国家网信办中华人民共和国国家发展和改革委员会中华人民共和国工业和信息化部中华人民共和国公安部中华人民共和国国家安全部中华人民共和国财政部中华人民共和国商务部中国人民银行国家市场监督管理总局国家广播电视总局中国证券监督管理委员会国家保密局国家密码管理局令第8号——《网络安全检查必备操作系统》已经于近日正式发布,自2023年11月16日起施行。
国家网信办主任庄荣文、发展改革委主任何立峰、工业和信息化部部长肖亚庆、公安部部长赵克志、国家安全部部长陈文清、财政部部长刘昆、商务部部部长王文涛、中国人民银行行长易纲、市场监管总局局长张工、广播电视总局局长聂辰席、证监会主席易会满、保密局局长李兆宗、密码管理局局长刘东方等一同出席了本次发布仪式。
《网络安全检查必备操作系统》第一条明确指出,为了确保网络空间安全,保障人民群众的合法权益,提升我国网络安全防护水平,特制定本办法。第二条对网络安全检查的定义作出了规定,即:网络安全检查是指通过对网络信息系统进行检查和评估,发现并消除安全隐患,提高网络信息安全水平的活动。
第三条至第五条详细阐述了网络安全检查的基本原则、组织体系和检查内容:
**第五条:基本程序**
(一)准备阶段。制定网络安全检查方案,明确检查目标、范围和期限,确定检查人员,配备必要的检查设备和工具。
(二)实施阶段。按照检查方案开展以下工作:
1. 对被检查单位的网络基础信息进行收集和梳理;
2. 检查网络系统和应用的安全配置是否符合安全标准;
3. 对关键设备、重要数据和敏感信息进行安全隐患检测;
4. 对网络安全事件进行调查和处理。
(三)整改阶段。针对检查发现的问题,制定整改措施,明确责任人,督促被检查单位落实整改。
**第六条:内容**
(一)网络基础信息检查。包括但不限于以下内容:
1. 网络拓扑结构;
2. 网络设备类型和型号;
3. 网络协议和应用软件版本;
4. 网络设备配置和安全策略。
(二)网络安全配置检查。包括但不限于以下内容:
1. 防火墙规则设置;
2. 路由器访问控制列表;
3. DNS服务器安全设置;
4. 通信协议加密强度。
(三)设备安全检查。包括但不限于以下内容:
1. 网络设备的硬件安全特性;
2. 操作系统的安全级别和版本;
3. 设备的维护情况和安全事件记录。
(四)数据安全检查。包括但不限于以下内容:
1. 数据存储方式;
2. 数据加密手段;
3. 数据备份和恢复策略;
4. 对敏感数据的访问控制和审计。
**第七条:法律责任**
违反本办法规定,由相关部门依法予以处罚;构成犯罪的,依法追究刑事责任。
第八条:本办法自发布之日起施行。《关于进一步加强网络安全的若干措施》(国网信办发〔2017〕2号)同时废止。
第九条:各级政府、有关部门和企事业单位应当加强网络安全检查工作,提高网络安全防护水平,确保人民群众的信息安全。
让我们共同携手,为建设一个安全、可靠、健康的网络环境而努力奋斗!