澳门《网络安全管理基准规范》

澳门《网络安全管理基准规范》澳门特别行政区《网络安全管理基准规范》适用于在澳门境内运营网络服务、管理关键信息基础设施（CII）及处理重要数据的组织与个人，包括政府部门、企业、非营利机构及提供公共服务的网络运营者。规范以“风险导向、分级保护、责任明确、持续改进”为基本原则，要求网络运营者根据自身业务性质、数据敏感程度及潜在安全风险，实施差异化的安全防护措施。网络运营者的法定代表人或主要负责人为网络安全第一责任人，需直接领导网络安全管理工作，确保资源投入与制度落实。应设立网络安全管理岗位，由具备专业资质的人员担任负责人，统筹协调安全策略制定、风险评估、事件响应等工作。规模以上运营者（如用户数超10万或关键信息基础设施运营者）需组建专职网络安全团队，成员应通过澳门特区认可的网络安全培训并取得资质，团队规模与业务风险等级匹配。技术防护要求涵盖网络边界、访问控制、数据安全、日志审计、漏洞管理及容灾备份六大核心领域。网络边界需部署符合澳门网络安全标准的防火墙、入侵检测/防御系统（IDS/IPS），实现内外网隔离，关键区域（如数据中心、用户信息数据库）需设置双重边界防护。访问控制严格遵循最小权限原则，用户权限需根据岗位职能动态调整，管理员账户须启用多因素认证（MFA），包括密码+短信验证码或硬件令牌；普通用户涉及敏感操作（如财务支付、数据导出）时，需额外验证身份。数据安全方面，运营者需对数据进行分类分级（分为绝密、机密、敏感、公开四级），绝密级数据仅限加密存储于本地物理隔离环境，传输时使用国密SM4或AES256算法；机密级数据需加密存储，传输采用TLS1.3及以上协议；敏感级数据需脱敏处理后存储，跨域传输需经安全网关审核。日志与审计要求覆盖所有网络设备、应用系统及用户终端，日志内容需包含源IP地址、操作时间、用户ID、操作类型、访问对象等详细字段，存储周期不少于六个月，重要系统日志需同步至独立审计服务器，禁止篡改或删除。漏洞管理实行“发现评估修复验证”闭环流程，每月至少开展一次自动化漏洞扫描，高危漏洞（CVSS评分≥7.0）需在72小时内修复，中危漏洞（4.0≤CVSS<7.0）需在15个工作日内修复，修复前需采取临时防护措施（如访问限制、功能禁用）。容灾备份要求关键业务系统及数据每日增量备份、每周全量备份，备份数据需存储于澳门境内不同物理区域的安全介质，重要系统（如金融、医疗、公共服务）需实现异地实时备份，确保故障后业务恢复时间（RTO）不超过2小时，数据恢复点（RPO）不超过15分钟。管理措施包括制度建设、人员安全、第三方合作及事件响应四方面。运营者需制定并定期更新《网络安全管理制度》，明确安全目标、责任分工、操作流程及违规处理机制，制度需经第一责任人审批并向全体员工公示。人员安全管理要求新入职网络安全相关岗位人员需通过背景审查（含无犯罪记录、无网络安全违规记录），全员每年接受至少8小时网络安全培训（内容涵盖法规解读、安全意识、应急处置等），离职人员权限需在24小时内回收，核心岗位实行强制轮岗（每2年至少一次）。第三方合作方面，与外部服务提供商（如云服务商、数据处理商）签订合同时，需明确安全责任条款，要求其符合本规范同等防护标准；对涉及敏感数据处理的第三方，需提前开展安全评估（包括技术能力、历史安全事件、合规记录），评估结果存档备查，合作期间每季度进行一次安全检查。事件响应要求制定《网络安全事件应急预案》，明确事件分级（特别重大、重大、较大、一般）及处置流程，发生较大及以上事件（如数据泄露超10万条、关键业务中断超4小时）需在24小时内向澳门特区网络安全监管部门报告；每年至少组织一次全流程应急演练（包括系统攻击模拟、数据恢复、媒体沟通等环节），演练记录及改进措施需留存三年。合规评估采用“内部自查+外部审计”双轨制。运营者每半年开展一次全面自查，重点检查技术措施有效性、管理制度执行情况及安全事件处理记录，形成自查报告并由第一责任人签字确认。每年需委托澳门特区认可的第三方安全评估机构进行审计，审计内容