第一章总则

第一条为了加强广播电视行业网络安全监督与管理，落实网络安全责任，健全广播电视网络安全保障体系，根据《中华人民共和国网络安全法》等法律法规，制定本办法。

第二条本办法适用于各级广播电视主管部门及其直属单位以及中华人民共和国境内的广播电视、网络视听业务相关系统的网络安全监督、管理、防护工作。

涉密网络和信息系统的网络安全管理按照国家有关法律法规执行。

第三条广播电视网络安全工作应当以习近平新时代中国特色社会主义思想为指导，坚持和加强党的全面领导，增强“四个意识”，坚定“四个自信”，做到“两个维护”，坚持“谁主管谁负责、谁运营谁负责”的原则，以安全保发展，以发展促安全。

第四条国务院广播电视主管部门负责指导、监督、管理全行业网络安全工作，组织建立健全广播电视和网络视听网络安全保障体系，组织开展广播电视关键信息基础设施认定保护并督促落实相关安全保护责任，推动实施广播电视网络安全评估机制，健全行业网络安全责任追究机制。

县级以上地方人民政府广播电视主管部门负责指导、监督、管理本行政区域内的广播电视网络安全工作，配合上级广播电视主管部门开展有关工作。对于造成网络安全事件和不良影响、违反本办法规定等行为，以及监督检查中发现重大安全隐患的单位，按照属地管理职责对责任单位、责任人实施逐级追责或提出追究建议。

各级广播电视监测监管机构（以下简称“监测监管机构”）在本级广播电视主管部门的领导下，开展网络安全监测监管和信息通报预警、监督检查相关运营单位网络安全保障情况、推动实施网络安全评估机制等具体工作。

网络和信息系统运行使用单位（以下简称“运营单位”）承担本单位网络安全主体责任，负责落实广播电视主管部门有关要求，组织实施本单位网络安全保障工作。

第五条各级广播电视主管部门、监测监管机构、运营单位应当加强网络安全责任落实。各单位主要负责人是网络安全工作第一责任人，分管网络安全工作的负责人是直接责任人。

各单位应当加强本单位网络安全工作的统筹管理，把网络安全工作纳入重要议事日程，建立健全体制机制、编制完善制度预案，加强网络技术基础设施建设和网络安全新技术应用，提供人财物保障。单位主要负责人应当定期听取汇报，解决重大问题等。

各单位应当依据本办法建立网络安全工作考核奖惩制度。

第二章监督管理

第六条各级广播电视主管部门应当设立本级网络安全和信息化领导小组（以下简称“领导小组”），明确负责本辖区行业网络安全管理部门及工作职责，建立网络安全监测、预警、通报、上报、例会、检查、应急处置等工作机制。

第七条领导小组应当每年至少组织一次全体成员会议，每季度至少组织一次联络员会议，对近期网络安全形势进行通报分析，对重要工作进行部署。

第八条各级广播电视主管部门应当定期检查辖区内运营单位的网络安全责任制落实情况，根据需要组织专项检查、抽测抽查，对存在问题的单位，依法追究责任并督促整改。

第九条各级广播电视主管部门应当督促辖区内运营单位落实国家和行业网络安全等级保护有关要求，了解并掌握辖区内安全保护等级第二级及以上网络和信息系统的定级、备案、测评及整改情况。

第十条各级广播电视主管部门在重要保障期前应当组织技术力量，对辖区内重要网络和信息系统加强安全检查、检测。

第十一条各级广播电视主管部门应当编制本级网络安全事件应急预案，并根据预案建立工作机制，每年至少组织一次应急演练。

第十二条各级广播电视主管部门应当每年组织网络安全培训、检查、检测等，并将所需经费纳入年度预算。

第十三条各级广播电视主管部门应当指导监测监管机构建设本级网络安全监测预警和态势感知平台，并与上级行业相关系统以及同级网信、公安等部门有关系统对接，实时掌握本辖区相关网络和信息系统的网络安全情况，以及最新网络安全风险、威胁等。

