互聯(lián)網(wǎng)新業(yè)務(wù)安全評價管理辦法

1、互聯(lián)網(wǎng)新業(yè)務(wù)安全評估管理辦法（征求意見稿）第一條【立法目的】為了規(guī)范電信業(yè)務(wù)經(jīng)營者的互聯(lián)網(wǎng)新業(yè)務(wù)安全評估活動，維護網(wǎng)絡(luò)信息安全，促進互聯(lián)網(wǎng)行業(yè)健康發(fā)展，根據(jù)全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定中華人民共和國電信條例互聯(lián)網(wǎng)信息服務(wù)管理辦法等法律、行政法規(guī)，制定本辦法。第二條【適用范圍】中華人民共和國境內(nèi)的電信業(yè)務(wù)經(jīng)營者開展互聯(lián)網(wǎng)新業(yè)務(wù)安全評估活動，適用本辦法。第三條【定義】本辦法所稱互聯(lián)網(wǎng)新業(yè)務(wù)，是指電信業(yè)務(wù)經(jīng)營者通過互聯(lián)網(wǎng)新開展其已取得經(jīng)營許可的電信業(yè)務(wù)，或者通過互聯(lián)網(wǎng)運用新技術(shù)試辦未列入電信業(yè)務(wù)分類目錄的新型電信業(yè)務(wù)。本辦法所稱安全評估，是指電信業(yè)務(wù)經(jīng)營者對其互聯(lián)網(wǎng)新業(yè)務(wù)可能

2、引發(fā)的網(wǎng)絡(luò)信息安全風(fēng)險進行評估并采取必要的安全措施的活動。第四條【工作原則】電信業(yè)務(wù)經(jīng)營者開展互聯(lián)網(wǎng)新業(yè)務(wù)安全評估，應(yīng)當(dāng)遵循及時、真實、有效的原則。第五條【管理職責(zé)】工業(yè)和信息化部負責(zé)對全國范圍內(nèi)的互聯(lián)網(wǎng)新業(yè)務(wù)安全評估工作實施監(jiān)督管理。各省、自治區(qū)、直轄市通信管理局負責(zé)對本行政區(qū)域內(nèi)的互聯(lián)網(wǎng)新業(yè)務(wù)安全評估工作實施監(jiān)督管理。工業(yè)和信息化部和各省、自治區(qū)、直轄市通信管理局統(tǒng)稱“電信管理機構(gòu)”。第六條【豉勵創(chuàng)新】國家豉勵電信業(yè)務(wù)經(jīng)營者進行互聯(lián)網(wǎng)技術(shù)和業(yè)務(wù)創(chuàng)新，依法開展互聯(lián)網(wǎng)新業(yè)務(wù)，提升互聯(lián)網(wǎng)行業(yè)發(fā)展水平。第七條【行業(yè)自律】國家豉勵互聯(lián)網(wǎng)行業(yè)組織建立健全互聯(lián)網(wǎng)新業(yè)務(wù)安全評估自律性管理制度，指導(dǎo)電信業(yè)務(wù)

3、經(jīng)營者依法開展安全評估，提高安全評估的能力和水平。第八條【評估標(biāo)準(zhǔn)】工業(yè)和信息化部依法制定互聯(lián)網(wǎng)新業(yè)務(wù)安全評估標(biāo)準(zhǔn)。第九條【評估要求】電信業(yè)務(wù)經(jīng)營者應(yīng)當(dāng)按照電信管理機構(gòu)有關(guān)規(guī)定和互聯(lián)網(wǎng)新業(yè)務(wù)安全評估標(biāo)準(zhǔn)，從用戶個人信息保護、網(wǎng)絡(luò)安全防護、網(wǎng)絡(luò)信息安全、建立健全相關(guān)管理制度等方面，開展互聯(lián)網(wǎng)新業(yè)務(wù)安全評估。第十條【評估啟動】有下列情形之一的，電信業(yè)務(wù)經(jīng)營者應(yīng)當(dāng)對所開展的互聯(lián)網(wǎng)新業(yè)務(wù)進行安全評估，形成書面評估報告：（一）擬將互聯(lián)網(wǎng)新業(yè)務(wù)面向社會公眾上線的（含合作推廣、試點、商用試驗）（二）電信管理機構(gòu)書面要求電信業(yè)務(wù)經(jīng)營者進行安全評估的。按照前款第一項規(guī)定進行安全評估的，應(yīng)當(dāng)在互聯(lián)網(wǎng)新業(yè)務(wù)面向社會

