增值电信业务经营单位：根据《工业和信息化部关于印发＜基础电信企业信息安全责任管理办法（试行）＞的通知》（工信部保[2009]713号）要求，为进一步明确落实江苏省各基础电信企业、增值电信企业信息安全责任，指导企业建立健全信息安全管理体系，促进通信行业健康发展，维护国家网络信息安全和社会公共利益，特制定《江苏省通信行业信息安全责任管理办法实施细则（试行）》，现印发你们，请认真遵照执行。我局将对各企业落实信息安全责任情况进行监督、检查和年度考核，考核结果在全行业通报，并报上级管理部门。二O—O年三月四日江苏省通信行业信息安全责任管理办法实施细则（试行）第一章总则第一条（目的意义）根据《工业和信息化部关于印发<基础电信企业信息安全责任管理办法（试行）>的通知》（工信部保[2009]713号）要求，为进一步明确落实江苏省各基础电信企业、增值电信企业信息安全责任，指导企业建立健全信息安全管理体系，促进通信行业健康发展，维护国家网络信息安全和社会公共利益，制定本实施细则。第二条（适用范围）本细则适用于江苏省内各基础电信企业、在江苏省内取得增值电信业务经营许可从事网络传输、接入服务和信息服务的企业（以下统称企业）。第三条（信息安全）本办法所称信息安全指电信网络（包括固定网、移动网和互联网）上的公共信息内容安全。第四条（企业信息安全责任）企业有义务维护国家安全、社会稳定和用户合法权益；应在网络建设、业务提供、应急处置、信息报备、人员培训等方面建立健全企业信息安全责任制度，同步建设与企业网络、业务和用户发展相适应的信息安全保障体系和技术保障手段；保障必要的人员和资金投入。第五条（监管机构）江苏省通信管理局负责对江苏省内各基础电信企业、增值电信企业落实信息安全责任情况进行指导、监督、检查和考核。第二章企业信息安全责任第六条（安全责任人）企业法定代表人为本单位信息安全第一责任人，对本企业信息安全工作负领导责任；企业分管信息安全工作的负责人为本单位信息安全责任人，对本企业信息安全工作负直接领导责任。第七条（企业机构和人员设置）基础电信企业要健全内部信息安全管理体系，省公司要设立专门信息安全管理部门，市级公司应建立信息安全管理团队，负责本企业信息安全相关工作，各级企业要明确信息安全管理负责人和专职联系人。增值电信企业要成立专门信息安全管理部门，明确信息安全管理负责人和专职联系人。第八条（信息安全管理部门职责）制定本企业信息安全工作总体目标、总体方针和总体安全策略，建立健全企业信息安全责任制度，制定本企业信息安全相关规章、要求和预案，明确信息安全职责及相应的工作内容和要求。具体包括：（一）出现信息安全事件时，及时组织处置，并迅速向电信监管机构报告；（二）督促企业内部履行信息安全监督管理职责，指导下级公司开展信息安全相关工作；（三）进行信息安全评估和信息安全检查，协调信息安全事件的调查处理；对企业内部信息安全管理工作进行监督、考核；（四）企业信息安全技术研究、应用；对本企业新产品立项、产品开发和业务上线（包括合作开办）的各环节实施信息安全评估，同步配套建设信息安全保障措施和技术手段；（五）企业各类信息安全事件响应、监控、处置等工作；（六）信息安全相关教育、培训工作（七）有关应急预案的定期培训、演练等。第九条（安全制度）企业应当完善信息安全，明确信息安全工作的目标、范围、方针、策略、原则、责任、实施、应急预案等，具体包括：（一）信息安全事件应急处置制度；（二）信息安全事件报告制度；（三）信息安全考核和奖惩制度；（四）业务研发、经营、合作的信息安全评估保障制度；（五）信息安全工作（人员、资金）保障制度；（六）信息安全技术保障制度；（七）信息安全教育、培训、演练制度；（八）保障企业落实信息安全管理责任的其他制度。（网络建设信息安全三同步制度；用户日志留存制度；重点业务信息安全管理办法等。）第十条（资金投入）企业用于日常信息安全管理、技术保障措施建设、人员教育和培训等的配套资金投入应当与本企业规模、网络覆盖、业务范围及用户数量相适应，保证信息安全相关管理和技术保障手段建设的顺利开展。第十一条（网络建设）企业在电信网络的设计、建设和运行过程中，应做到与国家信息安全的需求同步规划，同步建设，同步运行。企业在系统规划、建设、升级、改造等环节应认真落实国家信息安全要求，同步配套相关信息安全设备和设施。企业在网络设备选型、采购和使用时，应遵守电信设备进网要求，满足信息安全管理需要。