个人网站网络安全管理核查

现在想做个草根站长也是不易呀！

上周，县网安大队的民警就联系我，说近期将对个人开办网站情况进行安全检查，要求我做好自查，并根据核查内容参照标准准备好相关材料。核查内容就是《公安机关互联网安全监督检查规定》，即公安部第151号令。

昨天，网安民警又电话通知，让我抽空去一趟网安大队，进行当面的网络安全管理工作核查。我连忙参照标准准备好了四份材料：

个人网站安全检查材料
网络安全管理制度
网络安全防范措施
网络安全事件应急预案

在个人材料中，我详细列出了自己的个人信息，联系方式，网站备案信息（包括工信部的 ICP 备号和公安部的公网安备号），服务器托管商，域名管理商，CDN加速提供商，网站程序制造商等详细资料。在几项制度中也明确列出了网络安全管理的机制，防范网络攻击的具体措施，及发生网络安全事件时的应急预案。

个人网站，只有一位作者，多数发布一些日常学习、生活、工作的所见所思，仅有的互动只有文章后的评论，而且还是需站长审核的，一般不太会被侵入篡改内容或发布违法信息。一旦有网络侵入发生，我们也可以迅速停止域名解析，切断访问，并通过服务器排查，查找问题所在，继而清理不良信息。

我的服务器是腾讯云的，域名管理是阿里云的，CDN加速是上海云盾，网站程序是WordPress（安全升级勤快的像女人换衣服），网络安全是有保障的。只要自己不头脑发热，发布一些敏感文章，个人网站总体是安全的，也是可以让网安大队的警察叔叔们放心的。

携带着准备好的材料到了网安大队，民警热情接待了我，并现场要求我登录网站后台，重点查看用户注册情况，他说只是自己发布，没有提供给他人发布权限还好些，不然要求更高。再是通过微信小程序”网安151号“，在核查通知上签上电子签名，然后还要在纸质通知书上签上大名，才算是完成了整个核查工作。

今年已经是第二次到网安大队了。没办法，今年的年份比较特殊，保证安全是必须的。听说有站长嫌麻烦，都关站了。老实说，在来的路上我也有类似的想法：如果核查比较麻烦，我就直接关站算了，真是烦不起。

之前网站 ICP 备案时，我就想打退堂鼓了，但对博客的热爱让自己坚持了下来。我总是在想，只要自己规规矩矩地写博客、做网站，国家也会保障我们的权益的。

附：《公安机关互联网安全监督检查规定》

中华人民共和国公安部令

第151号

《公安机关互联网安全监督检查规定》已经2018年9月5日公安部部长办公会议通过，现予发布，自2018年11月1日起施行。

部长　赵克志

2018年9月15日

公安机关互联网安全监督检查规定

第一章　总则

第一条　为规范公安机关互联网安全监督检查工作，预防网络违法犯罪，维护网络安全，保护公民、法人和其他组织合法权益，根据《中华人民共和国人民警察法》《中华人民共和国网络安全法》等有关法律、行政法规，制定本规定。

第二条　本规定适用于公安机关依法对互联网服务提供者和联网使用单位履行法律、行政法规规定的网络安全义务情况进行的安全监督检查。

第三条　互联网安全监督检查工作由县级以上地方人民政府公安机关网络安全保卫部门组织实施。

上级公安机关应当对下级公安机关开展互联网安全监督检查工作情况进行指导和监督。

第四条　公安机关开展互联网安全监督检查，应当遵循依法科学管理、保障和促进发展的方针，严格遵守法定权限和程序，不断改进执法方式，全面落实执法责任。

第五条　公安机关及其工作人员对履行互联网安全监督检查职责中知悉的个人信息、隐私、商业秘密和国家秘密，应当严格保密，不得泄露、出售或者非法向他人提供。

公安机关及其工作人员在履行互联网安全监督检查职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。

第六条　公安机关对互联网安全监督检查工作中发现的可能危害国家安全、公共安全、社会秩序的网络安全风险，应当及时通报有关主管部门和单位。

第七条　公安机关应当建立并落实互联网安全监督检查工作制度，自觉接受检查对象和人民群众的监督。

第二章　监督检查对象和内容

第八条　互联网安全监督检查由互联网服务提供者的网络服务运营机构和联网使用单位的网络管理机构所在地公安机关实施。互联网服务提供者为个人的，可以由其经常居住地公安机关实施。

