交通运输部关于《民航网络信息安全管理规定（暂行）（征求意见稿）》公开征求意见的通知

根据国内民航发展的实际情况，中国民用航空局起草了《民航网络信息安全管理规定（暂行）（征求意见稿）》，现向社会公开征求意见。

交通运输部

2017年2月20日

民航网络信息安全管理规定（暂行）

第一章  总则

       第一条 【目的和依据】为了加强民用航空网络信息安全管理，建立健全民用航空网络信息安全保障体系，预防民用航空网络信息安全事件发生，依据《中华人民共和国安全生产法》、《中华人民共和国网络安全法》、《中华人民共和国民用航空法》等法律、行政法规，制定本规定。

       第二条 【适用范围】本规定适用于中华人民共和国境内的民用航空（以下简称民航）网络信息安全管理工作。任何接入民航网络信息系统或者使用民航信息资源的外部机构和个人应当遵守本规定中对于系统接入和信息使用的要求。

       第三条 【安全管理方针与原则】民航网络信息安全采取积极防御、综合防范的方针，坚持保障网络信息安全与促进信息化发展相协调、管理与技术统筹兼顾的原则，实行统一协调、分级管理、分工负责。网络安全和信息化工作应当同步规划、同步建设、同步实施、同步发展。

       第四条 【职责划分】民航各单位对本单位的网络信息安全负有主体责任，其主要负责人是本单位网络信息安全的第一责任人。民航各级行政管理机构负有监督管理责任。

     第五条 【责任追究制度】民航网络信息安全管理工作实行安全事件责任追究制度，依照有关法律、法规和规章，追究网络信息安全事件责任人的责任。

第二章   职责与分工

       第六条 【民航局的职责】中国民用航空局（以下简称民航局）负责全行业网络信息安全工作的组织、指导和协调，履行下列职责：

       （一）依照国家网络信息安全法律、法规和标准，编制行业网络信息安全发展战略和总体规划，制定民航网络信息安全规章、政策和标准，指导民航各单位开展网络信息安全工作；

       （二）组织行业重大网络信息安全基础设施建设，研究解决涉及行业网络信息安全的重大事项；

       （三）组织开展行业网络信息安全检查、风险评估和等级保护工作，开展行业网络信息安全培训；

       （四）建立行业网络信息安全监测预警、信息通报和应急处置机制，制定行业网络信息安全应急预案，通报民航网络安全信息，调查处理行业重大网络信息安全事件；

       （五）建立民航网络信息安全管理与测评机构和专家队伍。

       第七条 【民航地区管理局的职责】民航地区管理局负责辖区内民航网络信息安全监督管理工作，履行下列职责：

       （一）依照国家和民航网络信息安全法律、法规、规章和标准，制定辖区内民航网络信息安全工作制度，指导辖区内民航各单位开展网络信息安全工作；

       （二）监督辖区内民航各单位网络安全规划和建设；

       （三）实施网络信息安全年度检查以及重要保障时期的专项检查，组织开展辖区内的网络信息安全专项培训；

       （四）建立辖区内民航网络信息安全事件应急机制和通报制度，向民航局通报辖区内民航各单位的网络信息安全信息，协助民航局调查处理辖区内的网络信息安全事件；

       （五）对辖区内网络信息安全工作进行年度总结和讲评，对在网络信息安全保障工作中成绩显著和有突出贡献的单位和个人给于表彰；

       （六）承办民航局交办的其他网络信息安全工作。

       第八条 【民航各单位的职责】民航各单位负责本单位的网络信息安全工作，履行下列职责：

       （一）执行国家和民航行业网络信息安全法律、法规、规章与标准，编制网络信息安全规划，制定人员、资产、采购、外包、系统建设与运维、备份、应急等方面的网络信息安全管理制度；

       （二）建立本单位网络信息安全管理部门，设置网络信息安全员专职岗位，落实网络信息安全责任制；

       （三）采取技术措施和其他必要措施，保障网络信息安全，有效应对网络信息安全事件，防范违法犯罪活动；

       （四）落实网络信息安全经费，建设和完善网络信息安全保障基础设施，开展网络安全等级保护、风险评估、安全自查、安全培训等工作，保护旅客信息和生产数据安全，制定信息安全应急预案，定期开展应急演练；

       （五）建立网络信息安全信息通报制度，配合民航行政管理机构进行网络信息安全检查和事件调查，对发现问题进行整改；

       （六）承担民航行政管理机构部署的其他网络信息安全工作。

第三章   网络运行安全与信息安全

       第一节  一般规定

       第九条 【安全教育培训】民航各单位应当建立网络信息安全培训制度，定期开展网络信息安全意识教育与网络信息设备安全操作基础培训，对系统建设、运维人员和网络信息安全从业人员进行专项技能培训。