4、公眾上線前完成評估。第十一條【評估方式】電信業(yè)務(wù)經(jīng)營者進行互聯(lián)網(wǎng)新業(yè)務(wù)安全評估，可以采取自行評估的方式，也可以委托專業(yè)機構(gòu)實施評估。第十二條【風(fēng)險控制】電信業(yè)務(wù)經(jīng)營者進行互聯(lián)網(wǎng)新業(yè)務(wù)安全評估，發(fā)現(xiàn)存在重大網(wǎng)絡(luò)信息安全風(fēng)險的，應(yīng)當(dāng)及時改正。第十三條【評估報告】電信業(yè)務(wù)經(jīng)營者應(yīng)當(dāng)在互聯(lián)網(wǎng)新業(yè)務(wù)面向社會公眾上線后45日內(nèi)，向準(zhǔn)予其電信業(yè)務(wù)經(jīng)營許可或者試辦新型電信業(yè)務(wù)備案的電信管理機構(gòu)告知評估情況。第十四條【報告材料】電信業(yè)務(wù)經(jīng)營者按照本辦法第十三條的規(guī)定向電信管理機構(gòu)告知評估情況的，應(yīng)當(dāng)提供以下材料：（一）書面評估報告，包括業(yè)務(wù)情況、技術(shù)實現(xiàn)方式、安全評估內(nèi)容和結(jié)論、安全管理措施等；（二）公司名稱、

5、法定代表人、安全責(zé)任人、應(yīng)急聯(lián)系人及其聯(lián)系方式；（三）電信管理機構(gòu)依法要求提交的其他材料。新業(yè)務(wù)安全評估材料不齊全的，電信管理機構(gòu)應(yīng)當(dāng)指導(dǎo)電信業(yè)務(wù)經(jīng)營者補正。電信管理機構(gòu)發(fā)現(xiàn)評估報告不符合有關(guān)規(guī)定、標(biāo)準(zhǔn)的，應(yīng)當(dāng)要求電信業(yè)經(jīng)營者限期改正或者重新評估，并在30日內(nèi)提交評估材料。第十六條【應(yīng)急保障】電信業(yè)務(wù)經(jīng)營者開展互聯(lián)網(wǎng)新業(yè)務(wù)的，應(yīng)當(dāng)按照電信管理機構(gòu)的要求，建立互聯(lián)網(wǎng)新業(yè)務(wù)重大網(wǎng)絡(luò)信息安全事件應(yīng)急處置機制，制定網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案并定期組織演練。第十七條【內(nèi)部制度】電信業(yè)務(wù)經(jīng)營者開展互聯(lián)網(wǎng)新業(yè)務(wù)的，應(yīng)當(dāng)建立并實施企業(yè)內(nèi)部互聯(lián)網(wǎng)新業(yè)務(wù)安全評估管理制度和保障制度。第十八條【員工培訓(xùn)】電信業(yè)務(wù)經(jīng)營者開展

6、互聯(lián)網(wǎng)新業(yè)務(wù)的，應(yīng)當(dāng)對有關(guān)工作人員開展互聯(lián)網(wǎng)新業(yè)務(wù)安全評估相關(guān)政策、法規(guī)、標(biāo)準(zhǔn)、技能的培訓(xùn)和考核。第十九條【監(jiān)督檢查】電信管理機構(gòu)應(yīng)當(dāng)對電信業(yè)務(wù)經(jīng)營者建立互聯(lián)網(wǎng)新業(yè)務(wù)安全評估管理制度、開展安全評估、防范網(wǎng)絡(luò)信息安全風(fēng)險等情況實施監(jiān)督檢查。電信管理機構(gòu)實施監(jiān)督檢查，可以要求電信業(yè)務(wù)經(jīng)營者提供相關(guān)資料，對其相關(guān)工作人員進行詢問，進入其經(jīng)營場所檢查、調(diào)查、取證。電信業(yè)務(wù)經(jīng)營者應(yīng)當(dāng)予以配合、協(xié)助第二十條【監(jiān)測】電信管理機構(gòu)應(yīng)當(dāng)組織對互聯(lián)網(wǎng)新業(yè)務(wù)進行監(jiān)測。在監(jiān)測中發(fā)現(xiàn)互聯(lián)網(wǎng)新業(yè)務(wù)存在重大網(wǎng)絡(luò)信息安全風(fēng)險的，應(yīng)當(dāng)要求電信業(yè)務(wù)經(jīng)營者限期改正。電信業(yè)務(wù)經(jīng)營者應(yīng)當(dāng)進行改正。第二十一條【約談改正】電信業(yè)務(wù)經(jīng)營者有

