網(wǎng)絡(luò)安全等級測評機構(gòu)等網(wǎng)絡(luò)服務(wù)提供者應(yīng)當保守服務(wù)過程中知悉的國家秘密、個人信息和重要數(shù)據(jù)。不得非法使用或擅自發(fā)布、披露在提供服務(wù)中收集掌握的數(shù)據(jù)信息和系統(tǒng)漏洞、惡意代碼、網(wǎng)絡(luò)入侵攻擊等網(wǎng)絡(luò)安全信息。

　　第二十八條【產(chǎn)品服務(wù)采購使用的安全要求】網(wǎng)絡(luò)運營者應(yīng)當采購、使用符合國家法律法規(guī)和有關(guān)標準規(guī)范要求的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

　　第三級以上網(wǎng)絡(luò)運營者應(yīng)當采用與其安全保護等級相適應(yīng)的網(wǎng)絡(luò)產(chǎn)品和服務(wù);對重要部位使用的網(wǎng)絡(luò)產(chǎn)品，應(yīng)當委托專業(yè)測評機構(gòu)進行專項測試，根據(jù)測試結(jié)果選擇符合要求的網(wǎng)絡(luò)產(chǎn)品;采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。

　　第二十九條【技術(shù)維護要求】第三級以上網(wǎng)絡(luò)應(yīng)當在境內(nèi)實施技術(shù)維護，不得境外遠程技術(shù)維護。因業(yè)務(wù)需要，確需進行境外遠程技術(shù)維護的，應(yīng)當進行網(wǎng)絡(luò)安全評估，并采取風險管控措施。實施技術(shù)維護，應(yīng)當記錄并留存技術(shù)維護日志，并在公安機關(guān)檢查時如實提供。

　　第三十條【監(jiān)測預警和信息通報】地市級以上人民政府應(yīng)當建立網(wǎng)絡(luò)安全監(jiān)測預警和信息通報制度，開展安全監(jiān)測、態(tài)勢感知、通報預警等工作。

　　第三級以上網(wǎng)絡(luò)運營者應(yīng)當建立健全網(wǎng)絡(luò)安全監(jiān)測預警和信息通報制度，按照規(guī)定向同級公安機關(guān)報送網(wǎng)絡(luò)安全監(jiān)測預警信息，報告網(wǎng)絡(luò)安全事件。有行業(yè)主管部門的，同時向行業(yè)主管部門報送和報告。

　　行業(yè)主管部門應(yīng)當建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測預警和信息通報制度，按照規(guī)定向同級網(wǎng)信部門、公安機關(guān)報送網(wǎng)絡(luò)安全監(jiān)測預警信息，報告網(wǎng)絡(luò)安全事件。

　　第三十一條【數(shù)據(jù)和信息安全保護】網(wǎng)絡(luò)運營者應(yīng)當建立并落實重要數(shù)據(jù)和個人信息安全保護制度;采取保護措施，保障數(shù)據(jù)和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全;建立異地備份恢復等技術(shù)措施，保障重要數(shù)據(jù)的完整性、保密性和可用性。

　　未經(jīng)允許或授權(quán)，網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的數(shù)據(jù)和個人信息;不得違反法律、行政法規(guī)規(guī)定和雙方約定收集、使用和處理數(shù)據(jù)和個人信息;不得泄露、篡改、損毀其收集的數(shù)據(jù)和個人信息;不得非授權(quán)訪問、使用、提供數(shù)據(jù)和個人信息。

　　第三十二條【應(yīng)急處置要求】第三級以上網(wǎng)絡(luò)的運營者應(yīng)當按照國家有關(guān)規(guī)定，制定網(wǎng)絡(luò)安全應(yīng)急預案，定期開展網(wǎng)絡(luò)安全應(yīng)急演練。

　　網(wǎng)絡(luò)運營者處置網(wǎng)絡(luò)安全事件應(yīng)當保護現(xiàn)場，記錄并留存相關(guān)數(shù)據(jù)信息，并及時向公安機關(guān)和行業(yè)主管部門報告。

　　公安機關(guān)和行業(yè)主管部門應(yīng)當向同級網(wǎng)信部門報告重大網(wǎng)絡(luò)安全事件處置情況。

　　發(fā)生重大網(wǎng)絡(luò)安全事件時，有關(guān)部門應(yīng)當按照網(wǎng)絡(luò)安全應(yīng)急預案要求聯(lián)合開展應(yīng)急處置。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)服務(wù)提供者應(yīng)當為重大網(wǎng)絡(luò)安全事件處置和恢復提供支持和協(xié)助。

　　第三十三條【審計審核要求】網(wǎng)絡(luò)運營者建設(shè)、運營、維護和使用網(wǎng)絡(luò)，向社會公眾提供需取得行政許可的經(jīng)營活動的，相關(guān)主管部門應(yīng)當將網(wǎng)絡(luò)安全等級保護制度落實情況納入審計、審核范圍。

　　第三十四條【新技術(shù)新應(yīng)用風險管控】網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度要求，采取措施，管控云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、工控系統(tǒng)和移動互聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用帶來的安全風險，消除安全隱患。

　　第四章 涉密網(wǎng)絡(luò)的安全保護

　　第三十五條【分級保護】涉密網(wǎng)絡(luò)按照存儲、處理、傳輸國 家秘密的最高密級分為絕密級、機密級和秘密級。

　　第三十六條【網(wǎng)絡(luò)定級】涉密網(wǎng)絡(luò)運營者應(yīng)當依法確定涉密網(wǎng)絡(luò)的密級，通過本單位保密委員會(領(lǐng)導小組)的審定，并向同級保密行政管理部門備案。

　　第三十七條【方案審查論證】涉密網(wǎng)絡(luò)運營者規(guī)劃建設(shè)涉密網(wǎng)絡(luò)，應(yīng)當依據(jù)國家保密規(guī)定和標準要求，制定分級保護方案，采取身份鑒別、訪問控制、安全審計、邊界安全防護、信息流轉(zhuǎn)管控、電磁泄漏發(fā)射防護、病毒防護、密碼保護和保密監(jiān)管等技術(shù)與管理措施。

　　第三十八條【建設(shè)管理】涉密網(wǎng)絡(luò)運營者委托其他單位承擔涉密網(wǎng)絡(luò)建設(shè)的，應(yīng)當選擇具有相應(yīng)涉密信息系統(tǒng)集成資質(zhì)的單位，并與建設(shè)單位簽訂保密協(xié)議，明確保密責任，采取保密措施。

　　第三十九條【信息設(shè)備、安全保密產(chǎn)品管理】涉密網(wǎng)絡(luò)中使用的信息設(shè)備，應(yīng)當從國家有關(guān)主管部門發(fā)布的涉密專用信息設(shè)備名錄中選擇;未納入名錄的，應(yīng)選擇政府采購目錄中的產(chǎn)品。確需選用進口產(chǎn)品的，應(yīng)當進行安全保密檢測。

責任編輯：wuyong