       第十条 【等级保护定级与整改】民航各单位应当按照国家等级保护制度要求和技术标准，建立等级保护制度，组织开展信息系统定级工作，将定级结果和备案证明材料报送所在地民航行政管理机构。

民航各单位应当按照相应安全保护等级技术标准开展建设整改。新建信息系统或者信息系统发生重大变更时，应当首先确定信息系统的安全保护等级，并同步建设符合该安全保护等级要求的安全保护设施。

       第十一条 【风险评估和等级测评】民航各单位应当定期对信息系统安全状况开展风险评估。安全保护等级为第三级（含）以上的网络信息系统应当按照国家和行业有关规定进行等级保护测评；未达到安全保护等级要求的，应当进行整改。

       实施等级保护测评的机构应当具备国家认可的信息安全等级保护测评资质。

       第十二条 【安全信息通报】民航各单位应当建立网络信息安全信息通报制度，开展信息通报工作，按照规定通报程序向民航行政管理机构报告有关情况，不得瞒报、缓报、谎报、迟报和推诿责任。

       第十三条 【信息系统资产管理】民航各单位应当建立信息系统资产管理制度，编制资产清单，明确资产管理责任部门与人员，定期对照资产清单对资产进行一致性检查并保留检查记录。

       第十四条 【采购管理】民航各单位应当选用符合国家有关规定、安全可控的信息技术产品和服务，采购的信息安全产品和服务应当经过国家认证。

       第十五条 【外包服务和远程技术服务管理】民航各单位应当建立网络信息技术外包服务和远程技术服务安全管理制度，需要外包服务或远程技术服务的，应当与提供者签订安全保密协议。

       第十六条 【经费保障】民航各单位应当建立网络信息安全经费保障制度，将网络信息安全经费纳入本单位年度财务预算，新建系统中网络信息安全建设经费的实际投入应当不低于系统建设总经费的15%。

       第十七条 【物理环境安全】民航各单位应当依照国家标准规范开展计算机机房建设，制定机房安全管理制度，对出入机房人员进行审查、登记。

       第十八条 【网络边界安全防护】民航电子政务内网应当与民航电子政务外网及其他公共信息网络实行物理隔离。民航电子政务外网应当在网络边界采取安全防护措施，防止被攻击、篡改。

       民航各单位重要生产信息系统应当与互联网及其他网络区域实行安全隔离，并根据承载业务对网络进行分区分域管理，在不同安全域间实施访问控制。

       第十九条 【外部系统接入管理】民航各单位应当严格网络信息系统接入管理，建立系统接入审批制度。在接入之前应当对接入方案进行审核和安全评估，确认达到国家和行业网络信息安全要求并签订安全协议后方可授权接入网络。

       第二十条 【网络接入内控管理要求】民航各单位应当严格控制移动式设备接入、无线接入等网络接入行为，明确接入方式、访问控制等措施要求，形成网络接入日志并定期审计，确保未经审查通过的设备无法接入。

       第二十一条 【对公共场所互联网服务管理要求】在民用机场、航空器等公共场所为民航旅客提供互联网接入服务的企业，应当采取身份认证、上网行为审计等安全技术措施保护旅客个人信息安全，同时保证公共网络区域与民航内部网络物理隔离。

       第二十二条 【系统安全管理】民航各单位应当加强对服务器上的应用、服务、端口的安全管理，定期更新恶意代码库及系统补丁，定期实施漏洞扫描、恶意代码检测。

       第二十三条 【系统变更管理】民航各单位应当严格系统变更管理，建立系统重要变更审批程序，记录变更实施过程。

       第二十四条 【网站和网上运行业务系统技术防护要求】民航各单位应当建设网站和网上运行业务系统技术防护体系，采取有效防护措施，提高防篡改、防病毒、防攻击、防瘫痪、防挂马能力。建立完善网站信息发布审核制度，加强网站内容安全监测和应急处置，定期进行安全检查和风险评估。

       第二十五条 【门户网站管理要求】民航各行政管理机构、企事业单位的门户网站应当实行开办资格审核、定期复核、等级保护和信息服务备案制度。民航政府机构和事业单位网站应当按规定进行统一标识。

       第二十六条 【终端计算机安全防护】民航各单位应当制定终端计算机管理制度，严格终端计算机的安全管理，采取集中管控、用户识别、访问控制、安全审计等技术防护措施。

       第二十七条 【移动存储介质管理】民航各单位应当严格对移动存储介质的管理，防止移动存储介质在不同网络区域之间使用时造成恶意代码的传播和信息泄露。

       第二十八条 【系统和数据备份】民航各单位应当建立重要系统和核心数据的容灾备份制度，明确业务和系统的恢复目标以及相应的恢复预案，保证关键业务的连续性。重要信息系统在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。重要网络设备和通信线路应当具有冗余备份。

