11月1日起,《公安机关互联网安全监督检查规定》正式施行。根据规定,公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况,对互联网服务提供者和联网使用单位开展监督检查。

解读 《公安机关互联网安全监督检查规定》

一、第一章“总则”阐述了制定依据、适用范围、执行主体、上级公安机关职责、检查总体要求。

二、《规定》第二章“监督检查对象和内容”规定了检查实施单位、检查对象、检查的对象对应的检查内容, 对监督检查与重大安保专项监督检查均做了规定。

检查对象:

第九条 公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况,对下列互联网服务提供者和联网使用单位开展监督检查:

(一)提供互联网接入、互联网数据中心、内容分发、域名服务的;

(二)提供互联网信息服务的;

(三)提供公共上网服务的;

(四)提供其他互联网服务的;

对开展前款规定的服务未满一年的,两年内曾发生过网络安全事件、违法犯罪案件的,或者因未履行法定网络安全义务被公安机关予以行政处罚的,应当开展重点监督检查。

解读:基本上与网络有关联的服务都包括在被检查对象中,以前有过“前科”企业要小心了,会被重点关注。

1

检查内容:

第十条 公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:

(一)是否办理联网单位备案手续,并报送接入单位和用户基本信息及其变更情况;

(二)是否制定并落实网络安全管理制度和操作规程,确定网络安全负责人;

(三)是否依法采取记录并留存用户注册信息和上网日志信息的技术措施;

(四)是否采取防范计算机病毒和网络攻击、网络侵入等技术措施;

(五)是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施;

(六)是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助;

(七)是否履行法律、行政法规规定的网络安全等级保护等义务。

第十一条 除本规定第十条所列内容外,公安机关还应当根据提供互联网服务的类型,对下列内容进行监督检查:

(一)对提供互联网接入服务的,监督检查是否记录并留存网络地址及分配使用情况;

(二)对提供互联网数据中心服务的,监督检查是否记录所提供的主机托管、主机租用和虚拟空间租用的用户信息;

(三)对提供互联网域名服务的,监督检查是否记录网络域名申请、变动信息,是否对违法域名依法采取处置措施;

(四)对提供互联网信息服务的,监督检查是否依法采取用户发布信息管理措施,是否对已发布或者传输的法律、行政法规禁止发布或者传输的信息依法采取处置措施,并保存相关记录;

(五)对提供互联网内容分发服务的,监督检查是否记录内容分发网络与内容源网络链接对应情况;

(六)对提供互联网公共上网服务的,监督检查是否采取符合国家标准的网络与信息安全保护技术措施。

第十二条 在国家重大网络安全保卫任务期间,对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位,公安机关可以对下列内容开展专项安全监督检查:

(一)是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员;

(二)是否组织开展网络安全风险评估,并采取相应风险管控措施堵塞网络安全漏洞隐患;

(三)是否制定网络安全应急处置预案并组织开展应急演练,应急处置相关设施是否完备有效;

(四)是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施;

(五)是否按照要求向公安机关报告网络安全防范措施及落实情况。

对防范恐怖袭击的重点目标的互联网安全监督检查,按照前款规定的内容执行。

2

解读:第十条、第十一条可以看出监督检查更加注重系统日常管理的合规性。如备案情况、责任人落实情况、用户信息与日志情况、安全措施情况、发布内容审核、等保落实情况等。针对六种服务类型,提出了针对性的检查内容,类型包括提供互联网接入服务的、提供互联网数据中心服务的、提供互联网域名服务的、提供互联网信息服务的、提供互联网内容分发服务的、提供互联网公共上网服务

第十二条对国家重大网络安全保卫任务期间专项安全监督检查内容进行了专门规定,注重于安全防范与安全应急的落实情况。如安工作方案及安全人员落实情况、风险隐患堵塞情况、应急演练及设施情况、其他安全防范措施、安全防范措施及情况报告。

三、《规定》第三章“监督检查程序”规定了检查方式、检查前要求、检查权力、检查中要求、检查后要求。

检查方式:第十三条 公安机关开展互联网安全监督检查,可以采取现场监督检查或者远程检测的方式进行。

检查前要求:第十四条 公安机关开展互联网安全现场监督检查时,人民警察不得少于二人,并应当出示人民警察证和县级以上地方人民政府公安机关出具的监督检查通知书。

检查权力:第十五条 公安机关开展互联网安全现场监督检查可以根据需要采取以下措施:

(一)进入营业场所、机房、工作场所;

(二)要求监督检查对象的负责人或者网络安全管理人员对监督检查事项作出说明;

(三)查阅、复制与互联网安全监督检查事项相关的信息;

(四)查看网络与信息安全保护技术措施运行情况。

检查中要求:

不得干扰、破坏:第十六条 公安机关开展远程检测,应当事先告知监督检查对象检查时间、检查范围等事项或者公开相关检查事项,不得干扰、破坏监督检查对象网络的正常运行。

保守检查信息:第十七条 公安机关开展现场监督检查或者远程检测,可以委托具有相应技术能力的网络安全服务机构提供技术支持。网络安全服务机构及其工作人员对工作中知悉的个人信息、隐私、商业秘密和国家秘密,应当严格保密,不得泄露、出售或者非法向他人提供。公安机关应当严格监督网络安全服务机构落实网络安全管理与保密责任。

