上(shàng)海市通(tōng)信管理(lǐ)局關于開(kāi)展2020年電(diàn)信和(hé)互聯網行(xíng)業網絡安全檢查工作(zuò)的通(tōng)知
本市各電(diàn)信企業、互聯網企業、域名注冊管理(lǐ)和(hé)服務機構,各相關單位:
為(wèi)深入貫徹習近平總書(shū)記關于網絡安全的系列重要講話(huà)精神,切實做(zuò)好第三屆中國國際進口博覽會(huì)等重大(dà)活動網絡安全保障,全面提升本市電(diàn)信和(hé)互聯網行(xíng)業的網絡安全防護水(shuǐ)平,根據《網絡安全法》《通(tōng)信網絡安全防護管理(lǐ)辦法》《電(diàn)信和(hé)互聯網用戶個(gè)人(rén)信息保護規定》等法律法規和(hé)《工業和(hé)信息化部辦公廳關于做(zuò)好2020年電(diàn)信和(hé)互聯網行(xíng)業網絡數(shù)據安全管理(lǐ)工作(zuò)的通(tōng)知》《關于開(kāi)展2020年全市網絡安全專項檢查的通(tōng)知》等文件要求,結合我局職責,決定組織開(kāi)展2020年上(shàng)海市電(diàn)信和(hé)互聯網行(xíng)業網絡安全檢查工作(zuò)。現将有(yǒu)關要求通(tōng)知如下:
一、工作(zuò)目标
緊緊圍繞加快推進網絡強國建設戰略目标,加快落實《網絡安全法》有(yǒu)關規定,堅持以查促建、以查促管、以查促防、以查促改,以防攻擊、防入侵、防篡改、防竊密、防洩露為(wèi)重點,深入查找網絡安全風險隐患并強化整改,落實電(diàn)信企業、互聯網企業、域名注冊管理(lǐ)和(hé)服務機構的主體(tǐ)責任,加強網絡安全防護能力建設,着力防範重大(dà)網絡安全風險,保證電(diàn)信網和(hé)公共互聯網持續穩定運行(xíng)和(hé)數(shù)據安全,确保行(xíng)業關鍵信息基礎設施安全運行(xíng),做(zuò)好疫情防控、複工複産和(hé)第三屆中國國際進口博覽會(huì)網絡安全服務保障工作(zuò)。
二、檢查對象
檢查對象為(wèi)在本市行(xíng)政區(qū)域內(nèi)面向社會(huì)提供互聯網信息服務的電(diàn)信企業、互聯網企業、域名注冊管理(lǐ)和(hé)服務機構。重點是上(shàng)海市各基礎電(diàn)信企業、增值電(diàn)信企業、工業互聯網平台企業、行(xíng)業關鍵信息基礎設施運營單位、移動互聯網App運營單位等。
三、檢查內(nèi)容
(一)通(tōng)信網絡單元定級備案、符合性評測和(hé)安全風險評估工作(zuò)落實情況。以增值電(diàn)信企業為(wèi)重點,檢查企業的通(tōng)信網絡單元安全防護工作(zuò)開(kāi)展情況。各電(diàn)信和(hé)互聯網企業要按照《通(tōng)信網絡安全防護管理(lǐ)辦法》的規定,對本單位各類信息系統進行(xíng)網絡單元劃分和(hé)定級備案,并開(kāi)展符合性評測和(hé)安全風險評估。其中,持有(yǒu)增值電(diàn)信業務經營許可(kě)證的企業應于7月31日前在工業和(hé)信息化部“通(tōng)信網絡安全防護管理(lǐ)系統”(https://www.mii-aqfh.cn)報送本單位網絡單元的定級信息。市通(tōng)信管理(lǐ)局将組織專家(jiā)對各網絡單元的定級情況進行(xíng)評審,并将評審結果通(tōng)報相應報送單位。各單位應于9月30日前在“網絡安全監測預警和(hé)信息通(tōng)報管理(lǐ)系統”(通(tōng)過上(shàng)海市通(tōng)信管理(lǐ)局官方網站(zhàn)(http://shca.miit.gov.cn)首頁左側“行(xíng)政管理(lǐ)工作(zuò)系統鏈接”-“網絡安全信息通(tōng)報”進入)對相應單元的定級評審、符合性評測和(hé)安全風險評估結果進行(xíng)備案。
(二)行(xíng)業關鍵信息基礎設施清查認定情況。電(diàn)信和(hé)互聯網行(xíng)業各關鍵信息基礎設施運營單位要對本單位運營的關鍵信息基礎設施進行(xíng)再清查、再認定,按要求通(tōng)過填報工具填報本單位關鍵信息基礎設施信息,并于7月31日前将填報結果報送市通(tōng)信管理(lǐ)局審定。各單位應對涉及到國家(jiā)安全、經濟安全、社會(huì)穩定、公衆健康和(hé)安全的重要網絡和(hé)信息系統予以重點防護,對認定為(wèi)關鍵信息基礎設施的網絡單元,其通(tōng)信網絡安全定級應不低(dī)于三級,其安全管理(lǐ)應參照《網絡安全法》第三章第二節有(yǒu)關條款實施。市通(tōng)信管理(lǐ)局将會(huì)同有(yǒu)關監管部門(mén),在定級備案和(hé)評估檢查中,對關鍵信息基礎設施運營單位予以重點監管。