第九条　公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况，对下列互联网服务提供者和联网使用单位开展监督检查：

（一）提供互联网接入、互联网数据中心、内容分发、域名服务的；

（二）提供互联网信息服务的；

（三）提供公共上网服务的；

（四）提供其他互联网服务的；

对开展前款规定的服务未满一年的，两年内曾发生过网络安全事件、违法犯罪案件的，或者因未履行法定网络安全义务被公安机关予以行政处罚的，应当开展重点监督检查。

第十条　公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况，依照国家有关规定和标准，对下列内容进行监督检查：

（一）是否办理联网单位备案手续，并报送接入单位和用户基本信息及其变更情况；

（二）是否制定并落实网络安全管理制度和操作规程，确定网络安全负责人；

（三）是否依法采取记录并留存用户注册信息和上网日志信息的技术措施；

（四）是否采取防范计算机病毒和网络攻击、网络侵入等技术措施；

（五）是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施；

（六）是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助；

（七）是否履行法律、行政法规规定的网络安全等级保护等义务。

第十一条　除本规定第十条所列内容外，公安机关还应当根据提供互联网服务的类型，对下列内容进行监督检查：

（一）对提供互联网接入服务的，监督检查是否记录并留存网络地址及分配使用情况；

（二）对提供互联网数据中心服务的，监督检查是否记录所提供的主机托管、主机租用和虚拟空间租用的用户信息；

（三）对提供互联网域名服务的，监督检查是否记录网络域名申请、变动信息，是否对违法域名依法采取处置措施；

（四）对提供互联网信息服务的，监督检查是否依法采取用户发布信息管理措施，是否对已发布或者传输的法律、行政法规禁止发布或者传输的信息依法采取处置措施，并保存相关记录；

（五）对提供互联网内容分发服务的，监督检查是否记录内容分发网络与内容源网络链接对应情况；

（六）对提供互联网公共上网服务的，监督检查是否采取符合国家标准的网络与信息安全保护技术措施。

第十二条　在国家重大网络安全保卫任务期间，对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位，公安机关可以对下列内容开展专项安全监督检查：

（一）是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员；

（二）是否组织开展网络安全风险评估，并采取相应风险管控措施堵塞网络安全漏洞隐患；

（三）是否制定网络安全应急处置预案并组织开展应急演练，应急处置相关设施是否完备有效；

（四）是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施；

（五）是否按照要求向公安机关报告网络安全防范措施及落实情况。

对防范恐怖袭击的重点目标的互联网安全监督检查，按照前款规定的内容执行。

第三章　监督检查程序

第十三条　公安机关开展互联网安全监督检查，可以采取现场监督检查或者远程检测的方式进行。

第十四条　公安机关开展互联网安全现场监督检查时，人民警察不得少于二人，并应当出示人民警察证和县级以上地方人民政府公安机关出具的监督检查通知书。

第十五条　公安机关开展互联网安全现场监督检查可以根据需要采取以下措施：

（一）进入营业场所、机房、工作场所；

（二）要求监督检查对象的负责人或者网络安全管理人员对监督检查事项作出说明；

（三）查阅、复制与互联网安全监督检查事项相关的信息；

（四）查看网络与信息安全保护技术措施运行情况。

第十六条　公安机关对互联网服务提供者和联网使用单位是否存在网络安全漏洞，可以开展远程检测。

公安机关开展远程检测，应当事先告知监督检查对象检查时间、检查范围等事项或者公开相关检查事项，不得干扰、破坏监督检查对象网络的正常运行。

第十七条　公安机关开展现场监督检查或者远程检测，可以委托具有相应技术能力的网络安全服务机构提供技术支持。

网络安全服务机构及其工作人员对工作中知悉的个人信息、隐私、商业秘密和国家秘密，应当严格保密，不得泄露、出售或者非法向他人提供。公安机关应当严格监督网络安全服务机构落实网络安全管理与保密责任。

第十八条　公安机关开展现场监督检查，应当制作监督检查记录，并由开展监督检查的人民警察和监督检查对象的负责人或者网络安全管理人员签名。监督检查对象负责人或者网络安全管理人员对监督检查记录有异议的，应当允许其作出说明；拒绝签名的，人民警察应当在监督检查记录中注明。