第十二条（开办业务）企业应履行信息安全承诺，按照电信业务经营许可的信息安全要求开展和经营相关电信业务。企业要在新产品立项、产品开发和业务上线（包括合作开办）的各环节建立实施信息安全评估制度，并同步配套与该业务特点和用户规模相适应的信息安全保障措施。第十三条（日常监测）对本企业通信网络中发现的违法信息，企业应立即停止传输，保存相关记录，并向国家有关机关报告。对有关部门依法通知停止传输的违法信息，企业应配合执行。第十四条（用户信息保护）电信用户依法使用电信的自由和通信秘密受法律保护。企业及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容，法律另有规定的除外。对于本企业业务网络/系统中保存的有关用户资料和信息，企业应依法予以保护，不得非法出售或者提供给其他组织和个人、不得用于与企业业务无关的用途。积极开展手机用户信息实名登记，采取各种优惠措施，鼓励用户提供有效身份证件等信息进行实名登记和补登记。第十五条（接入责任）基础电信企业不得向未取得电信业务经营许可证的单位或个人提供用于经营性电信业务的电信资源、网络接入和业务接入。提供网站接入服务的增值电信企业应当租用获得相应经营许可证的基础电信业务经营者提供的网络接入等电信资源从事业务经营活动，不得向其他从事网站接入服务的增值电信业务经营者转租所获得的网络接入等电信资源。企业不得向未备案非经营性互联网站提供网络接入。网站报备备案率、备案信息准确率符合规定要求，对部、省电信监管机构通报的未备案网站，及时予以处理。企业应监督接入用户按照约定的用途使用电信资源或开展业务，发现擅自改变使用用途的，及时通知整改，或者按照约定进行处理，涉及违法犯罪的，及时向有关部门报告。企业应定期检查接入内容，发现信息安全问和隐患及时做出相应处理。其中，每月检查接入网站（包括专线用户的接入网站）数量至少达到接入网站总量的10%，并建立相关抽查、巡检和处理结果记录。第十六条（规范合作经营）企业在开展业务合作前，要对合作方的经营资质、业务许可等信息进行审核，并在合同中明确各方的信息安全责任。企业应当对合作提供的各类业务进行规范和监督，建立违法信息发现、监测和处置制度。对合作中出现的信息安全问题和隐患，企业应督促合作单位及时整改，或者按照合同约定进行处理，对违反法律的，报送相关部门查处。加强对信息服务（SP）企业业务内容和栏目设置的监督管理，建立信息内容日常核查、拨测制度，做好拨测和内容核查记录。第十七条（技术保障措施）企业应当建立并完善事前防范、事中阻断、事后追溯的信息安全技术保障体系。建立必要的技术手段，加强对重要电信资源（如网络带宽、IP地址等）的管理。企业应当认真落实接入责任，建立信息安全管理和公共信息服务内容日常核查手段。基础电信企业要建立未备案网站发现的技术手段；建立手机网站拨测系统，定期对网站内容和业务推广渠道等进行拨测；建设WAP网关违法信息发现和过滤系统；完善用户移动上网日志留存。提供网站接入服务的增值电信企业要建立包含未备案网站发现、有害信息监测、本企业网站备案信息数据库和IP地址备案信息数据库等功能在内的技术管理平台。第十八条（应急演练）企业应当制定信息安全预案并定期组织演练，保障有关人员熟悉信息安全相关法规和企业制度的要求，具备必要的信息安全管理技能。第十九条（教育培训）企业从事信息安全管理的相关人员要参加省委宣传部、省通信管理局、省公安厅联合组织的网络信息安全员培训和考核，考核不合格者不得从事信息安全岗位，考核结果纳入企业许可证年检环节；企业要按照省通信管理局的要求和指导，加强对内部工作人员的信息安全教育。第二十条（配合监管）企业应当认真配合省通信管理局开展信息安全监督管理工作，保证相关工作顺利实施。企业应当依法记录并妥善保存用户使用电信网络的有关信息，相关信息应当至少保存60日。对存在的信息安全问题和隐患，企业应当严格按照省通信管理局的处理进行整改。因涉及国家安全或处置紧急事件的需要，省通信管理局根据国家的有关规定和要求组织实施通信管制，企业应当配合执行。第二十一条（信息上报）企业应当遵照有关信息安全要求和规定，执行信息安全信息上报、备案制度，接受并配合省通信管理局的监督检查。企业应当按照有关规定和要求，对可能引发信息安全隐患的网络调整、扩容、电信基础资源使用变更等情况，应当及时向省通信管理局进行申请或报告。如DNS服务器、短信网关、互联网省际、城域网出口节点的新建、调整、分光或镜像等。