制作检查记录:第十八条 公安机关开展现场监督检查,应当制作监督检查记录,并由开展监督检查的人民警察和监督检查对象的负责人或者网络安全管理人员签名。监督检查对象负责人或者网络安全管理人员对监督检查记录有异议的,应当允许其作出说明;拒绝签名的,人民警察应当在监督检查记录中注明。公安机关开展远程检测,应当制作监督检查记录,并由二名以上开展监督检查的人民警察在监督检查记录上签名。委托网络安全服务机构提供技术支持的,技术支持人员应当一并在监督检查记录上签名。

检查后要求:

责令整改并复查:第十九条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位存在网络安全风险隐患,应当督促指导其采取措施消除风险隐患,并在监督检查记录上注明;发现有违法行为,但情节轻微或者未造成后果的,应当责令其限期整改。监督检查对象在整改期限届满前认为已经整改完毕的,可以向公安机关书面提出提前复查申请。公安机关应当自整改期限届满或者收到监督检查对象提前复查申请之日起三个工作日内,对整改情况进行复查,并在复查结束后三个工作日内反馈复查结果。

资料存档:第二十条 监督检查过程中收集的资料、制作的各类文书等材料,应当按照规定立卷存档。

3

四、《规定》第四章“法律责任”结合《网络安全法》中的处罚条款规定了在“第二章 监督检查对象和内容”中涉及到的检查内容的对应处罚方法。

第二十一条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位有下列违法行为的,依法予以行政处罚:

(一)未制定并落实网络安全管理制度和操作规程,未确定网络安全负责人的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;

(二)未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;

(三)未采取记录并留存用户注册信息和上网日志信息措施的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;

(四)在提供互联网信息发布、即时通讯等服务中,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,依照《中华人民共和国网络安全法》第六十一条的规定予以处罚;

(五)在公共信息服务中对法律、行政法规禁止发布或者传输的信息未依法或者不按照公安机关的要求采取停止传输、消除等处置措施、保存有关记录的,依照《中华人民共和国网络安全法》第六十八条或者第六十九条第一项的规定予以处罚;

(六)拒不为公安机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助的,依照《中华人民共和国网络安全法》第六十九条第三项的规定予以处罚。

有前款第四至六项行为违反《中华人民共和国反恐怖主义法》规定的,依照《中华人民共和国反恐怖主义法》第八十四条或者第八十六条第一款的规定予以处罚。

第二十二条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,依照《中华人民共和国网络安全法》第六十四条第二款的规定予以处罚。

第二十三条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位在提供的互联网服务中设置恶意程序的,依照《中华人民共和国网络安全法》第六十条第一项的规定予以处罚。

第二十四条 互联网服务提供者和联网使用单位拒绝、阻碍公安机关实施互联网安全监督检查的,依照《中华人民共和国网络安全法》第六十九条第二项的规定予以处罚;拒不配合反恐怖主义工作的,依照《中华人民共和国反恐怖主义法》第九十一条或者第九十二条的规定予以处罚。

五、《规定》第五章“附则”对互联网上网服务营业场所的监督检查内容进行了说明。

第二十八条 对互联网上网服务营业场所的监督检查,按照《互联网上网服务营业场所管理条例》的有关规定执行。

总体解读:新的监督检查规定更加明确了公安机关在检查过程中的检查对象及检查内容,规范了相关流程,同时对各网络运营者来说也进一步明确了法律责任,规定中详细阐释了相关的监管要求,有助于让网络安全责任更好更准确地落地。

当然就具体的监督检查的内容来看,信息安全等级保护工作的完善与否对是否符合规定的要求有较大的影响。对于企事业单位而言,满足等保要求将不仅仅是对信息系统本身可靠性的资质证明,更是符合法律法规的合规要求。

相关阅读:

为什么零售行业需要数据中心?

美国又动手了!刚刚,又一中国芯片商被禁

张北阿里云数据中心有了新姿势

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-11-06 10:04:18
国际资讯 Interxion公司将在法兰克福和马赛建立新的数据中心
日前据悉,欧洲数据中心运营商和云计算中立托管服务提供商Interxion公司计划建立两个新的数据中心,一个位于德国法兰克福,另一个位于法国马赛。 <详情>
2018-11-06 10:02:43
模块化数据中心 数据中心采购光模块的烦心事儿
大型的数据中心设备采购量大,有话语权,于是直接从光模块那里采购,然后要求网络和服务器厂商进行适配,有问题解决问题,面对这样体量的客户,厂商自然无法拒绝,只能为了 <详情>
2018-11-06 09:48:52
国际资讯 微软CEO:水下数据中心是未来发展趋势
微软首席执行官Satya Nadella表示,水下数据中心将在扩展微软全球云计算平台方面发挥重要作用。 <详情>
2018-11-06 09:20:00
运维管理 那座深山老林里的数据中心,何时才能招到运维人员?
原来,被誉为“国之重器”的贵州天眼FAST望远镜近日开启了招聘启事:此次共招聘24人,涉及谱线科学研究和数据处理人员,脉冲星科学研究和数据处理,数据中心运行维护,观测 <详情>
2018-11-05 18:56:18
交换存储 数据中心存储系统出现故障应该从这几个方面入手
存储系统作为如今大数据云计算时代的根基,它的稳定才是支撑起如此海量数据的根本。所以各大相关行业对于这部分非常重视,所以在此针对存储系统的故障处置简单提出自己学习 <详情>