党委(党组)网络安全工作责任制实施办法
发布时间: 2022-09-09 09:52 来源:中共中央办公厅 作者:中共中央办公厅
(2017年8月15日中共中央批准
2017年8月15日中共中央办公厅发布)
第一条 为了进一步加强网络安全工作,明确和落实党委(党组)领导班子、领导干部网络安全责任,根据《中国共产党问责条例》、《中央网络安全和信息化委员会工作规则》等有关规定,制定本办法。
第二条 网络安全工作事关国家安全政权安全和经济社会发展。按照谁主管谁负责、属地管理的原则,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。
第三条 各级党委(党组)主要承担的网络安全责任是:
(一)认真贯彻落实党中央和习近平总书记关于网络安全工作的重要指示精神和决策部署,贯彻落实网络安全法律法规,明确本地区本部门网络安全的主要目标、基本要求、工作任务、保护措施;
(二)建立和落实网络安全责任制,把网络安全工作纳入重要议事日程,明确工作机构,加大人力、财力、物力的支持和保障力度;
(三)统一组织领导本地区本部门网络安全保护和重大事件处置工作,研究解决重要问题;
(四)采取有效措施,为公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动提供支持和保障;
(五)组织开展经常性网络安全宣传教育,采取多种方式培养网络安全人才,支持网络安全技术产业发展。
第四条 行业主管监管部门对本行业本领域的网络安全负指导监管责任。没有主管监管部门的,由所在地区负指导监管责任。
第一,《网络安全法》提出了“关键信息基础设施安全保护工作部门”,这个“工作部门”就是行业主管监管部门,与《实施办法》所指是一致的,其监督管理职责后来在法律中作了明确规定。
第二,无论行业主管监管部门如何“指导”和“监管”,都不改变行业内一个具体单位应当承担的网络安全责任。具体到这个单位,也依然是本单位党委(党组)负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。主管监管部门应当依法开展网络安全检查、处置网络安全事件,并及时将情况通报网络和信息系统所在地区网络安全和信息化领导机构。各地区开展网络安全检查、处置网络安全事件时,涉及重要行业的,应当会同相关主管监管部门进行。
第五条 各级网络安全和信息化领导机构应当加强和规范本地区本部门网络安全信息汇集、分析和研判工作,要求有关单位和机构及时报告网络安全信息,组织指导网络安全通报机构开展网络安全信息通报,统筹协调开展网络安全检查。
第六条 各地区各部门网络安全和信息化领导机构应当向中央网络安全和信息化委员会及时报告网络安全重大事项,包括出台涉及网安全的重要政策和制度措施等。
各地区各部门网络安全和信息化领导机构每年向中央网络安全和信息化委员会报告网络安全工作情况。
第七条 中央网络安全和信息化委员会办公室会同有关部门按照国家有关规定对网络安全先进集体予以表彰,对网络安全先进工作者予以表彰奖励。
以往很多文件中的“表彰、奖励”条款往往“蜻蜓点水”,其实重在处罚。但这一次不一样,中央网信办高度重视表彰制度的落实。前不久,人社部、中央网信办联合印发了《关于开展国家网络安全先进集体和先进个人评选表彰工作的通知》。这是一种重要荣誉,是我国网络安全历史上首次由官方对先进集体和先进工作者进行高级别表彰。
第八条 各级党委(党组)违反或者未能正确履行本办法所列职责,按照有关规定追究其相关责任。
有下列情形之一的,各级党委(党组)应当逐级倒查,追究当事人、网络安全负责人至主要负责人责任。协调监管不力的,还应当追究综合协调或监管部门负责人责任。
(一)党政机关门户网站、重点新闻网站、大型网络平台被攻击篡改,导致反动言论或者谣言等违法有害信息大面积扩散,且没有及时报告和组织处置的;
第一种主要涉及党政机关门户网站、重点新闻网站、大型网络平台被攻击篡改后导致反动言论或者谣言等违法有害信息大面积扩散的情况。需要注意,大型网络平台有可能位于商业领域,不一定位于体制内,因此,追责事项实际上还包括对综合协调或监管部门在事件报告和组织处置中的履职情况。