7、下列情形之一的，電信管理機構(gòu)可以約談其主要負責(zé)人：（一）未按照本辦法的規(guī)定及時開展互聯(lián)網(wǎng)新業(yè)務(wù)安全評估的；（二）未按照本辦法的規(guī)定向電信管理機構(gòu)告知評估情況，情節(jié)嚴重的；（三）企業(yè)內(nèi)部安全評估管理制度和保障制度不健全或者未實施，情節(jié)嚴重的；（四）違反國家有關(guān)規(guī)定，電信管理機構(gòu)認為可能影響網(wǎng)絡(luò)信息安全的其他情形。電信業(yè)務(wù)經(jīng)營者應(yīng)當(dāng)按照本辦法的規(guī)定和電信管理機構(gòu)在約談中提由的要求進行改正。第二十二條【行業(yè)通報】電信管理機構(gòu)應(yīng)當(dāng)建立電信業(yè)務(wù)經(jīng)營者互聯(lián)網(wǎng)新業(yè)務(wù)安全評估情況通報制度，定期公布互聯(lián)網(wǎng)新業(yè)務(wù)安全評估情況。第二十三條【監(jiān)督檢查】電信管理機構(gòu)按照本辦法的規(guī)定實施監(jiān)督檢查，應(yīng)當(dāng)記錄監(jiān)督檢查的情況，

8、不得妨礙電信業(yè)務(wù)經(jīng)營者正常的經(jīng)營或者服務(wù)活動，不得收取任何費用。估的專業(yè)機構(gòu)及其工作人員，對其在履行職責(zé)、提供服務(wù)過程中知悉的國家秘密、商業(yè)秘密和個人信息應(yīng)當(dāng)予以保密，不得泄露、篡改或者毀損，不得由售或者非法向他人提供。第二十五條【社會監(jiān)督】任何組織或者個人發(fā)現(xiàn)電信業(yè)務(wù)經(jīng)營者有違反本辦法的行為的，有權(quán)向電信管理機構(gòu)舉報。電信管理機構(gòu)應(yīng)當(dāng)及時處理并對舉報人的相關(guān)信息予以保密。第二十六條【罰則一】電信業(yè)務(wù)經(jīng)營者違反本辦法第十七條、第十八條規(guī)定的，由電信管理機構(gòu)責(zé)令限期改正，予以警告；拒不改正的，可以處以一萬元以下的罰款，按照有關(guān)規(guī)定記入電信業(yè)務(wù)經(jīng)營不良名單和失信名單并向社會公布。第二十七條【罰則二

9、】電信業(yè)務(wù)經(jīng)營者違反本辦法第十條、第十二條、第十三條、第十六條、第十九條第二款、第二十條的，由電信管理機構(gòu)責(zé)令限期改正，予以警告，可以處以一萬元以上三萬元以下的罰款，按照有關(guān)規(guī)定記入電信業(yè)務(wù)經(jīng)營不良名單和失信名單并向社會公布。第二十八條【罰則三】電信管理機構(gòu)工作人員在互聯(lián)網(wǎng)新業(yè)務(wù)安全評估的監(jiān)督管理工作中玩忽職守、濫用職權(quán)、徇私舞弊的，依法給予處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。網(wǎng)新業(yè)務(wù)，在技術(shù)實現(xiàn)方式、業(yè)務(wù)功能或者用戶規(guī)模等方面發(fā)生較大變化，可能存在重大網(wǎng)絡(luò)信息安全風(fēng)險的，參照本辦法進行安全評估。電信業(yè)務(wù)經(jīng)營者應(yīng)當(dāng)至少每六個月對其開展的互聯(lián)網(wǎng)新業(yè)務(wù)是否存在前款規(guī)定的情形進行自查，保留自查記錄；發(fā)現(xiàn)存在前款規(guī)定情形的，應(yīng)當(dāng)在45日內(nèi)完成評估。第三十條【新業(yè)務(wù)期限】電信業(yè)務(wù)經(jīng)營者的互