《网络安全保障经费管理细则（试行）》

《网络安全保障经费管理细则（试行）》一、总则（一）制定目的与依据为深入贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及关键信息基础设施安全保护相关法律法规，切实保障本单位网络与信息系统安全稳定运行，规范网络安全保障经费的管理与使用，提高资金使用效益，构建科学、规范、高效的网络安全经费保障体系，结合本单位实际情况，特制定本细则。（二）适用范围本细则适用于本单位各部门、各分支机构以及所属全资、控股企业（以下统称“各部门”）的所有网络安全保障经费管理活动。凡涉及网络安全建设、运维、整改、应急、培训及采购等相关费用的预算、申请、审批、使用、报销及核算等环节，均须遵循本细则规定。（三）基本原则1.依法合规原则：经费管理必须严格遵守国家财经法律法规、财务管理制度及网络安全相关标准规范，确保资金来源合法、使用合规。2.统筹规划原则：网络安全经费应纳入本单位年度财务预算统一管理，根据网络安全整体战略规划、风险评估结果及合规性要求进行统筹安排，确保重点领域投入。3.专款专用原则：网络安全经费必须用于指定的网络安全项目与活动，不得截留、挤占、挪用或擅自改变资金用途，严禁将网络安全经费用于与网络安全无关的支出。4.效益优先原则：坚持成本效益分析，优先保障能够显著降低网络安全风险、提升安全防护能力的项目，力求以合理的投入获取最大的安全价值。5.动态调整原则：根据网络安全威胁形势变化、业务发展需求及技术演进情况，建立经费预算的动态调整机制，确保安全投入的适应性。（四）经费定义本细则所称网络安全保障经费，是指为保障网络基础设施、信息系统、数据资产及业务应用的机密性、完整性和可用性而投入的各项资金，包括但不限于安全建设费、安全运维费、安全整改费、安全服务费、应急响应费、教育培训费及保险费等。二、组织机构与职责分工（一）网络安全与信息化领导小组网络安全与信息化领导小组是网络安全经费管理的决策机构，主要职责包括：1.审定本单位网络安全经费年度预算方案和重大调整方案。2.审批重大网络安全项目的经费立项及资金安排。3.协调解决经费管理中的重大问题和跨部门资源配置冲突。4.监督网络安全经费的整体使用情况及绩效评价结果。（二）财务部门财务部门是网络安全经费的归口管理部门，主要职责包括：1.组织编制和下达年度网络安全经费预算控制数。2.负责经费的会计核算、资金支付、账务管理及财务监督。3.审核经费支出的合规性、票据的真实性及审批手续的完整性。4.配合开展网络安全经费的绩效评价与审计工作。5.建立网络安全经费辅助账，对相关费用进行单独核算或标识。（三）网络安全管理部门网络安全管理部门（或指定专职部门）是经费使用的执行管理部门，主要职责包括：1.根据网络安全年度工作计划和风险评估报告，提出经费需求预算。2.制定经费使用实施方案，细化预算分配至具体项目。3.负责经费使用过程中的技术论证、项目验收及效果评估。4.对经费支出的真实性和相关性进行初审，确保符合技术规范。5.定期向领导小组汇报经费执行进度及使用效益。（四）业务部门各业务部门是网络安全经费的协同使用单位，主要职责包括：1.根据本部门业务系统的安全需求，提出具体的经费申请。2.配合网络安全管理部门实施相关安全项目，落实项目资金执行。3.确保本部门使用的网络安全资产（如硬件、软件授权）得到有效管理。三、经费预算编制与核定（一）预算编制依据预算编制应当基于以下依据进行科学测算：1.国家及行业网络安全法律法规、标准规范及合规性检查要求。2.本单位网络安全总体战略规划、年度工作计划及信息化建设重点。3.年度网络安全风险评估报告、漏洞扫描结果及渗透测试报告。4.上年度经费执行情况、绩效评价结果及历史数据。5.现有安全资产状况、设备折旧情况及即将到期的服务合同。（二）预算编制内容网络安全经费预算应按照功能和经济分类进行细化，主要包括以下类别：1.安全建设与升级改造费：包括防火墙、入侵检测/防御系统、WAF、堡垒机、数据库审计、防病毒系统、终端安全管理、数据防泄漏、密钥管理、态势感知平台等安全硬件及软件的采购、部署与升级费用。2.安全运维与服务费：包括日常安全监控、日志分析、漏洞修补、策略优化、设备维保、安全巡检等费用。3.安全专项服务费：包括等级保护测评与整改、风险评估、渗透测试、代码审计、应急响应演练、安全咨询、红蓝对抗测试等第三方专业服务费用。