第十四条各级广播电视主管部门应当建立网络安全信息通报制度，及时将发现的网络安全事件、风险、威胁等，通知辖区内相关单位，根据需要发布预警、组织应急处置。

第十五条各级广播电视主管部门应当建立由行业内外网络安全领域相关专家组织的专家组，必要时对网络安全趋势研判、事件处置、方案制定、专项规划、标准研究、网络安全审查等提供技术支持。

第十六条国务院广播电视主管部门应当指导本级监测监管机构建设广播电视网络安全综合管理系统，支持各级广播电视主管部门开展广播电视网络安全备案信息收集、审核、汇总。

第三章安全运行

第十七条运营单位应当落实网络安全保护责任，履行安全保护义务，建立完善本单位网络安全运行机制，设立专门部门负责本单位网络安全工作的组织、协调、运行维护和对外联络，明确各网络和信息系统的网络安全责任主体等。

第十八条运营单位应当落实国家网络安全等级保护制度和行业有关要求，并将网络和信息系统定级、备案、等级测评及建设整改情况报同级广播电视主管部门备案；其中从事网络视听节目服务的，中央直属单位报国务院广播电视主管部门备案，其他单位报所在地省、自治区、直辖市人民政府广播电视主管部门备案。

第十九条运营单位应当加强网络和信息系统的安全管控，采取下列措施防范网络攻击：

（一）严格控制机房和设备间的进出访问，加强安全监控和巡检，并保存相关记录，明保机房符合有关规定要求；

（二）按照最小权限的原则对网络进行分区分域管理，实施严格的设备系统接入和访问控制策略；

（三）为关键线路和设备配置冗余和灵活安全的切换机制，预防因单点故障导致重要网络和信息系统可用性收到破坏；

（四）遵循最小授权、最小安装原则，加强对主机账号、口令、应用、服务、端口安全管理，定期开展漏洞扫描和恶意代码检测，及时安装安全补丁，更新恶意代码库；

（五）加强业务应用系统的用户管理、认证管理和审计管理。安全保护等级第三级及以上网络和信息系统应当采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应当使用密码技术来实现；

（六）采取技术措施监测、记录、审计网络运行状态、网络行为和网络安全事件，并留存网络日志不少于六个月；

（七）避免网站和业务系统的后台管理相关页面和信息暴露在互联网，严格管控门户网站信息的发布；

（八）严格邮件系统用户注册审批和注销管理，严禁将工作邮件自动转发至私人或境外邮箱，加强安全意识教育；

（九）明确终端安全的使用和管理责任，定期开展针对终端的弱口令检查、病毒查杀、漏洞修补、操作行为管理和安全审计等工作；

（十）涉及大数据和公民信息的网络和信息系统应当加强对数据的保护；

（十一）其他防范网络攻击的有效措施。

第二十条运营单位应当编制本单位网络安全整体规划，并对安全整体规划及其配套文件的合理性和正确性进行论证。涉及安全保护等级第三级及以上网络和信息系统的安全整体规划及其配套文件，应当报同级广播电视主管部门备案；其中从事网络视听节目服务的，中央直属单位报国务院广播电视主管部门备案，其他单位报所在地省、自治区、直辖市人民政府广播电视主管部门备案。

第二十一条运营单位应当遵循“同步规划、同步建设、同步使用”的原则，新建信息化项目应当根据拟定的安全保护等级和与其他级别网络和信息系统的关系，编制网络安全保护方案，实现网络安全防护体系与主体工程同时规划、建设、验收和使用。

第二十二条新建安全保护等级第二级及以上网络和信息系统应当在网络安全等级保护测评通过后方可上线运行。上线运行后，应当自行或者委托具备资质的机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，发现问题及时整改。连通互联网的网络和信息系统还应当每年进行一次网络安全渗透测试。

第二十三条运营单位应当将安全保护等级第三级及以上网络和信息系统相关等保测评、检测评估、渗透测试情况和整改措施等，通过广播电视网络安全综合管理系统报国务院广播电视主管部门。

第二十四条运营单位应当建立包括业务、产品、服务的立项、开发、测试、验收、上线、运行、检修、维护、合作、外包、下线等环节在内的安全管理制度，确保产品、数据、业务等安全。

第二十五条运营单位应当建立本单位的网络安全监测系统，实时监测网络和信息系统的安全状态，对可能引发网络安全事件的信息进行收集、分析和判断，发现异常情况及时处置和报告。

