為了規(guī)范網絡安全事件的報告���,減少網絡安全事件造成的損失和危害�,維護國家網絡安全�����,依據《中華人民共和國網絡安全法》等法律法規(guī)����,國家互聯網信息辦公室起草了《網絡安全事件報告管理辦法(征求意見稿)》����,并向社會公開征求意見�。
《意見稿》指出��,在中國境內建設���、運營網絡或者通過網絡提供服務的網絡運營者在發(fā)生危害網絡安全的事件時����,按照《網絡安全事件分級指南》���,屬于較大�����、重大或特別重大網絡安全事件的�����,應當于1小時內進行報告�。
其中�,網絡和系統為關鍵信息基礎設施的,運營者應當向保護工作部門��、公安機關報告。屬于重大�����、特別重大網絡安全事件的���,保護工作部門在收到報告后�����,應當于1小時內向國家網信部門����、國務院公安部門報告��。
因運營者遲報���、漏報��、謊報或者瞞報網絡安全事件����,造成重大危害后果的�����,對運營者及有關責任人依法從重處罰����。
網絡安全事件報告管理辦法
(征求意見稿)
第一條 為了規(guī)范網絡安全事件的報告,減少網絡安全事件造成的損失和危害����,維護國家網絡安全,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規(guī)�����,制定本辦法�。
第二條 在中華人民共和國境內建設、運營網絡或者通過網絡提供服務的網絡運營者在發(fā)生危害網絡安全的事件時���,應當按照本辦法規(guī)定進行報告�。
第三條 國家網信部門負責統籌協調國家網絡安全事件報告工作和相關監(jiān)督管理工作��。地方網信部門負責統籌協調本行政區(qū)域內網絡安全事件報告工作和相關監(jiān)督管理工作�。
第四條 運營者在發(fā)生網絡安全事件時,應當及時啟動應急預案進行處置����。按照《網絡安全事件分級指南》��,屬于較大���、重大或特別重大網絡安全事件的,應當于1小時內進行報告��。
網絡和系統歸屬中央和國家機關各部門及其管理的企事業(yè)單位的�,運營者應當向本部門網信工作機構報告。屬于重大��、特別重大網絡安全事件的���,各部門網信工作機構在收到報告后應當于1小時內向國家網信部門報告���。
網絡和系統為關鍵信息基礎設施的,運營者應當向保護工作部門�、公安機關報告。屬于重大���、特別重大網絡安全事件的�,保護工作部門在收到報告后��,應當于1小時內向國家網信部門����、國務院公安部門報告。
其他網絡和系統運營者應當向屬地網信部門報告����。屬于重大、特別重大網絡安全事件的�����,屬地網信部門在收到報告后�����,應當于1小時內逐級向上級網信部門報告����。
有行業(yè)主管監(jiān)管部門的,運營者還應當按照行業(yè)主管監(jiān)管部門要求報告�。
發(fā)現涉嫌犯罪的,運營者應當同時向公安機關報告�����。
第五條 運營者應當按照《網絡安全事件信息報告表》報告事件,至少包括下列內容:
?。ㄒ唬┦掳l(fā)單位名稱及發(fā)生事件的設施、系統���、平臺的基本情況�;
?��。ǘ┦录l(fā)現或發(fā)生時間��、地點��、事件類型���、已造成的影響和危害,已采取的措施及效果����。對勒索軟件攻擊事件,還應當包括要求支付贖金的金額���、方式�、日期等;
?��。ㄈ┦聭B(tài)發(fā)展趨勢及可能進一步造成的影響和危害�����;
(四)初步分析的事件原因���;
?�。ㄎ澹┻M一步調查分析所需的線索�,包括可能的攻擊者信息��、攻擊路徑�、存在的漏洞等;
?����。M進一步采取的應對措施以及請求支援事項���;
?����。ㄆ撸┦录F場的保護情況��;
?��。ò耍┢渌麘攬蟾娴那闆r�。
第六條 對于1小時內不能判定事發(fā)原因�����、影響或趨勢等的�,可先報告第五條第一項、第二項內容����,其他情況于24小時內補報。
事件報告后出現新的重要情況或調查取得階段性進展���,相關單位應當及時報告�����。
第七條 事件處置結束后��,運營者應當于5個工作日內對事件原因��、應急處置措施��、危害�����、責任處理��、整改情況�、教訓等進行全面分析總結����,形成報告按照原渠道上報。
第八條 為運營者提供服務的組織或個人發(fā)現運營者發(fā)生較大���、重大或特別重大網絡安全事件時�����,應當提醒運營者按照本辦法規(guī)定報告事件�,運營者有意隱瞞或拒不報告的���,可向屬地網信部門或國家網信部門報告���。
第九條 鼓勵社會組織和個人向網信部門報告較大��、重大或特別重大網絡安全事件����。
第十條 運營者未按照本辦法規(guī)定報告網絡安全事件的�����,網信部門按照有關法律�����、行政法規(guī)的規(guī)定進行處罰��。
因運營者遲報�、漏報、謊報或者瞞報網絡安全事件��,造成重大危害后果的�,對運營者及有關責任人依法從重處罰。
有關部門未按照本辦法規(guī)定報告網絡安全事件的����,由其上級機關責令改正��,對直接負責的主管人員和其他直接責任人員依法給予處分���。涉嫌犯罪的,依法追究刑事責任��。
第十一條 發(fā)生網絡安全事件時�,運營者已采取合理必要的防護措施,按照本辦法規(guī)定主動報告�����,同時按照預案有關程序進行處置���、盡最大努力降低事件影響,可視情免除或從輕追究運營者及有關責任人的責任��。
第十二條 本辦法所指網絡安全事件是指由于人為原因�����、軟硬件缺陷或故障����、自然災害等���,對網絡和信息系統或其中的數據造成危害,對社會造成負面影響的事件���。
第十三條 涉及國家秘密的網絡安全事件報告�����,按照有關部門規(guī)定執(zhí)行��。
第十四條 本辦法自 年 月 日起施行���。
轉自:C114通信網
【版權及免責聲明】凡本網所屬版權作品,轉載時須獲得授權并注明來源“中國產業(yè)經濟信息網”�,違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業(yè)宣傳資訊��,僅代表作者個人觀點�,不代表本網觀點和立場。版權事宜請聯系:010-65363056��。
延伸閱讀
