为适应新时代网络安全发展要求，进一步规范和完善新疆民航网络安全管理工作，提升新疆民航网络安全防护能力，保障行业运行安全与数据安全，民航新疆管理局对《民航新疆网络安全管理暂行办法》（新管局发〔2019〕30号）进行了修订，修订后的名称为《新疆民航网络安全管理办法》（以下简称为《办法》）。本次修订后的《办法》进行了大幅度的完善与扩充，条款数量增至75条，章节结构更为优化，逻辑体系更加严密。修订后的《办法》解读说明如下：

　　一、优化整体结构，明确职责分工

　　一是调整结构。将原分散于各章节的“安全检查”相关内容，整合为独立的“网络安全监督检查”章节。修订后的办法共分为总则、职责与分工、网络安全一般规定、等级保护、关键信息基础设施保护、网络安全信息管理、网络安全监督检查、应急管理、附则等九个章节，形成了预防、监督、响应的完整管理闭环，逻辑链条更加清晰。

　　二是压实责任。在总则部分（第四条）明确提出“辖区单位对本单位的网络安全负主体责任，其主要负责人是本单位网络安全的第一责任人”。此项修订将领导责任法定化、具体化，从根本上推动网络安全工作从技术部门负责向“一把手”工程转变，确保资源调配和决策力度。

　　三是细化职责。对管理局、监管局、辖区单位等各方职责进行了重新梳理与界定。明确管理局侧重于辖区内规章标准制定、规划监督、重大检查与应急协调；监管局侧重于本辖区日常监督检查、信息收集与初步事件处置；辖区单位则聚焦于内部制度建立、技术措施落实、日常运维与应急执行。分工更明确，避免了监管重叠与责任真空。

　　二、新增“网络安全一般规定”章节

　　本章节为全新增加内容，旨在构建覆盖网络安全全生命周期、全要素的基础管理制度体系，解决了原《办法》在基础管理要求上较为零散、不系统的问题。

　　一是制度更为体系。要求建立健全涵盖人员、资产、采购、外包、建设运维、备份、应急等（第八条）的系列制度，实现管理活动的规范化、标准化。

　　二是过程更加精细。对关键管理环节提出具体控制要求。例如，建立资产清单与定期核对制度（第九条），确保管理对象清晰；规范系统接入、访问控制、变更、移动设备与无线接入的审批与审计流程（第十四、十五、十六、十七条），控制入口风险；强调机房安全、服务器安全、终端管控、移动介质管理（第十三、十九、二十、二十一条），保障运行环境安全。

　　三是要求更加具体。明确了网络安全经费占比不低于新建系统总投入15%的刚性要求（第十二条），为民航关键业务系统安全投入提供了量化依据；对公共无线网络服务（第十八条）提出了身份认证、行为审计及与内网物理隔离的明确防护要求，回应了旅客服务中的隐私与安全风险。

　　三、强化“等级保护”管理要求

　　本章节在遵循国家等级保护制度基础上，结合民航行业特点，对实施流程与标准进行了深化和细化。

　　一是明确了原则与流程。明确了“自主定级、自主保护、重点保护、同步建设、动态调整”的原则（第三十三条）。详细规定了定级步骤，特别是引入专家评审环节并明确专家组构成要求（第三十五条），提升了定级工作的科学性与权威性。

　　二是规范了防护与测评。强调三级以上系统需符合“一个中心、三重防护”的技防体系架构（第三十七条），明确了二至五级系统的测评周期（第三十八条），使防护建设和定期评估有据可依。同时，严格了测评机构资质要求，与国家认可的测评资质挂钩。

　　三是强化了闭环管理。增加了对整改环节的备案与监督要求（第三十九条），形成定级、备案、建设、测评、整改、监督的完整管理闭环，确保问题切实得到解决。

　　四、细化“关键信息基础设施”保护措施

　　紧密结合《关键信息基础设施安全保护条例》，将国家对关键信息基础设施的特别保护要求转化为新疆民航领域的操作性规定。

　　一是认定与管理动态化。明确了管理局在认定和动态重新认定中的组织职责，以及运营者的报告义务（第四十、四十一条），确保保护对象准确、及时更新。

　　二是机构与责任专门化。强制性要求设置“专门安全管理机构”，并详细列出其八项具体职责（第四十三、四十四条），使其成为运营者关键信息基础设施安全保护的实体化责任中心和运作核心。同时，强调运营者要并保障该机构的经费、人员及决策参与权（第四十五条）。

　　三是全链条安全可控。从计划（第四十六条，年度保护计划）、采购（第四十七条，安全审查；第四十八条，保密协议）、运维（第四十九条，年度检测评估）、到终止（第五十条，合并分立解散处置）等各个环节，均设置了针对性的安全管控要求，实现了对关键信息基础设施安全活动的全覆盖、强约束。

　　五、完善“网络安全信息管理”规定

　　本章整合并强化了网络信息内容安全与个人信息、重要数据安全保护。

　　一是延续与强化了内容安全管理。完整保留了针对新疆地区特殊情况制定的网络信息内容禁止性行为清单（第五十一条），并新增要求建立互联网信息发布审核制度（第五十二条），体现了在意识形态和反恐维稳领域的严格要求。

　　二是系统化个人信息的保护。依据《个人信息保护法》，系统梳理了个人信息处理的全链条义务，包括最小必要原则（第五十四条）、告知同意原则（第五十五条）、禁止滥用原则（第五十六条）、安全防护与事件处置要求（第五十七条），构建了符合国家法律标准的个人信息保护合规框架。

　　三是重要数据与共享安全管理。并新增生产运营信息共享的安全管理制度要求（第五十八条），要求通过协议明确共享各方的安全责任，规范了行业数据共享利用中的安全边界。明确重要数据境内存储原则（第五十九条）。

　　六、规范“监督检查”与“应急管理”

　　一是建立监督检查制度。将检查工作明确为“年度检查和专项检查制度”（第六十条），纳入年度行政检查计划。规范了检查程序、结果处理（第六十二条、六十三条）和整改反馈（第六十四条）流程，明确了网络安全监察员的法定职责（第六十六条），使监管行为更加规范、有力。

　　二是建立跨部门协同机制。新增条款（第六十一条）要求与地方网信、公安等部门建立工作协同、信息共享和跨部门协作机制，改变了以往可能存在的条块分割状态，有助于形成网络安全治理合力。

　　三是应急管理独立成章。新增“应急管理”章节，要求设立或指定应急管理机构（第六十八条），制定并定期演练预案（第六十九条），建立外部应急协调机制（七十条），并明确了事件处置的依据和流程（第七十一、七十二条）。使网络安全应急工作成为一项需要独立组织体系、资源保障和规范流程的重要职能。

　　七、保障与罚则完善

　　法律责任衔接明确，新增条款（附则第七十三条）明确了辖区单位的违法行为，将直接依据《中华人民共和国网络安全法》等上位法进行处罚，使《办法》的强制力与上位法紧密挂钩，提升了办法的严肃性和威慑力。同时明确解释权归属，更新了施行日期（第七十四条、七十七五）。