民航网络信息安全管理规定(暂行)(征求意见稿)

《民航网络信息安全管理规定（暂行）（征求意见稿）》公开征求意见

根据国内民航发展的实际情况，中国民用航空局起草了《民航网络信息安全管理规定（暂行）（征求意见稿）》，现向社会公开征求意见。公众可以通过以下途径和方式提出意见：

1.登录中国法制信息网（网址：），进入首页左侧的“法规规章草案意见征集系统”提出意见。

2.通过信函方式将意见寄至：北京市东城区东四西大街155号中国民用航空局政策法规司（邮编：100710）

3.通过电子邮件方式将意见发送至：legaldivision@

意见反馈截止时间为2017年3月30日。

交通运输部

2017年2月20日

《民航网络信息安全管理规定（暂行）（征求意见稿）》发布部门：交通运输部起止时间：2017-02-20 至 2017-03-30

第一章总则

第一条【目的和依据】为了加强民用航空网络信息安全管理，建立健全民用航空网络信息安全保障体系，预防民用航空网络信息安全事件发生，依据《中华人民共和国安全生产法》、《中华人民共和国网络安全法》、《中华人民共和国民用航空法》等法律、行政法规，制定本规定。

第二条【适用范围】本规定适用于中华人民共和国境内的民用航空（以下简称民航）网络信息安全管理工作。任何接入民航网络信息系统或者使用民航信息资源的外部机构和个人应当遵守本规定中对于系统接入和信息使用的要求。

第三条【安全管理方针与原则】民航网络信息安全采取积极防御、综合防范的方针，坚持保障网络信息安全与促进信息化发展相协调、管理与技术统筹兼顾的原则，实行统一协调、分级管理、分工负责。网络安全和信息化工作应当同步规划、同步建设、同步实施、同步发展。

第四条【职责划分】民航各单位对本单位的网络信息安全负有主体责任，其主要负责人是本单位网络信息安全的第一责任人。民航各级行政管理机构负有监督管理责任。

第五条【责任追究制度】民航网络信息安全管理工作实行安全事件责任追究制度，依照有关法律、法规和规章，追究网络信息安全事件责任人的责任。

第二章职责与分工

第六条【民航局的职责】中国民用航空局（以下简称民航局）负责全行业网络信息安全工作的组织、指导和协调，履行下列职责：

（一）依照国家网络信息安全法律、法规和标准，编制行业网络信息安全发展战略和总体规划，制定民航网络信息安全规章、政策和标准，指导民航各单位开展网络信息安全工作；

（二）组织行业重大网络信息安全基础设施建设，研究解决涉及行业网络信息安全的重大事项；

（三）组织开展行业网络信息安全检查、风险评估和等级保护工作，开展行业网络信息安全培训；

（四）建立行业网络信息安全监测预警、信息通报和应急处置机制，制定行业网络信息安全应急预案，通报民航网络安全信息，调查处理行业重大网络信息安全事件；

（五）建立民航网络信息安全管理与测评机构和专家队伍。

第七条【民航地区管理局的职责】民航地区管理局负责辖区内民航网络信息安全监督管理工作，履行下列职责：

（一）依照国家和民航网络信息安全法律、法规、规章和标准，制定辖区内民航网络信息安全工作制度，指导辖区内民航各单位开展网络信息安全工

作；

（二）监督辖区内民航各单位网络安全规划和建设；

（三）实施网络信息安全年度检查以及重要保障时期的专项检查，组织开展辖区内的网络信息安全专项培训；

（四）建立辖区内民航网络信息安全事件应急机制和通报制度，向民航局通报辖区内民航各单位的网络信息安全信息，协助民航局调查处理辖区内的网络信息安全事件；

（五）对辖区内网络信息安全工作进行年度总结和讲评，对在网络信息安全保障工作中成绩显著和有突出贡献的单位和个人给于表彰；

（六）承办民航局交办的其他网络信息安全工作。

第八条【民航各单位的职责】民航各单位负责本单位的网络信息安全工作，履行下列职责：

（一）执行国家和民航行业网络信息安全法律、法规、规章与标准，编制网络信息安全规划，制定人员、资产、采购、外包、系统建设与运维、备份、应急等方面的网络信息安全管理制度；

（二）建立本单位网络信息安全管理部门，设置网络信息安全员专职岗位，落实网络信息安全责任制；

（三）采取技术措施和其他必要措施，保障网络信息安全，有效应对网络信息安全事件，防范违法犯罪活动；

（四）落实网络信息安全经费，建设和完善网络信息安全保障基础设施，开展网络安全等级保护、风险评估、安全自查、安全培训等工作，保护旅客信

息和生产数据安全，制定信息安全应急预案，定期开展应急演练；

（五）建立网络信息安全信息通报制度，配合民航行政管理机构进行网络信息安全检查和事件调查，对发现问题进行整改；

（六）承担民航行政管理机构部署的其他网络信息安全工作。

第三章网络运行安全与信息安全

第一节一般规定

第九条【安全教育培训】民航各单位应当建立网络信息安全培训制度，定期开展网络信息安全意识教育与网络信息设备安全操作基础培训，对系统建设、运维人员和网络信息安全从业人员进行专项技能培训。

第十条【等级保护定级与整改】民航各单位应当按照国家等级保护制度要求和技术标准，建立等级保护制度，组织开展信息系统定级工作，将定级结果和备案证明材料报送所在地民航行政管理机构。

民航各单位应当按照相应安全保护等级技术标准开展建设整改。新建信息系统或者信息系统发生重大变更时，应当首先确定信息系统的安全保护等级，并同步建设符合该安全保护等级要求的安全保护设施。

第十一条【风险评估和等级测评】民航各单位应当定期对信息系统安全状况开展风险评估。安全保护等级为第三级（含）以上的网络信息系统应当按照国家和行业有关规定进行等级保护测评；未达到安全保护等级要求的，应当进行整改。

实施等级保护测评的机构应当具备国家认可的信息安全等级保护测评资质。

第十二条【安全信息通报】民航各单位应当建立网络信息安全信息通报制度，开展信息通报工作，按照规定通报程序向民航行政管理机构报告有关情况，不得瞒报、缓报、谎报、迟报和推诿责任。

第十三条【信息系统资产管理】民航各单位应当建立信息系统资产管理制度，编制资产清单，明确资产管理责任部门与人员，定期对照资产清单对资产进行一致性检查并保留检查记录。

第十四条【采购管理】民航各单位应当选用符合国家有关规定、安全可控的信息技术产品和服务，采购的信息安全产品和服务应当经过国家认证。

第十五条【外包服务和远程技术服务管理】民航各单位应当建立网络信息技术外包服务和远程技术服务安全管理制度，需要外包服务或远程技术服务的，应当与提供者签订安全保密协议。

第十六条【经费保障】民航各单位应当建立网络信息安全经费保障制度，将网络信息安全经费纳入本单位年度财务预算，新建系统中网络信息安全建设经费的实际投入应当不低于系统建设总经费的15%。