转自:广东省通信管理局网站
省内各基础电信企业、互联网企业、域名从业机构、移动应用商店、工业互联网平台和标识解析节点企业、相关网络运行单位:
为深入贯彻习近平总书记关于网络安全的系列重要讲话精神,落实党中央、国务院关于加强关键信息基础设施和新型基础设施安全保护的决策部署,按照工业和信息化部、省委省政府对相关专项工作部署精神及要求,做好有关重要时期网络安全及数据安全服务保障工作,依据《中华人民共和国网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》《公共互联网网络安全威胁监测与处置办法》等相关法律法规及文件要求,结合我局职责,我局决定即日起开展2021年电信和互联网行业网络安全及数据安全专项检查工作,现将有关工作要求及安排通知如下:
一、总体要求
围绕加快推进习近平总书记网络强国建设战略目标,坚持总体国家安全观,强化底线思维,坚持预防为主、平急结合,坚持统一指挥、密切协同,坚持快速反应、有效处置,坚持以查促建、以查促管、以查促防、以查促改,坚决防范网络安全重大风险,坚决遏制网络安全重大事故,以贯彻落实企业网络、数据安全主体责任为主线,建立健全制度防范体系建设为保障,规范运维管理和强化应急演练为支撑,切实做好行业关键信息基础设施安全防护、数据安全保护、监测预警、应急处置和威胁治理为重点,保障电信和公共互联网的持续安全稳定运行,全面提升电信和互联网行业网络及数据安全防控能力和监管水平。
二、检查对象
检查对象为本省行政区域内面向社会提供公共互联网信息服务的基础电信企业、互联网接入服务提供商、域名从业机构、内容分发网络(CDN)服务提供商、云平台服务提供商、移动应用商店企业、移动互联网App运营企业、车联网企业、工业互联网平台和标识解析节点企业等(以下统称“网络运行单位”)。重点是相关网络运行单位的关键信息基础设施和重要网络单元及承载的信息系统,包括但不限于:5G网络基础设施、客户管理支撑系统、公共云服务平台、域名服务系统、移动应用商店、工业互联网平台、标识解析管理平台、互联网支付平台、互联网游戏运营平台、物联网平台、车联网应用服务平台、网约车信息服务平台等。
三、检查内容
(一)网络安全管理制度和保障体系建设、落实情况
检查各相关企业按照《网络安全法》有关要求建立落实安全管理体系制度、开展网络安全相关工作的情况。各相关企业要组织相关人员加强《网络安全法》《互联网信息服务管理办法》《通信网络安全防护管理办法》《电信业务经营许可管理办法》《公共互联网网络安全威胁监测与处置办法》等法律法规规章的学习,强化网络安全主体责任意识,建立完善本企业的网络信息安全管理制度和保障体系,强化日常自身网络安全管理和防护,结合工作实际,把各项安全责任分解到部门、落实到岗位、明确到个人,重点抓好责任落实和责任追究。
(二)网络安全应急处置实战演练和监测预警情况
检查各相关企业根据《公共互联网网络安全突发事件应急预案》(工信部网安〔2017〕281号)制定并落实网络安全事件应急预案的情况。各相关企业要明确处置应对网络安全事件的责任部门、指挥机制、响应流程等内容,开展以事件处置为核心的应急演练,加强值班值守,关键岗位、关键时间节点实行7*24小时在岗值班,为网络安全事件处置提供封堵、溯源等必要的协助支持,配合有关部门扎实做好网上违法有害信息应急处置等工作;在发生危害网络安全的事件时,要立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。各企业要依托各自技术手段,加强对本单位重要的通信网络和信息系统的网络安全事件监测预警和应急处置,及时掌握网络运行状况,要注意防范服务中断、DDoS攻击、域名劫持、僵尸网络、网页篡改、木马植入、漏洞利用、数据泄露等风险和事件,造成较大影响的要及时报告我局。
(三)开展网络安全威胁专项治理情况
检查各相关企业根据《公共互联网网络安全威胁监测与处置办法》对网络安全威胁监测处置的情况,重点检查相关企业针对僵尸网络、钓鱼网站、仿冒网站、移动互联网恶意程序、存在问题隐患的物联网设备等开展威胁专项治理工作情况,防范利用互联网数据中心、内容分发网络进行流量劫持行为,及时采取停止服务或屏蔽恶意资源、清除恶意程序、消除漏洞隐患等处置措施落实情况。
(四)通信网络单元定级备案、符合性评测和安全风险评估工作落实情况