       第二十九条 【电子信息安全管理】民航各单位应当严格工作信息和业务数据的安全管理，不得在非涉密计算机及相关设备上处理、传递、转发涉密或敏感信息。

       第三十条 【信息共享安全管理】民航各单位应当建立生产运营信息共享管理制度，对于法律法规、规章和政策要求共享的生产运营信息予以安全保护。信息提供单位应当与信息获取单位签订信息使用和信息安全保护协议，明确信息共享内容、使用期限以及双方的权利、义务和责任。

       第二节  应急管理

       第三十一条 【应急管理制度与管理机构】民航各单位应当建立网络信息安全应急管理制度，设立或者指定应急工作管理机构，负责应急管理工作。

       第三十二条 【应急预案与应急演练】民航各单位应当制定网络信息安全事件应急处置预案，定期开展应急演练，并对演练情况进行评估，针对演练中发现的问题，补充修订应急预案。

       第三十三条 【应急协调机制】民航各单位应当根据实际需求与当地电信、电力、公安等部门建立应急协调机制，及时处理由网络中断、电力供应和非法攻击行为等引发的网络信息安全事件。

       第三十四条 【应急处置】民航各单位在发生网络信息安全事件时，应当及时进行处置，并按照规定进行通报。

       第三节  旅客信息保护

       第三十五条 【旅客信息保护制度】民航各单位应当制定旅客信息保护制度，对在提供服务过程中收集、使用的旅客信息，应当采取相应措施严格保护，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。

       在发生或者可能发生旅客信息泄露时，应当立即采取补救措施。

       第三十六条 【收集使用旅客信息的要求】民航各单位收集、使用旅客信息，应当遵循合法、正当、必要的原则，不得收集与其提供的服务无关的旅客信息，不得违反法律、法规的规定收集、使用和向第三方提供旅客信息。

       第三十七条 【旅客信息转移或委托的要求】民航各单位将旅客信息转移或委托给其他组织或机构使用的，应当与该组织或机构签订旅客信息保护协议，明确旅客信息使用范围和保护责任。

第四章    网络信息安全监督检查

      第一节   网络信息安全监察员

       第三十八条 【网络信息安全监察员的职责】民航地区管理局和安全监督管理局网络信息安全监察员依法履行下列职责：

       （一）依照本规定对辖区内民航各企事业单位网络信息安全工作实施监督检查，制定网络信息安全工作计划；

       （二）按照网络信息安全信息通报制度向上级行政管理机构报告辖区内网络信息安全情况；

       （三）参与辖区内网络信息安全事件调查；

       （四）依法处理辖区内民航各企事业单位违反国家和行业网络信息安全法律、法规和规章的行为；

       （五）承办法律规定的或上级交办的其他工作。

       第三十九条 【监察员培训要求】民航网络信息安全监察员应当接受网络信息安全培训，培训内容包括法律知识和网络信息安全专业技术等内容。网络信息安全监察员经培训考试合格后，授予网络信息安全监察专业证书，并定期进行复训。

       第四十条 【监察员考核】民航行政管理机构应当制定网络信息安全监察员考核制度，对网络信息安全监察员履职情况进行考核。

第二节   网络信息安全检查

       第四十一条 【安全检查制度】民航各级行政管理机构应当依照国家和行业要求，实行网络信息安全年度检查和专项检查制度，将网络信息安全检查工作列入年度行政检查计划，并组织落实国家和行业布置的其他检查工作。

       第四十二条 【检查工作组织】民航各级行政管理机构应当依照国家和行业有关规定，确定网络信息安全年度检查重点、检查内容和时间安排，通知辖区内各单位。

       第四十三条 【现场检查要求】民航各级行政管理机构在年度或专项检查中应当使用民用航空行政检查记录报告单，记录检查结果，提出处理意见。被检查单位根据处理意见进行整改。

       第四十四条 【检查结果处理】民航各级行政管理机构对检查中发现的重大安全隐患，应当责令有关单位立即排除；对检查中发现的安全管理缺陷或安全隐患，应当向有关单位提出限期整改要求；对检查中发现的违法行为，应当立即制止，依法处罚。

       第四十五条 【自查与复检】被检查单位应当配合检查，按照检查要求开展自查，对检查中发现的问题进行整改后，将自查结果和整改情况上报组织检查的民航行政管理机构。民航行政管理机构根据需要对被检查单位整改情况组织复检。