(二)地市级以上党政机关门户网站或者重点新闻网站受到攻击后没有及时组织处置,且瘫痪6小时以上的;
(三)发生国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的;
第三种主要涉及国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的情况。在《数据安全法》即将实施,国家加强数据安全监管背景下,这类情况需要引起更多注意。
(四)关键信息基础设施遭受网络攻击,没有及时处置导致大面积影响人民群众工作、生活,或者造成重大经济损失,或者造成严重不良社会影响的;
第四种主要涉及关键信息基础设施遭受网络攻击的情况。网络安全不是绝对的,不是不允许出事,但如果没有及时处置导致大面积影响人民群众工作、生活,或者造成重大经济损失,或者造成严重不良社会影响的,应当追责。我国正在建立关键信息基础设施保护制度,《关键信息基础设施安全保护条例》即将发布,故这类情况也需引起注意。
(五)封锁、瞒报网络安全事件情况,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的;
第五种主要涉及封锁、瞒报网络安全事件情况,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的情况。一些单位会认为,“封锁”或“瞒报”情况与其无关,但事实上各单位常常需要对通报的问题和风险进行整改,故这类情况并不鲜见。
(六)阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的;
第六种主要涉及阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的情况。
(七)发生其他严重危害网络安全行为的。
第九条 实施责任追究应当实事求是,分清集体责任和个人责任。追究集体责任时,领导班子主要负责人和主管网络安全的领导班子成员承担主要领导责任,参与相关工作决策的领导班子其他成员承担重要领导责任。
对领导班子、领导干部进行问责,应当由有管理权限的党组织依据有关规定实施。各级网络安全和信息化领导机构办公室可以向实施问责的党委(党组)、纪委(纪检组)提出问责建议。
《实施办法》特别指出,各级网络安全和信息化领导机构办公室可以向实施问责的党委(党组)、纪委(纪检组)提出问责建议。这是一种科学的制度设计,因为网信办本身没有权限代替其他单位的党委和纪委进行问责,
需要指出,问责不意味着代替免除刑事责任。涉嫌犯罪的,应当按程序移交司法机关处理。
第十条 各级党委(党组)应当建立网络安全责任制检查考核制度,完善健全考核机制,明确考核内容、方法、程序,考核结果送干部主管部门,作为对领导班子和有关领导干部综合考核评价的重要内容。
第十一条 各级审计机关在有关部门和单位的审计中,应当将网络安全建设和绩效纳入审计范围。
《实施办法》的出台意味着,今后我国将建立网络安全审计制度,由国家审计署对各单位的网络安全进行审计。这一“实招”将极大地提升各单位主要负责人对网络安全履职尽责的意愿,极大地增强网络安全监督管理手段,极大地释放网络安全市场空间。
第十二条 网络意识形态工作责任制按照《党委(党组)网络意识形态工作责任制实施细则》执行。涉密网络按照有关规定执行。
第十三条 本办法由中央网络安全和信息化委员会办公室负责解释。
解读:
第一,《网络安全法》提出了“关键信息基础设施安全保护工作部门”,这个“工作部门”就是行业主管监管部门,与《实施办法》所指是一致的,其监督管理职责后来在法律中作了明确规定。
第二,无论行业主管监管部门如何“指导”和“监管”,都不改变行业内一个具体单位应当承担的网络安全责任。具体到这个单位,也依然是本单位党委(党组)负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。
法律法规规定的是“网信部门”的职责,这特指“互联网信息办公室”的职责。作为网信委的办事机构,各地网信办有两个牌子,一个是网络安全和信息化委员会办公室,一个是互联网信息办公室。前者是党的序列,后者履行政府职能。法律法规不能规定党的机构的职责,所以法律法规中的“网信部门”均指“互联网信息办公室”。
