摘要：下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

《公共场所视听网络安全保护要求》山西省级地方标准已于2025年3月31日正式实施。

1、范围

本文件规定了公共场所视听网络安全保护的术语和定义、基本要求、技术要求和管理要求。

本文件适用于公共场所视听网络安全保护工作。

2、规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB 17859 计算机信息系统安全保护等级划分准则

GB/T 22239 信息安全技术 网络安全等级保护基本要求

GB/T 22240 信息安全技术 网络安全等级保护定级指南

GB/T 25069 信息安全技术 术语

GB/T 25070 信息安全技术 网络安全等级保护安全设计技术要求

3、术语和定义

GB 17859、GB/T 22239、GB/T 25069和GB/T 25070界定的以及下列术语和定义适用于本文件。

3.1 公共场所视听网络

在公共交通运载工具、机场、车站、广场、商场（商铺）、宾馆、银行、医院、楼宇及户外等公共场所，由计算机或其他信息终端及相关设备组成，通过电子显示屏、水幕投影、公共广播等视听终端向不特定人群播放视听信息的系统。

3.2 公共场所视听网络运营者

公共场所视听网络的所有者、使用者、管理者及服务提供者。

4、公共场所视听网络类型

4.1 局域网型公共场所视听网络

由信息终端及相关设备通过受控且相对独立的网络连接组成的公共场所视听网络，其网络连接与其他无关或不可控网络保持隔离。

4.2 运营商虚拟专用网型公共场所视听网络

由信息终端及相关设备通过运营商已建成的网络系统提供的虚拟专网服务组成的公共场所视听网络。

4.3 混合组网型公共场所视听网络

在局域网和运营商虚拟专用网类型基础上，存在与其他外部网络有信息交互的公共场所视听网络。

5、基本要求

5.1 安全保护等级的确定

公共场所视听网络应按照GB/T 22240有关要求，科学确定安全保护等级。

5.2 安全保护措施

公共场所视听网络采取的安全保护措施，应符合GB/T 22239、GB/T 25070中相应级别的安全保护要求。

6、技术要求

6.1 物理安全

6.1.1 应保障公共场所视听网络所需通信线缆、信息箱等不易受到物理损坏，将通信线缆铺设在隐蔽安全的位置，保证信息箱（即线路连接处）处于锁控状态；

6.1.2 控制设备所在区域应安全可控，出入口应配备电子门禁、门锁或视频监控等符合安全保护要求的设备设施，对进出人员进行鉴别、记录。

6.2 终端专用

视听终端应专机专用，不可进行其他应用。

6.3 访问控制

6.3.1 应通过账户身份认证、地址绑定和高强度密码等技术手段加强访问控制；

6.3.2 应对视听终端的外部接口（如无线、有线、蓝牙、红外、USB 等）进行有效管控，关闭或物理封闭不需要的外部接口以及视频播放功能（如无线投射功能）；

6.3.3 使用无线进行管理的视听终端，应通过设置高强度密码、隐藏无线 SSID 等方式加强对无线网络的管理；其余终端应开启身份认证功能，设置高强度密码。

6.4 一键关停

应根据突发情况及应急处置要求，准确定位公共场所视听网络信息终端，即时关停。

6.5 断网运行

重大活动期间，应落实专人值守，提前录制播放内容，在不影响使用的前提下断网运行。

注：重大活动指对党和国家、行业、地方具有重大意义或者重要国际影响的会议、会展、赛事、纪念、庆典等大型活动。

6.6 延时播放

运营商虚拟专用网型、混合组网型公共场所视听网络应实现视听终端内容延时播放功能，延时时间应满足应急处置要求。

6.7 日志审计

应采取监测、记录公共场所视听网络运行状态、网络安全事件的技术措施，并留存网络安全日志、操作日志、应用日志等相关的网络日志不少于六个月。

7、管理要求

7.1 安全管理机构

7.1.1 机构管理

7.1.1.1 应确定网络安全负责人，落实网络安全保护责任；

7.1.1.2 应成立网络安全工作组织机构，确定职能部门，明确各岗位职责。

7.1.2 制度管理

应对各关键环节建立健全相关安全管理制度。

7.1.3 人员管理

7.1.3.1 应建立对维护人员的授权流程，对已获授权的人员建立列表，明确维护人员的责任，规定维护的时限；

7.1.3.2 人员变动时，应及时终止相关权限，如取回钥匙、禁用账号等；账号无法禁用时，应及时修改密码，确保离岗人员无权限发布信息；

7.1.3.3 应强化对管理人员、运维人员的安全教育培训，培训内容应包括但不限于公共场所视听网络各组成部分的配置及操作规范、网络安全设备操作规范、网络安全相关制度和规定、网络安全保护技术和网络安全风险意识等。