第三节   网络信息安全事件调查

       第四十六条 【事件调查启动】有下列情况之一的，民航行政管理机构应当启动调查工作：

       （一）发现重大网络安全隐患、漏洞或基础网络、重要系统受到外部攻击遭到破坏的；

       （二）发生重大网络信息安全事件；

       （三）旅客信息或重要生产数据泄露，造成重大影响或经济损失；

       （四）民航行政管理机构和重要企事业单位的网站被篡改；

       （五）国家网络信息安全主管部门通报的事件；

       （六）其他需要调查的。

       第四十七条 【事件调查组织】网络信息安全事件的调查由民航局或者由民航局授权民航地区管理局组织，被调查单位应当予以协助。

       第四十八条 【事件调查实施】调查组织部门应当成立事件调查组，开展调查工作。调查组可以调阅、摘抄、复制与网络信息安全事件有关的资料，封存有关设备，进行调查取证。

       第四十九条 【事件调查结果】网络信息安全事件调查结束后，调查组应当向调查组织部门提交调查报告。事件调查组织部门应当根据调查报告提出处理意见，并将事件调查资料归档。

第五章   法律责任

       第五十条  民航各单位有下列行为之一的，由民航行政管理机构责令限期改正；逾期未改正的，给予警告；造成安全隐患或者导致网络信息安全事件发生的，对责任单位主要负责人处以警告或者人民币三百元以上一千元以下罚款，并对责任单位处以一万元以上三万元以下罚款；造成重大损失或者社会影响的，依法责令暂停相关业务：

       （一）未履行本规定第八条和第九条职责的；

       （二）违反本规定第十八条，未按规定实施网络边界安全防护措施的。

       第五十一条 民航各单位有下列行为之一的，由民航行政管理机构责令限期改正；逾期未改正的，给予警告；造成安全隐患或者导致网络信息安全事件发生的，对责任单位主要负责人处以警告或者人民币三百元以上一千元以下罚款，并对责任单位处三万元以下罚款；造成重大损失或者社会影响的，依法责令暂停相关业务：

       （一）违反本规定第十条和第十一条，未落实信息安全等级保护管理制度的；

       （二）违反本规定第十三条至第十七条，未履行网络运行安全保护义务的；

       （三）违反本规定第二十四条和第二十五条，未落实网站安全管理制度，不符合网站开办管理要求和防护措施不到位的；

       （四）违反本规定第三十一条至第三十四条，未落实网络信息安全应急管理制度的。

       第五十二条 民航各单位有下列行为之一的，由民航行政管理机构责令限期改正；逾期未改正的，给予警告；造成安全隐患或者导致网络信息安全事件发生的，对责任单位处三万元以下罚款；造成重大损失或者社会影响的，依法责令暂停相关业务：

       （一）违反本规定第十九条、第二十二条和第二十三条，未落实信息系统接入、系统安全和系统变更管理的；

       （二）违反本规定第二十条和第二十一条，未落实网络接入内控管理和公共场所互联网服务管理的；

       （三）违反本规定第二十六条至第二十八条，未落实计算机终端、移动存储管理和备份管理要求的；

       （四）违反本规定第二十九条和第三十条，未落实信息数据安全管理制度的；

       （五）违反本规定第三十五条至第三十七条，未落实旅客信息保护制度的。

       第五十三条 民航各单位违反本规定，有下列行为之一的，由民航行政管理机构责令限期改正，给予警告；拒不改正或者造成严重后果的，对责任单位处三万元以下罚款：

       （一）在信息安全通报中有瞒报、缓报、谎报、迟报和推诿责任行为的；

       （二）拒绝、阻碍监督检查和未按要求进行整改的；

       （三）拒不提供必要的支持与协助，干扰事件调查的。

       第五十四条 【约谈责任】民航各单位违反本规定，情节严重的，民航行政管理机构可以对其主要负责人进行约谈。

       第五十五条 【不当监察行为的责任追究】民航行政管理机构工作人员不依法履行监督检查职责，或者有玩忽职守、滥用职权、徇私舞弊行为，尚不构成犯罪的，由有关部门依法予以行政处分。

       第五十六条 【民事责任，刑事责任】违反本规定，使公民、法人或者其他组织的合法利益受到侵害的，依法承担民事责任。构成犯罪的，依法追究刑事责任。

第六章   附则

       第五十七条 【本规定涉及的定义】本规定所称民航网络信息系统，是指由计算机及其相关和配套设备、设施（含网络）构成的，按照一定的应用目标和规则对民用航空相关信息进行采集、加工、存储、传输、检索等处理的人机系统。

       第五十八条 【本规定涉及的定义】本规定所称网络信息安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

       第五十九条 【本规定涉及的定义】本规定所称网络信息安全管理，是指在民航网络信息系统规划建设、运行维护、使用及废止等过程中，保障计算机数据信息、信息系统、网络与机房基础设施安全的一系列活动。

       第六十条 【本规定涉及的定义】本规定所称重大网络信息安全事件，是指由于各种原因导致信息系统出现关键业务中断、系统瘫痪、关键数据丢失或核心信息失窃等现象，给国家安全、社会稳定或公众利益等造成重大影响和严重经济损失的事件。

       第六十一条 【实施日期】本规定自  年  月  日起施行。