1月21日,工业和信息化部发布了《通信网络安全防护管理办法》(工业和信息化部令第11号)。工业和信息化部政策法规司副司长李国斌围绕《办法》出台的有关背景、《办法》的主要内容等问题接受了记者的专访。
记者:工业和信息化部最近出台了《通信网络安全防护管理办法》,请问出台该规章的意义是什么?
李国斌:随着我国通信业和信息化的发展,政治、经济、文化和社会生活对通信网络的依赖度越来越高,通信网络已成为国家关键基础设施。通信网络一旦发生中断、瘫痪或拥塞,或者其中传输、存储、处理的数据信息丢失、泄露或被非法篡改,将对社会经济生活造成严重影响。制定《办法》,完善通信网络安全保障法律制度,有利于提高通信网络安全防护能力和水平。此外,随着信息通信技术的迅速发展,通信网络加快向数字化、宽带化和智能化演进,通信网络面临的安全威胁日益多样化,网络攻击、信息窃取等非传统安全问题十分突出。相对于传统安全问题,非传统安全问题的隐蔽性更强,处置工作和技术要求更高。结合信息通信技术发展的特点制定《办法》,建立通信网络分级、备案、安全风险评估等制度,有利于应对非传统安全威胁。
记者:您能否简单介绍一下《办法》的制定过程?
李国斌:2009年6月,工业和信息化部通信保障局完成《办法(送审稿)》并送部政法司审查。部政法司对《办法(送审稿)》进行审查、完善后,征求了部内相关司局和各省通信管理局的意见。为保证《办法》的科学性,我们还通过部外网网站向社会公开征求了意见。从意见反馈情况看,各方对《办法》拟设立的各项制度没有原则性不同意见。部分通信管理局就《办法》的可操作性以及制度的合理性等方面提出了一些建议和意见,例如,是否由地方管局组织***对网络单元进行评审、增值电信业务经营者适用等问题。为此, 2009年11月,部政法司组织召开了由部分通信管理局参加的座谈会,就《办法》的可操作性、制度的合理性等问题进行了进一步研究,并充分研究和吸收了各方面的意见。2009年12月29日,部第八次部务会议审议通过了《办法(草案)》。2010年1月21日,部公布了《办法》。
记者:《办法》对加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通具有重要的意义。您能否介绍一下《办法》主要建立了哪些制度?
李国斌:《办法》围绕通信网络安全防护管理工作,主要建立了如下制度:
一是确立了通信网络单元的分级保护制度,规定通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度等因素,由低到高分别划分为五级。为保证分级的科学性,《办法》规定:通信网络运行单位应当组织***对通信网络单元的分级情况进行评审。与此同时,《办法》还规定通信网络运行单位应当将通信网络单元的划分和定级情况向电信管理机构备案。为保证备案工作的可操作性,《办法》进一步明确了备案的内容和核查程序。
二是建立了符合性评测制度,规定通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施,并进行符合性评测。《办法》规定:三级及三级以上通信网络单元应当每年进行一次符合性评测,二级通信网络单元应当每两年进行一次符合性评测。
三是建立了安全风险评估制度,规定通信网络运行单位应当组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患。《办法》规定:三级及三级以上通信网络单元应当每年进行一次安全风险评估,二级通信网络单元应当每两年进行一次安全风险评估。
四是建立了通信网络安全防护检查制度,规定电信管理机构对通信网络运行单位开展通信网络安全防护工作的情况进行检查。《办法》对检查方式进行了明确,并规定:电信管理机构进行检查,不得影响通信网络的正常运行,不得收取任何费用,不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品;电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密、技术秘密和个人隐私,有保密的义务。