全国网信系统网络安全协调指挥技术系统建设指南.pdf

全国网信系统网络安全协调指挥技术系统建设指南--第1页

全国网信系统网络安全协调指挥技术系统建设指南

第一节一般规定

第二十一条国家实行网络安全等级保护制度。网络运营者应当按照

网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干

扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落

实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行

为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并

按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第二十二条网络产品、服务应当符合相关国家标准的强制性要求。

网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在

安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用

户并向有关主管部门报告。

网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在

全国网信系统网络安全协调指挥技术系统建设指南--第1页

全国网信系统网络安全协调指挥技术系统建设指南--第2页

规定或者当事人约定的期限内，不得终止提供安全维护。

网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示

并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法

规关于个人信息保护的规定。

第二十三条网络关键设备和网络安全专用产品应当按照相关国家标

准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求

后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网

络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互

认，避免重复认证、检测。

第二十四条网络运营者为用户办理网络接入、域名注册服务，办理

固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等

服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身

份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认

证技术，推动不同电子身份认证之间的互认。

第二十五条网络运营者应当制定网络安全事件应急预案，及时处置

系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网

络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定

向有关主管部门报告。

全国网信系统网络安全协调指挥技术系统建设指南--第2页

全国网信系统网络安全协调指挥技术系统建设指南--第3页

第二十六条开展网络安全认证、检测、风险评估等活动，向社会发

布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵

守国家有关规定。

第二十七条任何个人和组织不得从事非法侵入他人网络、干扰他人

网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于

从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络

安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其

提供技术支持、广告推广、支付结算等帮助。

第二十八条网络运营者应当为公安机关、国家安全机关依法维护国

家安全和侦查犯罪的活动提供技术支持和协助。

第二十九条国家支持网络运营者之间在网络安全信息收集、分析、

通报和应急处置等方面进行合作，提高网络运营者的安全保障能力。

有关行业组织建立健全本行业的网络安全保护规范和协作机制，加强

对网络安全风险的分析评估，定期向会员进行风险警示，支持、协助会员

应对网络