(三)工業互聯網平台和(hé)聯網工控設備安全防護情況。各工業互聯網企業應對本單位建設、運營的工業互聯網平台進行(xíng)摸底排查,于7月31日前在市通(tōng)信管理(lǐ)局“網絡安全監測預警和(hé)信息通(tōng)報管理(lǐ)系統”報送相關平台信息。各企業應加強對聯網設備、系統、平台和(hé)終端的網絡安全防護,重點對工業互聯網服務平台、車(chē)聯網信息服務平台以及聯網工控資産、智能網聯汽車(chē)終端等進行(xíng)安全檢測和(hé)自查整改,及時(shí)修複安全漏洞。市通(tōng)信管理(lǐ)局将會(huì)同有(yǒu)關主管部門(mén)對相關系統、平台的安全狀況進行(xíng)評估和(hé)檢查。
(四)數(shù)據安全和(hé)個(gè)人(rén)信息保護工作(zuò)情況。按照《電(diàn)信和(hé)互聯網用戶個(gè)人(rén)信息保護規定》《工業和(hé)信息化部辦公廳關于做(zuò)好2020年電(diàn)信和(hé)互聯網行(xíng)業網絡數(shù)據安全管理(lǐ)工作(zuò)的通(tōng)知》要求,深化行(xíng)業網絡數(shù)據安全專項治理(lǐ)行(xíng)動,重點對App應用違法違規收集使用個(gè)人(rén)信息情況開(kāi)展檢查。市通(tōng)信管理(lǐ)局将組織專業技(jì)術(shù)機構對各企業的App收集使用個(gè)人(rén)信息合規情況進行(xíng)評估,并加強對違法違規收集使用個(gè)人(rén)信息行(xíng)為(wèi)的處罰;對強制(zhì)、過度收集個(gè)人(rén)信息,未經用戶同意、違反法律法規規定和(hé)雙方約定收集、使用個(gè)人(rén)信息,發生(shēng)或可(kě)能發生(shēng)信息洩露、丢失而未采取補救措施,非法出售、非法向他人(rén)提供個(gè)人(rén)信息等行(xíng)為(wèi),依據《網絡安全法》從嚴處罰。
(五)網絡安全管理(lǐ)和(hé)技(jì)術(shù)防護情況。檢查各互聯網企業按照《網絡安全法》有(yǒu)關要求建立安全管理(lǐ)體(tǐ)系制(zhì)度、開(kāi)展網絡安全相關工作(zuò)的情況。通(tōng)過遠程檢測、現場(chǎng)抽測等方式檢查企業網絡安全技(jì)術(shù)防護措施的落實情況和(hé)有(yǒu)效性,相關軟硬件和(hé)業務系統是否存在技(jì)術(shù)漏洞、業務邏輯漏洞,是否已經被植入惡意代碼、被非法遠程控制(zhì)或發生(shēng)數(shù)據洩露事件等。重點對近期用戶量急劇(jù)攀升、業務規模大(dà)幅增加的在線新經濟型“互聯網+”企業加強安全管理(lǐ),督促相關平台提升安全防護水(shuǐ)平。
(六)行(xíng)業從業人(rén)員網絡安全意識提升情況。行(xíng)業內(nèi)各單位、各企業要按照《關于開(kāi)展網絡安全在線培訓的通(tōng)知》(工網安函〔2020〕533号)有(yǒu)關要求,面向本單位員工加強網絡安全教育,開(kāi)展全員性的安全意識培訓。各電(diàn)信和(hé)互聯網企業要積極組織本單位從業人(rén)員登錄工業和(hé)信息化部“網絡安全在線培訓平台”(通(tōng)過微信搜索并運行(xíng)“工信人(rén)才”微信小(xiǎo)程序,從主界面選擇“網安學堂”進入培訓平台),學習網絡安全相關法律法規和(hé)基礎知識。市通(tōng)信管理(lǐ)局将對相關工作(zuò)落實情況進行(xíng)督查,并從“網安學堂”中選取部分培訓課程,通(tōng)過組織線上(shàng)考試、開(kāi)展現場(chǎng)抽測等形式對企業內(nèi)各類型、各崗位的從業人(rén)員進行(xíng)網絡安全知識測試(線上(shàng)考試具體(tǐ)要求通(tōng)過市通(tōng)信管理(lǐ)局“網絡安全監測預警和(hé)信息通(tōng)報管理(lǐ)系統”另行(xíng)通(tōng)知)。
四、工作(zuò)安排
