工商总局办公厅关于做好《网络安全法》贯彻实施工作的通知

       各省、自治区、直辖市及计划单列市、副省级市工商行政管理局、市场监督管理部门：

     《网络安全法》是我国第一部关于网络安全工作的基本大法，是我国网络安全理论探索和实践经验的科学总结，是依法治网、依法管网的根本依据，是推进网络强国战略的重要保障。《网络安全法》明确了各方面维护网络安全的责任义务，提出了一系列制度安排和重点任务。《网络安全法》将于6 月1 日实施。根据中央网络安全和信息化领导小组办公室印发的《〈网络安全法〉贯彻实施工作方案》，现就做好《网络安全法》贯彻落实工作通知如下。

      一、加强宣传普及

      一是要做好《网络安全法》宣传普及工作。知法懂法是保证法律贯彻落实的基础，6 月1 日前,要采用讲座、会议等方式宣传，普及《网络安全法》。

      二是要将开展经常性的网络安全宣传教育纳入议事日程，要将《网络安全法》列入系统内各级机关的学习和干部培训内容。今后每年至少开展一次培训、检验、检查等活动，让网络安全意识植根人心，让网络安全观念深入到业务工作和信息化工作中。

      二、完善配套制度

      一是要制定关键信息基础设施和重要业务系统的安全规划和实施方案，做好关键信息基础设施保护工作。年底前将安全规划和实施方案报总局信息化领导小组办公室。

      二是要保证信息安全建设的投入。要将信息安全建设经费列入年度预算。

      三是要建立制度，做到信息系统建设与安全建设同步规划、同步建设、同步运行。

      四是要加强业务数据信息保护。业务信息系统中含有大量的政务敏感信息、商业秘密和个人隐私信息，必须从数据采集到使用的全环节建立有关岗位、人员、职责等制度，采取各种技术措施确保数据的安全加密、安全传输、安全存储、合法使用，依法保存审计日志，切实做好数据安全工作。要与涉及数据的信息系统承建商签订保密协议。

      五是要依法加强信息内容安全管理，确保网站发布信息的真实性、合法性、权威性及有效性。在信息发布过程中要按照国家及本单位相关管理规定，严格规范信息审核和发布流程，严格执行网站信息发布审核和保密审查制度，严防泄漏国家秘密和内部敏感信息。

      六是要制订或修订网络安全事件应急预案，并建立健全应急响应责任追究制度。要明确应急处置工作流程，强化安全事故处置技能培训，定期开展应急演练，不断提高应急资源的综合调配和高效管理能力。

     七是要根据“谁主管、谁负责”的原则，落实信息安全管理的责任，责任到人。要设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查，并定期对有关人员进行网络安全教育、技术培训和技能考核。

     八是要根据《工商总局办公厅关于落实全国工商系统网络与信息安全信息通报机制的通知》（办字〔2015〕80号）的要求，进一步完善网络与信息安全信息通报机制。请各单位明确网络与信息安全信息通报责任机构、负责人和联络员，填写《网络与信息安全信息通报机制成员通讯录》（附件），并于4月底前报总局信息化领导小组办公室备案。

     三、推进重点工作

     一是要实行网络安全等级保护制度。应当按照网络安全等级保护制度的要求，梳理现有网络基础设施和业务系统，开展风险评估和定级备案工作。网站、公示系统、业务系统等信息系统一般应定为三级。到今年底前，必须完成系统的定级备案、等级测评及整改等工作。每年要组织网络安全检查和风险评估。每年年底前将本部门网络与信息安全工作总结报送总局信息化领导小组办公室。

     二是要依法提高网络基础设施安全防范水平，尤其针对门户网站、企业信用信息公示系统、12315平台等重点网站，采取严格管理和各种技术手段提升防攻击、防篡改能力，防止数据被盗用、拖库、盗链等风险。

     三是要高度重视网络与信息安全监测预警工作，配备安全监测、态势感知等工作平台，不断提高网络攻击、系统故障的主动发现能力和应急处置水平。同时着力构建本单位网络与信息安全监测预警工作长效机制，最大程度上减轻信息安全事件带来的损失和影响。

     贯彻落实《网络安全法》是当前和今后网络安全工作的中心任务。各省、自治区、直辖市及计划单列市、副省级市工商行政管理局、市场监督管理部门信息化领导小组要加强领导，召开专题会议研究部署，并听取汇报。各单位信息化责任部门要按照职责分工，具体负责本单位《网络安全法》的落实工作。