7.2 介质管理

应使用专用存储介质，并定期对存储介质开展恶意代码查杀，密钥和口令的管理由专人负责。

7.3 信息内容管理

7.3.1 应建立网络信息内容管理机制，完善信息内容编辑、审核、发布、更新的管理制度及流程；

7.3.2 应确定网络信息内容负责人，落实网络信息内容保护责任；

7.3.3 应配备网络信息内容专职审查人员，施行多层级审核，严格账号及权限管理，明确人员职责，留存相关审核记录，定期组织人员开展培训。

7.4 数据安全管理

7.4.1 应建立数据安全管理制度，识别需要定期备份的数据，根据数据的重要性和数据对公共场所视听网络业务的影响，制定数据的备份策略，备份策略须指明备份数据的放置场所、文件命名规则、介质替换周期等；

7.4.2 承载公共场所视听网络数据存储、处理、分析的设备所在机房或云平台应在中国境内；

7.4.3 应建立控制数据备份和恢复过程的程序，对备份过程进行记录，所有文件和记录应妥善保存；

7.4.4 可采用数据加密、消息鉴别码、数字签名等符合商用密码要求的密码技术，保证数据通信、数据存储、数据备份与恢复过程中的数据保密性、真实性和完整性；

7.4.5 运营商虚拟专用网型、混合组网型公共场所视听网络应定期检查和测试备份数据的有效性，确保可用性。

7.5 供应链管理

应建立供应链安全管理制度，保障公共场所视听网络运营者在采购、使用网络产品和服务过程中安全可控：

——应覆盖网络产品、服务全生命周期，包括但不限于设计与研发、采购、交付及运维等，并定期或在发生重大安全事件、其他重大变化时进行检查和修订；

——应通过签订保密协议等方式确保供应活动各环节相关信息不被泄露给未授权者；

——应定期进行供应链风险评估，采取措施进行消除或降低风险；

——应在供应链安全管理制度中明确各方职责：

7.6 监测管理

7.6.1 应通过视频监控或专人定期巡查等方式对视听终端播放内容进行监控；

7.6.2 应对公共场所视听网络运行状态进行监测，异常情况及时处置；

7.6.3 公共场所视听网络进行维护后，应检查可能受影响的安全措施，确认其仍正常发挥功能；

7.6.4 应采取必要的措施加强舆情监测管理：

——运营商虚拟专用网型、混合组网型公共场所视听网络宜实现舆情监测、分析、预警，包括

识别热点话题、敏感话题，进行倾向性分析，趋势分析、突发事件分析等；

——运营商虚拟专用网型、混合组网型公共场所视听网络宜及时采取相应措施处置监测、分析

获得的舆情事件；

——局域网型公共场所视听网络可采取 7.6.1、7.6.2、7.6.3 相关措施实现舆情监测管理要求。

7.7 应急处理

7.7.1 应急预案

应制定公共场所视听网络安全事件应急预案：

a) 应明确网络安全事件应急处置组织架构，包括人员名单、职责、联系方式，并将应急预案向相关人员或部门进行通报；

b) 当本组织的管理架构、公共场所视听网络运行环境发生变化时，及时更新网络安全事件应急预案；

c) 公共场所视听网络在测试、运行等过程中遇到问题，应及时修改应急预案，并向相关人员或部门进行通报；

d) 在发生安全事件时，应急预案的实施应能够迅速恢复公共场所视听网络基本业务功能和安全措施。

7.7.2 应急演练

公共场所视听网络运营者应开展应急演练：

a) 应定期和在重大活动开始之前开展应急演练；

b) 应记录和核查应急演练结果，并根据需要修正应急预案，保存演练记录、演练总结等。

7.7.3 应急处置

发生网络安全事件时，应立即启动应急预案：

a) 应按照应急预案有关要求向相关部门报告；

b) 应判定事件类型与级别，及时处置网络安全风险；必要时应采取处置措施，如：一键关停、切断电源等；

c) 在网络安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，采取防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存。

7.8 安全评估和整改

7.8.1 应按照网络安全等级保护要求定期开展网络安全等级保护测评工作；

7.8.2 应在重大活动开始之前开展网络安全自查；

7.8.3 应在发生重大安全事件、存在严重风险隐患或者特殊紧急情况时开展必要的网络安全评估，包括但不限于网络安全制度执行情况、组织机构建设情况、教育培训情况、安全保护情况、风险评估情况、应急演练情况，以及渗透测试、漏洞扫描、恶意代码监测、密码应用安全性评估等；

7.8.4 应根据安全评估情况，针对性地对公共场所视听网络进行安全整改。

来源：阳泉网警一点号