4.安全培训与意识教育费：包括安全技能培训、CISA/CISSP等专业认证培训、全员安全意识宣传、phishing邮件演练、安全竞赛等活动费用。5.数据安全与隐私保护费：包括数据脱敏、数据加密、隐私合规评估、数据备份与恢复系统建设等相关费用。6.应急响应专项费：包括为应对突发网络安全事件而预留的应急资金，用于购买临时应急服务、应急工具及系统抢修。7.网络安全保险费：为转移残余风险而购买网络安全保险产品的费用。（三）预算编制流程1.需求申报：每年第三季度，网络安全管理部门组织各部门申报下一年度网络安全经费需求，填写《网络安全经费预算申报表》，并提供详细的测算依据和项目说明书。2.汇总审核：网络安全管理部门对各部门申报的需求进行技术审核和汇总，结合风险评估结果进行优先级排序，形成初步预算方案。3.财务复审：财务部门对初步预算方案进行财务合规性审核，审核标准是否符合定员定额标准，是否存在重复申报。4.审批下达：预算方案经网络安全与信息化领导小组审议通过后，纳入本单位年度财务总预算，由财务部门正式下达。（四）预算调整机制预算一经批准，原则上不予调整。发生下列特殊情况之一，确需调整预算的，应按照规定程序报批：1.国家或行业网络安全法律法规发生重大变化，导致合规性需求剧增。2.发生重大突发网络安全事件，需立即投入资金进行处置。3.上级主管部门或监管机构下达紧急安全整改任务。4.业务架构发生重大调整，导致原安全防护方案不再适用。预算调整申请需详细说明调整原因、调整金额及对原计划的影响，经网络安全管理部门审核、财务部门复审后，报领导小组审批。四、经费使用范围与标准（一）禁止列支范围网络安全经费严禁用于以下支出：1.与网络安全无关的通用IT设备采购（如普通PC、打印机）。2.非安全类的业务系统功能开发费用。3.违规发放的津贴、补贴及奖金。4.各种罚款、赞助、捐赠支出。5.其他违反财经纪律及本细则规定的支出。（二）分类支出标准1.硬件资产采购：必须符合固定资产管理规定，单价及总价达到招标采购标准的，必须严格执行公开招标、竞争性谈判等采购程序。对于关键安全设备，应选用通过国家相关认证（如计算机信息系统安全专用产品销售许可证）的产品。2.软件及服务采购：软件授权及服务费用原则上不得超过合同总金额的30%（按年度摊销）。对于核心安全服务（如等保测评、渗透测试），必须选择具备相应资质（如CCRC信息安全服务资质）的供应商。3.差旅费：因网络安全工作需要产生的差旅费，参照本单位差旅费管理办法执行，必须在报销凭证中注明具体的安全项目名称。4.会议费及培训费：举办网络安全会议或培训，应编制详细的费用预算，严格控制参会人数及会议天数，费用标准参照本单位相关会议费、培训费管理规定执行。（三）经费分配比例建议为优化投入结构，建议年度网络安全经费分配参考以下比例结构（可根据实际情况浮动）：经费类别建议占比说明预防性投入（建设与运维）60%-70%包括软硬件采购、日常监控、维保等，重点在于构建防御体系。检测与响应投入（服务与应急）20%-30%包括测评、渗透测试、代码审计、应急响应服务等，用于发现和处置问题。管理与培训投入10%-15%包括制度建设、人员培训、意识教育等，提升管理水平和人员能力。五、经费审批与支付流程（一）分级审批权限建立严格的经费审批授权体系，根据支出金额大小划分审批权限：支出金额审批流程责任人5,000元（含）以下网络安全管理部门负责人审核->财务部门负责人审批部门负责人5,000元-20,000元（含）网络安全管理部门负责人审核->财务部门负责人复审->分管领导审批分管领导20,000元-100,000元（含）网络安全管理部门负责人审核->财务部门负责人复审->分管领导审核->主要负责人审批主要负责人100,000元以上网络安全管理部门负责人审核->财务部门负责人复审->分管领导审核->主要负责人审批->网络安全领导小组组长审批领导小组组长（二）项目立项审批对于单次支出超过10万元的安全项目（如采购态势感知系统、大规模渗透测试服务等），必须先进行立项审批：1.提交《网络安全项目立项申请书》，附可行性研究报告、技术方案及预算明细。2.网络安全管理部门组织技术专家组进行论证，出具论证意见。3.通过论证后，按上述分级审批权限进行立项审批。4.立项批准后，方可进入采购或实施阶段。