第二十六条运营单位应当与属地公安机关及相关的安全服务提供商、内容分发网络（CDN）服务提供商、互联网接入服务提供商、网络及安全服务提供商等建立应急工作机制，发生网络安全事件时，各负其责，快速处置。

第二十七条运营单位应当采购、使用符合国家法律法规和标准要求的网络产品和服务，安全保护等级第三级及以上网络和信息系统应当积极应用安全可信的网络产品和服务。

第二十八条运营单位应当根据《中华人民共和国密码法》落实国产密码安全应用要求，安全保护等级第三级及以上网络和信息系统应当正确、有效采用密码技术进行保护，并使用经密码检测认证合格的密码产品和服务。

第二十九条重要保障期前，运营单位应当开展隐患排查，完善各项防范措施，并与相关单位部门建立协调联动机制；重要保障期间，重点部门、重要岗位应当建立24小时值班制度，加强网络安全状态监测。

第三十条运营单位应当根据行业网络安全事件应急预案和本单位网络和信息系统的实际情况，制定本单位网络安全事件应急处置预案，并根据网络安全风险及业务变化及时修订，定期组织开展应急演练。

第三十一条发生网络安全事件时，相关单位应当立即启动预案，采取有效措施，阻止有害信息传播，降低系统损害程度，尽快分析查找事件原因，对发现的问题尽快整改。如涉及攻击、破坏等违法犯罪，应当保护好相关数据、记录、资料和现场，于24小时以内向当地公安机关报案，配合调查取证，并立即按照《广播电视网络安全事件应急预案》要求报广播电视主管部门。

第三十二条发生网络安全事件的运营单位应当同步将网络安全事件现象、原因、受影响情况及整改措施，通过广播电视网络安全综合管理系统报国务院广播电视主管部门。

第三十三条运营单位应当配合广播电视主管部门建立完善相关工作机制，为监测监管提供必要的数据接口，为检查提供必要的资料、场地，按要求及时报送相关工作情况、数据报表、整改落实措施等。

第三十四条运营单位应当按照安全职责保障数据采集、传输、存储、处理、交换、共享和销毁等数据全生命周期安全，对广播电视相关工程基础数据、重要资源数据等重要数据进行容灾备份，对个人信息等敏感数据部署加密措施，遵循合法、正当、必要的原则进行数据收集和使用。

第三十五条运营单位应当定期对全体人员进行网络安全教育，对网络安全技术人员进行网络安全专业知识和技能培训，定期考核，考核合格后方可上岗。

第三十六条运营单位应当将网络安全建设、运行维护、教育培训、测试评估、监测预警、应急演练和处置等所需经费纳入年度预算。财务管理部门应当优先安排该类经费，保证各项工作顺利开展。

第三十七条从事网络视听节目服务的，在申请或续办《信息网络传播视听节目许可证》时，应当按照国务院广播电视主管部门有关要求提供与其业务相适应的网络安全评估材料，包括网络安全管理制度、保障措施、技术方案等情况。

第四章责任追究

第三十八条广播电视主管部门根据网络安全问题严重程度，提出限期整改、立即整改、下线整改等要求，并督促落实整改。相关运营单位应当评估、分析问题产生的原因，采取修补漏洞、系统升级、部署防护措施、完善管理制度等措施，进行限期整改，并按要求反馈整改结果。