(一)動員部署(2020年6月30日前)。對本次網絡安全檢查工作(zuò)進行(xíng)動員部署,統一思想,提高(gāo)認識,規定時(shí)限,明(míng)确要求。廣泛宣傳法律法規、政策制(zhì)度等相關知識,深入解讀電(diàn)信和(hé)互聯網行(xíng)業網絡安全檢查工作(zuò)的重點環節,動員相關單位積極參與。
(二)全面自查(2020年7月31日前)。各單位要對照《網絡安全法》《通(tōng)信網絡安全防護管理(lǐ)辦法》《電(diàn)信和(hé)互聯網用戶個(gè)人(rén)信息保護規定》等有(yǒu)關法律法規要求和(hé)本次檢查重點,對本單位網絡信息安全工作(zuò)進行(xíng)自查自糾,對自查發現的薄弱環節、安全漏洞和(hé)安全風險,要逐一做(zuò)好記錄,對能立即整改的,要邊查邊改,對無法立即整改的,要采取防範措施,制(zhì)定整改計(jì)劃,确保整改落實。
(三)重點抽查(2020年8月31日前)。市通(tōng)信管理(lǐ)局将選取部分企業和(hé)相關系統,委托專業技(jì)術(shù)機構通(tōng)過現場(chǎng)詢問、查閱資料、現場(chǎng)檢測、遠程滲透、源代碼檢測等方式進行(xíng)網絡安全抽查。對檢查發現的薄弱環節、安全漏洞和(hé)安全風險,專業技(jì)術(shù)機構要及時(shí)告知相關單位,并指導其進行(xíng)防範整改;檢查完成後要形成檢查結果記錄報告,上(shàng)報市通(tōng)信管理(lǐ)局。對基礎電(diàn)信企業網絡和(hé)系統的檢查結果,将作(zuò)為(wèi)2020年省級基礎電(diàn)信企業網絡與信息安全責任考核依據。
(四)整改總結(2020年9月30日前)。各企業要對檢查發現的薄弱環節和(hé)安全風險進行(xíng)深入整改,并按時(shí)向市通(tōng)信管理(lǐ)局報告整改情況。市通(tōng)信管理(lǐ)局将組織總結網絡安全檢查工作(zuò)情況,對網絡安全工作(zuò)到位的企業予以表揚,對檢查發現的問題隐患進行(xíng)通(tōng)報;發現存在違反法律法規行(xíng)為(wèi)、問題拒不改正或導緻危害網絡安全等後果的,依法依規給予行(xíng)政處罰。
五、工作(zuò)要求
(一)提高(gāo)認識,加強管理(lǐ)。各單位要深入學習領會(huì)習近平總書(shū)記關于網絡安全的系列重要講話(huà)精神,從國家(jiā)安全的戰略高(gāo)度出發,充分認識本單位各類網絡信息系統的重要性,充分認識新形勢下網絡攻擊威脅的嚴峻性複雜性,堅持預防為(wèi)主,強化安全管理(lǐ),配合主管部門(mén)不斷完善行(xíng)業網絡安全保障體(tǐ)系。
(二)高(gāo)度重視(shì),落實責任。各單位要高(gāo)度重視(shì)行(xíng)業網絡安全檢查工作(zuò),要按照“誰運行(xíng)誰負責”的原則,牢固樹(shù)立本單位網絡和(hé)系統安全的主責意識,加強組織領導,制(zhì)定工作(zuò)方案,明(míng)确責任分工,全面深入開(kāi)展自查自糾工作(zuò),積極配合行(xíng)業主管部門(mén)做(zuò)好監督檢查,堅決确保重大(dà)活動期間(jiān)網絡安全。
(三)規範檢查,嚴明(míng)紀律。檢查工作(zuò)過程中要規範檢查方法和(hé)程序,避免檢查工作(zuò)影(yǐng)響網絡和(hé)系統的正常運行(xíng);任何檢查人(rén)員和(hé)專業技(jì)術(shù)機構人(rén)員不得(de)向被檢查單位收取費用,不得(de)要求被檢查單位購買、使用指定的産品和(hé)服務;專業技(jì)術(shù)機構及人(rén)員參加安全檢查的,要進行(xíng)嚴格審查,簽訂保密承諾書(shū)。
(四)強化協同,協調配合。堅持加強協同溝通(tōng)原則,提倡開(kāi)展聯合檢查,避免交叉重複。涉及跨部門(mén)、跨行(xíng)業的網絡安全檢查,市通(tōng)信管理(lǐ)局将會(huì)同有(yǒu)關主管部門(mén)協同開(kāi)展。各基礎電(diàn)信企業向其他部門(mén)提供網絡安全相關資料和(hé)數(shù)據的,應征得(de)市通(tōng)信管理(lǐ)局同意,并報市通(tōng)信管理(lǐ)局備案。
特此通(tōng)知。
上(shàng)海市通(tōng)信管理(lǐ)局
2020年6月22日