（三）支付申请与审核1.申请：经费使用部门填写《经费支付申请单》，附合同、发票、验收单（或进度确认单）、招投标文件（如有）等原始凭证。2.审核：业务审核：网络安全管理部门审核项目实施进度、技术指标达成情况及付款节点是否符合合同约定。财务审核：财务部门审核发票真伪、金额准确性、预算执行进度及资金支付方式。3.支付：财务部门根据最终审批意见，办理资金支付手续。原则上采用银行转账或公务卡结算，严格控制现金支付。（四）预付款与质保金管理1.预付款支付：预付款比例不得超过合同金额的30%，特殊项目需超比例支付的，须经领导小组组长特批。预付款必须在合同生效后，具备实施条件时支付。2.进度款支付：根据项目实际进度分期支付，累计付款比例不得超过合同总金额的80%（不含预付款），且需经阶段性验收合格。3.尾款与质保金：项目必须通过最终验收合格后方可支付尾款。硬件采购项目原则上预留不低于5%的金额作为质量保证金，在质保期满无质量问题后予以退还。六、资产管理与采购控制（一）安全资产登记利用网络安全经费购置的硬件、软件及形成的无形资产，均属于本单位资产，必须纳入资产管理系统统一管理。1.硬件资产：财务部门凭固定资产入库单、发票进行账务处理，建立固定资产卡片。使用部门负责实物管理，确保账实相符。2.软件资产：对于购买的商业软件授权，应建立软件资产台账，记录授权数量、期限、激活码等信息，防止资产流失。（二）采购过程控制1.供应商管理：建立网络安全服务供应商库，对供应商进行资质审查、信用评价和动态管理。优先选择在行业内具有较高声誉、具备国家级服务资质的供应商。2.采购方式：达到公开招标数额标准的项目，必须采用公开招标方式；未达到标准的，可采用竞争性谈判、询价或单一来源采购（需公示）。严禁拆分项目规避招标。3.安全保密：在采购合同中必须明确供应商的安全保密义务，要求其签署保密协议，不得泄露在服务过程中接触到的本单位任何敏感信息。（三）库存与闲置管理定期对网络安全设备进行清查盘点。对于因技术升级、系统下线等原因闲置的安全设备，应及时进行资产处置。处置收益应实行“收支两条线”管理，按规定上缴财务部门，不得截留挪用。七、绩效评价与审计监督（一）绩效评价机制建立全过程预算绩效管理机制，实现“预算编制有目标、预算执行有监控、项目完成有评价、评价结果有应用”。1.评价指标设定：设定科学、可量化的绩效评价指标，包括但不限于：产出指标：安全设备覆盖率、漏洞修复率、等保测评通过率、应急演练次数、培训覆盖率。效益指标：安全事件发生次数下降率、系统平均恢复时间（MTTR）缩短率、数据泄露风险降低程度。满意度指标：业务部门对安全服务的满意度。2.评价实施：预算年度结束后，网络安全管理部门会同财务部门，对重点项目开展绩效自评。必要时，可引入第三方机构进行独立评价。3.结果应用：绩效评价结果作为以后年度预算安排、完善政策和改进管理的重要依据。对于绩效低下的项目，将削减或取消其后续预算。（二）监督检查1.日常监督：财务部门和网络安全管理部门应定期对经费使用情况进行抽查，重点关注支出进度、资金用途及审批手续。2.专项审计：内部审计部门应定期对网络安全经费的管理使用情况进行专项审计，审计内容包括预算编制的科学性、执行的合规性、资金使用的效益性及资产管理的规范性。3.审计报告：审计结束后应出具审计报告，对发现的问题提出整改意见。被审计部门必须在规定时间内完成整改，并向审计部门反馈整改结果。（三）违规处理对于违反本细则规定，有下列行为之一的，责令限期整改，并视情节轻重追究相关责任人员的行政责任；构成犯罪的，依法移交司法机关处理：1.未按规定程序编制、审批预算，擅自调整预算的。2.虚报、冒领、截留、挪用、侵占网络安全经费的。3.伪造、变造、隐匿合同、发票等凭证套取资金的。4.未经批准，擅自改变资金用途，将经费用于非网络安全领域的。5.因管理不善，造成网络安全资产严重流失或浪费的。6.拒绝、阻碍监督检查或弄虚作假，隐瞒事实真相的。八、应急经费管理（一）应急经费定义应急经费是指在发生或可能发生重大网络安全突发事件（如勒索病毒感染、核心数据泄露、大规模DDoS攻击等），且现有年度预算不足以支撑应急处置工作时，为快速恢复系统运行、控制损失扩大而设立的专项备用资金。（二）提取与管理1.预留机制：财务部门应在年度总预算中预留一定额度的机动资金，或设立网络安全应急专项基金，建议额度为年度网络安全