第三十九条违反本办法规定，有下列情形之一的，由县级以上人民政府广播电视主管部门对责任单位、责任人进行提醒，责令整改：

（一）广播电视主管部门网络安全管理体制机制不健全，监管不力的；

（二）运营单位网络安全体制机制不健全；

（三）相关运营单位被通报存在安全隐患和漏洞，未按期整改的；

（四）相关运营单位存在安全隐患和漏洞，可能导致广播电视或网络视听重要数据或个人信息被窃取、泄露、篡改或毁损的；

（五）互联网应用系统（含直播网站、门户网站、官方微博等信息发布平台），存在安全隐患和漏洞，可能导致页面或信息被篡改或毁损的；

（六）关键信息基础设施运营单位运行的其他网络和信息系统存在安全隐患，对关键信息基础设施运行安全造成威胁的；

（七）未履行本办法第二、三章相关规定，或存在其他危害网络安全行为，情节较轻的。

第四十条违反本办法规定，有下列情形之一的，由县级以上人民政府广播电视主管部门对责任单位主要负责人或分管网络安全工作的负责人进行警示约谈：

（一）关键信息基础设施遭受较大影响，造成系统整体中断15分钟以上，或主要功能故障1小时以上的；

（二）广播电视相关系统遭受较大影响，造成覆盖全国的节目中断30分钟以上，或覆盖1个省的节目中断1小时以上，并产生不良影响的；

（三）广播电视党政机关门户网站或网络视听相关网站、平台等被攻击篡改，导致反动言论或谣言等违法有害信息在主页上出现的；

（四）地市级以上广播电视党政机关门户网站或网络视听相关网站、平台等收到攻击，导致6小时以上不能访问的；

（五）行业重要敏感信息和关键数据批量丢失或被窃取、篡改、假冒，对党和国家舆论宣传、社会秩序或公众利益构成较大威胁的；

（六）造成较大经济损失的；

（七）发生其他网络安全事件未及时处置，对党和国家舆论宣传、社会秩序或公众利益构成较严重威胁、造成较严重影响的；

（八）责令整改事项未按期整改，或年度内责令整改事项反复发生的；

（九）未履行本办法第二、三章相关规定，或存在其他危害网络安全行为，情节较重的。

第四十一条违反本办法规定，有下列情形之一的，由县级以上人民政府广播电视主管部门对责任单位和相关责任人进行通报批评：

（一）关键信息基础设施遭受严重影响，造成系统整体中断30分钟以上，或主要功能故障2小时以上的；

（二）广播电视相关系统遭受严重影响，造成覆盖全国的节目中断1小时以上，并产生恶劣社会影响的；

（三）广播电视党政机关门户网站或网络视听相关网站、平台等被攻击篡改，导致反动言论或谣言等违法有害信息大范围传播的；

（四）省级以上广播电视党政机关门户网站或网络视听相关网站、平台等收到攻击，导致6小时以上不能访问的；

（五）行业重要敏感信息和关键数据批量丢失或被窃取、篡改、假冒，对党和国家舆论宣传、社会秩序或公众利益构成严重威胁的；

（六）造成重大经济损失的；

（七）发生其他网络安全事件未及时处置，对党和国家舆论宣传、社会秩序或公公利益构成严重威胁、造成严重影响的；

（八）警示约谈事项未按期整改，或年度内警示约谈事项反复发生的；

（九）未履行本办法第二、三章相关规定，或存在其他危害网络安全行为，情节严重的。

第四十二条违反本办法规定，有下列情形之一的，由国务院广播电视主管部门对责任单位和相关责任人进行通报批评，并可建议责任单位依法追究相关责任人责任：

（一）关键信息基础设施遭受特别严重影响，造成系统大面积瘫痪，丧失业务处理能力，并产生恶劣社会影响的；

（二）行业重要敏感信息和关键数据批量丢失或被窃取、篡改、假冒，对党和国家舆论宣传、社会秩序或公众利益构成特别严重威胁的；

（三）造成特别重大经济损失的；

（四）发生其他网络安全事件未及时处置，对党和国家舆论宣传、社会秩序或公众利益构成特别严重威胁、造成特别严重影响的；

（五）被通报批评事项未按期整改，或年度内被通报批评事项反复发生的；

（六）封锁、瞒报网络安全事件情况，拒不配合有关部门依法开展调查、处置工作，或者对有关部门通报的问题和风险漏洞不及时整改并造成严重后果的；

（七）阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动，或者拒不提供支持和保障的。

第五章附则

第四十三条本办法所称“重要保障期”是指县级以上广播电视主管部门确定的安全播出重要保障期。所称“以上”、“以内”，包括本数。

第四十四条本办法第四十一条第（三）项所称“大范围传播”是指：

1.在主页上出现并持续1小时以上，或在其他页面出现并持续10小时以上的；

2.通过社交平台转发1万次以上的；

3.浏览量10万人次以上的。

第四十五条本办法自发布之日起施行。