以增值电信企业为重点,检查企业的通信网络单元安全防护工作开展情况。各增值电信企业要按照《通信网络安全防护管理办法》(工业和信息化部令第11号,以下简称《管理办法》)有关要求,对本单位各类信息系统进行网络单元划分和定级备案,并开展符合性评测和安全风险评估。各增值电信企业应于6月30日前,通过工业和信息化部“通信网络安全防护管理系统”(https://www.mii-aqfh.cn )报送本单位网络单元的定级信息。各企业已报备定级备案信息的,应当根据实际情况适时调整各通信网络单元的划分和级别,备案信息发生变化的,应当自信息变化之日起三十日内向我局变更备案。
各企业应当认清通信网络安全防护管理制度与国家关键信息基础设施安全保护制度、网络安全等级保护制度的联系和区别。电信和互联网行业各通信网络单元的定级原则上不低于国家网络安全等级测评的参考定级,关键信息基础设施的通信网络单元定级不低于三级。
为有效防范相关重要保障时期可能发生的各类网络安全事件,各企业要自行组织力量或者委托省内具有通信网络安全专业服务能力资质的机构开展对本单位重要的通信网络和信息系统进行一次全方位的网络安全符合性评测和安全风险评估工作,深入排查网络安全风险和隐患,对常见的低级错误“零容忍”,禁止使用弱口令、默认口令、通用口令、长期不变口令;要采取防范系统账号口令被暴力破解、数据信息被爬取的措施,要严格控制使用系统远程维护或远程登录服务,禁止非必要端口及服务长期开启;要坚决防范运维人员误操作、违规操作引发网络中断风险。受委托的安全机构应依据《网络安全法》《管理办法》等法律法规和从业规范开展网络安全评测评估活动。
(五)网络数据安全保护落实情况
检查各相关企业按照《电信和互联网企业数据安全规范评估要点》(2020年版)要求持续完善本单位数据安全管理制度和技术保护措施的情况;落实开展网络数据安全合规性评估,数据分类分级管理、对外合作安全管理、访问权限管理和安全审计情况;及时发现和处置非授权访问、批量复制或转移、删改异常情况;本单位数据安全事件应急预案制定,做好重要数据备份和加密等工作情况;开展数据安全隐患排查及整改,及时处置数据泄露、滥用等安全事件等工作情况。
(六)个人信息保护工作情况
检查各相关企业按照《电信和互联网用户个人信息保护规定》《工业和信息化部关于开展纵深推进App侵害用户权益专项整治行动的通知》要求,落实电信和互联网行业个人信息保护专项治理工作情况。按照App用户权益保护相关测评规范和App收集使用个人信息最小必要相关评估规范,重点对移动互联网App运营企业的App个人信息保护情况开展检查。
(七)工业互联网企业安全防护情况
检查相关企业落实工信部文件《工业互联网企业网络安全分类分级管理指南(试行)》的情况,是否按照分类分级要求自行开展定级及落实相应级别的网络安全防护措施。检查重点工业互联网服务平台、工业互联网标识解析系统、联网工控资产、智能网联终端等相关系统、平台的安全状况。
四、工作安排
(一)动员部署(通知印发之日起至2021年5月6日)。对本次网络安全及数据安全专项检查工作进行动员部署,统一思想,提高认识,规定时限,明确要求。广泛宣传法律法规、政策制度等相关知识,深入解读电信和互联网行业网络安全及数据安全检查工作的重点环节,动员相关单位积极落实。
(二)全面自查自纠(2021年5月6日起至2021年5月31日)。各网络运行单位要对照相关法律法规要求和本次检查重点,对本单位网络安全和数据安全工作进行自查自纠,对自查发现的安全问题要逐一做好记录,对能立即整改的,要边查边改;对无法立即整改的,要采取防范措施,制定整改计划,确保整改落实;相关自查情况要形成总结报告,电子版(加盖骑缝章)报告反馈至邮箱:gdca_wac_wlaq@gd.gov.cn。
(三)重点抽查(2021年6月1日起至2021年8月中旬)。我局将结合2021年“双随机一公开”网络安全检查工作,并委托专业技术机构通过远程检测、资料查阅或现场抽测等方式检查企业网络安全技术防护措施的落实情况和有效性,相关法律法规制度是否落实、相关软硬件和业务系统是否存在技术漏洞、业务逻辑漏洞,是否已经被植入恶意代码、被非法远程控制或发生数据泄露事件等。抽查发现的重大网络安全风险和隐患,我局将通过《网络安全威胁监测处置通知》《责令整改通知书》《违法违规APP处置通知》等形式书面向网络运行单位通报,督促限期整改,并根据整改情况做进一步处理。
(四)整改问责。对检查过程中发现的问题,各单位要高度重视,认真整改,及时向我局报告整改情况。对相关网络运行单位拒不配合本次专项检查或者在检查中发现存在违反法律法规行为、问题逾期不改正或导致危害网络安全等后果的,我局将依法依规,给予警告、罚款等行政处罚并纳入不良名单和失信名单。
各单位要强化问题导向,根据检查重点加强自查评估,增强问题发现和整改能力,提高技术水平,切实提升网络安全防护及保障能力,以优异成绩庆祝中国共产党成立100周年。
特此通知。
广东省通信管理局
2021年4月20日