DOC《互联网信息安全管理系统使用及运行维护管理办法（试行）》

第三章 运行维护要求 电信管理机构和企业应建立互联网信息安全管理系统运行维护管理和故障处理机制,对本系统的运行和对接情况进行7*24小时实时监测,发现系统故障及时修复. 如系统故障无法及时修复,造成或可能造成严重后果的,通信管理局应当及时报告工业和信息化部,企业应及时报告对接系统所属电信管理机构. 电信管理机构应根据本互联网信息安全管理系统运行实际情况,进行系统扩容、升级或改造. 企业应做到本互联网信息安全管理系统与其网络和业务发展同步扩容、升级或改造,确保系统对其网络和业务的全面覆盖.有关管理规定及通信行业标准变更时,企业应按要求完成企业系统扩容、升级或改造.企业应在系统扩容、升级或改造前5个工作日向对接系统所属电信管理机构报告. 电信管理机构和企业应确保系统的扩容、升级或改造不得妨碍其正常使用. 电信管理机构和企业应按照有关管理规定和通信行业标准对本互联网信息安全管理系统开展网络安全防护工作. 电信管理机构和企业应对本互联网信息安全管理系统工作人员依法依规实施权限管理,进行系统操作日志记录与定期审计,并保留至少6个月的操作日志与审计记录. 电信管理机构和企业应采取数据安全保护措施,防止用户数据、日志信息和任务信息等数据发生泄漏、毁损或者丢失. 发生或可能发生数据泄漏、毁损或者丢失的,电信管理机构或企业应及时采取补救措施.造成或可能造成严重后果的,通信管理局应当及时向工业和信息化部报告,企业应当及时向对接系统所属电信管理机构报告.

第四章 配套要求 电信管理机构和企业应确立本互联网信息安全管理系统的使用与运行维护责任部门和责任人. 通信管理局和企业应设立系统工作联系人,并分别向工业和信息化部和对接系统所属电信管理机构报告,工作联系人信息发生变化的,通信管理机构或企业应在5个工作日内重新报告. 电信管理机构和企业应对本互联网信息安全管理系统相关工作人员进行系统使用、运行维护、安全管理的培训. 通信管理局利用本省(区、市)省级系统对外提供协助服务的,应符合以下要求:

(一)不得超出法律法规、管理规定赋予的职责范围;

(二)与服务对象书面确定双方权利义务和安全责任;

(三)每年将对外服务情况(服务对象、方式、内容、时间等)报工业和信息化部备案;

(四)工业和信息化部要求的其他条件. 未经电信管理机构允许,企业不得利用本企业系统对外提供服务.

第五章 附则 通信管理局和企业应根据本办法制定省级系统和企业系统的使用及运行维护管理实施细则. 本办法所称有关管理规定和通信行业标准见附件. 本办法自发布之日起施行. 附件:1.《通信网络安全防护管理办法》(工业和信息 化部令第11号) 2.YDT 2248-2015《互联网数据中心和互联网接 入服务信息安全管理系统技术要求》 3.YDT 2405-2015《互联网数据中心和互联网接 入服务信息安全管理系统接口规范》 4.YDT 1729-2008《电信网和互联网安全等级保 护实施指南》 5.YDT 1730-2008《电信网和互联网安全等级保 护实施指南》 6.其他相关管理规定和通信行业标准