企业新产品、新业务上线前应向省通信管理局报备相关业务信息和信息安全承诺书。企业开展新业务可能引发信息安全隐患的，应当在开展新业务后的30日内，将业务运行情况和信息安全保障情况向省通信管理局报告。企业应当根据有关信息安全事件级别及相应的报告要求，在发生信息安全事件时，及时、准确、完整地向省通信管理局报告。企业信息安全责任人或联系人信息变更的，应当在变更5日内，将有关变更信息书面报省通信管理局备案。企业应当将每年落实信息安全责任的有关情况形成书面报告报省通信管理局。第三章监督管理第二十二条（通报整改制度）省通信管理局对企业落实信息安全责任情况建立日常监测机制，实行通报整改制度。对存在信息安全隐患或者发生信息安全事故的企业，省通信管理局向企业提出书面整改意见，责成企业限期整改，并视情况在一定范围内予以通报。省通信管理局定期或不定期对企业落实信息安全责任的情况进行专项监督检查。对在新产品立项、产品开发和业务上线（包括合作开办）各环节未同步开展信息安全评估、未同步配套与该业务相适应的信息安全保障措施、未按规定要求向省通信管理局进行业务信息报备，而造成特（重）大信息安全事件（或被有关部门通报并经省通信管理局组织专家研究认定该业务存在严重信息安全隐患）的，由省通信管理局责令相关企业限期整改，未经整改合格的，不得开展该业务。第二十三条（信息安全事件等级）企业发生的信息安全事件按照其影响程度等因素分为以下三类：（一）特大信息安全事件，指涉及国家安全和社会稳定，造成恶劣影响和严重后果，或被中央有关部门通报，社会反响强烈的信息安全事件；（二）重大信息安全事件，指涉及国家安全和社会稳定、造成较大社会影响和较严重后果，或被省级有关部门通报的信息安全事件；（三）一般信息安全事件，指造成一定社会影响的信息安全事件。第二十四条（事件上报）企业发生特大信息安全事件的，当事企业应当向工业和信息化部报告事件情况，同时向省通信管理局报告；企业发生重大或一般信息安全事件的，当事企业应当向省通信管理局报告，由省通信管理局视情况转报工业和信息化部。信息安全事件报告分口头报告、简要书面报告和专题书面报告：（一）发生特大信息安全事件的，企业应于2小时内作出口头报告，24小时内作出简要书面报告，相关事件处理结束后5日内作出专题书面报告；（二）发生重大信息安全事件的，企业应于4小时内作出口头报告，24小时内作出简要书面报告，相关事件处理结束后5日内作出专题书面报告；（三）发生一般信息安全事件的，企业应于48小时内作出简要书面报告，相关事件处理结束后5日内作出专题书面报告。第二十五条（责任追究）对因自身管理原因造成信息安全事件，由省通信管理局追究相关企业责任。（一）企业在一年内，发生l次特大信息安全事件的，或累计发生3次（及3次以上）重大信息安全事件的，由省通信管理局予以通报批评，对相关责任人提出处理意见或建议，通报相关管理部门，并视情况向社会通告。（二）企业在一年内，发生1次重大信息安全事件的，或累计发生5次（及5次以上）一般信息安全事件的，由省通信管理局予以通报批评，对相关责任人提出处理意见或建议，并通报相关管理部门。（三）企业在一年内，发生5次（含）以下一般信息安全事件的，由省通信管理局在电信行业内进行通报。（四）企业存在信息安全问题或隐患，未按要求在规定期限内进行相应整改的，由省通信管理局予以通报批评，对相关责任人提出处理意见或建议，并视情况通报相关管理部门。企业发生信息安全事件、违反国家法律法规的，省通信管理局依法予以行政处罚。构成犯罪的，移送司法机关依法追究刑事责任。（五）企业在一年内发生的各类信息安全事件记录，纳入企业许可证年检环节。第二十六条（监督考核）省通信管理局对企业落实信息安全责任情况进行监督、检查和考核。省通信管理局对基础电信企业省级公司开展年度考核，考核内容见《江苏省基础电信企业信息安全责任考核评分表（试行）》（附件一）。各基础电信企业省级公司应结合省通信管理局要求，制定市级分公司信息安全责任考核办法，并进行年度评分考核，考核结果于次年1月15日前上报省通信管理局。省通信管理局对重点业务增值电信企业（IDC、ISP）开展年度考核，考核内容见《江苏省重点业务增值电信企业信息安全责任考核评分表（试行）》（附件二）。企业信息安全考核结果由省通信管理局在全行业通报，并上报上级管理部门、纳入企业许可证年检环节。附件一：《江苏省基础电信企业信息安全责任考核评分表（试行）》附件二：《江苏省重点业务增值电信企业信息安全责任考核评分表（试行）》