公安机关开展远程检测，应当制作监督检查记录，并由二名以上开展监督检查的人民警察在监督检查记录上签名。

委托网络安全服务机构提供技术支持的，技术支持人员应当一并在监督检查记录上签名。

第十九条　公安机关在互联网安全监督检查中，发现互联网服务提供者和联网使用单位存在网络安全风险隐患，应当督促指导其采取措施消除风险隐患，并在监督检查记录上注明；发现有违法行为，但情节轻微或者未造成后果的，应当责令其限期整改。

监督检查对象在整改期限届满前认为已经整改完毕的，可以向公安机关书面提出提前复查申请。

公安机关应当自整改期限届满或者收到监督检查对象提前复查申请之日起三个工作日内，对整改情况进行复查，并在复查结束后三个工作日内反馈复查结果。

第二十条　监督检查过程中收集的资料、制作的各类文书等材料，应当按照规定立卷存档。

第四章　法律责任

第二十一条　公安机关在互联网安全监督检查中，发现互联网服务提供者和联网使用单位有下列违法行为的，依法予以行政处罚：

（一）未制定并落实网络安全管理制度和操作规程，未确定网络安全负责人的，依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚；

（二）未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施的，依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚；

（三）未采取记录并留存用户注册信息和上网日志信息措施的，依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚；

（四）在提供互联网信息发布、即时通讯等服务中，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，依照《中华人民共和国网络安全法》第六十一条的规定予以处罚；

（五）在公共信息服务中对法律、行政法规禁止发布或者传输的信息未依法或者不按照公安机关的要求采取停止传输、消除等处置措施、保存有关记录的，依照《中华人民共和国网络安全法》第六十八条或者第六十九条第一项的规定予以处罚；

（六）拒不为公安机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助的，依照《中华人民共和国网络安全法》第六十九条第三项的规定予以处罚。

有前款第四至六项行为违反《中华人民共和国反恐怖主义法》规定的，依照《中华人民共和国反恐怖主义法》第八十四条或者第八十六条第一款的规定予以处罚。

第二十二条　公安机关在互联网安全监督检查中，发现互联网服务提供者和联网使用单位，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，依照《中华人民共和国网络安全法》第六十四条第二款的规定予以处罚。

第二十三条　公安机关在互联网安全监督检查中，发现互联网服务提供者和联网使用单位在提供的互联网服务中设置恶意程序的，依照《中华人民共和国网络安全法》第六十条第一项的规定予以处罚。

第二十四条　互联网服务提供者和联网使用单位拒绝、阻碍公安机关实施互联网安全监督检查的，依照《中华人民共和国网络安全法》第六十九条第二项的规定予以处罚；拒不配合反恐怖主义工作的，依照《中华人民共和国反恐怖主义法》第九十一条或者第九十二条的规定予以处罚。

第二十五条　受公安机关委托提供技术支持的网络安全服务机构及其工作人员，从事非法侵入监督检查对象网络、干扰监督检查对象网络正常功能、窃取网络数据等危害网络安全的活动的，依照《中华人民共和国网络安全法》第六十三条的规定予以处罚；窃取或者以其他非法方式获取、非法出售或者非法向他人提供在工作中获悉的个人信息的，依照《中华人民共和国网络安全法》第六十四条第二款的规定予以处罚，构成犯罪的，依法追究刑事责任。

前款规定的机构及人员侵犯监督检查对象的商业秘密，构成犯罪的，依法追究刑事责任。

第二十六条　公安机关及其工作人员在互联网安全监督检查工作中，玩忽职守、滥用职权、徇私舞弊的，对直接负责的主管人员和其他直接责任人员依法予以处分；构成犯罪的，依法追究刑事责任。

第二十七条　互联网服务提供者和联网使用单位违反本规定，构成违反治安管理行为的，依法予以治安管理处罚；构成犯罪的，依法追究刑事责任。

第五章　附则

第二十八条　对互联网上网服务营业场所的监督检查，按照《互联网上网服务营业场所管理条例》的有关规定执行。

第二十九条　本规定自2018年11月1日起施行。