本市各電信企業、互聯網企業、域名注冊管理和服務機構,各相關單位:
為深入貫徹習近平總書記關于網絡安全的系列重要講話精神,切實做好第三屆中國國際進口博覽會等重大活動網絡安全保障,全面提升本市電信和互聯網行業的網絡安全防護水平,根據《網絡安全法》《通信網絡安全防護管理辦法》《電信和互聯網用戶個人信息保護規定》等法律法規和《工業和信息化部辦公廳關于做好2020年電信和互聯網行業網絡數據安全管理工作的通知》《關于開展2020年全市網絡安全專項檢查的通知》等文件要求,結合我局職責,決定組織開展2020年上海市電信和互聯網行業網絡安全檢查工作。現將有關要求通知如下:
一、工作目標
緊緊圍繞加快推進網絡強國建設戰略目標,加快落實《網絡安全法》有關規定,堅持以查促建、以查促管、以查促防、以查促改,以防攻擊、防入侵、防篡改、防竊密、防泄露為重點,深入查找網絡安全風險隱患并強化整改,落實電信企業、互聯網企業、域名注冊管理和服務機構的主體責任,加強網絡安全防護能力建設,著力防范重大網絡安全風險,保證電信網和公共互聯網持續穩定運行和數據安全,確保行業關鍵信息基礎設施安全運行,做好疫情防控、復工復產和第三屆中國國際進口博覽會網絡安全服務保障工作。
二、檢查對象
檢查對象為在本市行政區域內面向社會提供互聯網信息服務的電信企業、互聯網企業、域名注冊管理和服務機構。重點是上海市各基礎電信企業、增值電信企業、工業互聯網平臺企業、行業關鍵信息基礎設施運營單位、移動互聯網App運營單位等。
三、檢查內容
(一)通信網絡單元定級備案、符合性評測和安全風險評估工作落實情況。以增值電信企業為重點,檢查企業的通信網絡單元安全防護工作開展情況。各電信和互聯網企業要按照《通信網絡安全防護管理辦法》的規定,對本單位各類信息系統進行網絡單元劃分和定級備案,并開展符合性評測和安全風險評估。其中,持有增值電信業務經營許可證的企業應于7月31日前在工業和信息化部“通信網絡安全防護管理系統”(https://www.mii-aqfh.cn)報送本單位網絡單元的定級信息。市通信管理局將組織專家對各網絡單元的定級情況進行評審,并將評審結果通報相應報送單位。各單位應于9月30日前在“網絡安全監測預警和信息通報管理系統”(通過上海市通信管理局官方網站(http://shca.miit.gov.cn)首頁左側“行政管理工作系統鏈接”-“網絡安全信息通報”進入)對相應單元的定級評審、符合性評測和安全風險評估結果進行備案。
(二)行業關鍵信息基礎設施清查認定情況。電信和互聯網行業各關鍵信息基礎設施運營單位要對本單位運營的關鍵信息基礎設施進行再清查、再認定,按要求通過填報工具填報本單位關鍵信息基礎設施信息,并于7月31日前將填報結果報送市通信管理局審定。各單位應對涉及到國家安全、經濟安全、社會穩定、公眾健康和安全的重要網絡和信息系統予以重點防護,對認定為關鍵信息基礎設施的網絡單元,其通信網絡安全定級應不低于三級,其安全管理應參照《網絡安全法》第三章第二節有關條款實施。市通信管理局將會同有關監管部門,在定級備案和評估檢查中,對關鍵信息基礎設施運營單位予以重點監管。
(三)工業互聯網平臺和聯網工控設備安全防護情況。各工業互聯網企業應對本單位建設、運營的工業互聯網平臺進行摸底排查,于7月31日前在市通信管理局“網絡安全監測預警和信息通報管理系統”報送相關平臺信息。各企業應加強對聯網設備、系統、平臺和終端的網絡安全防護,重點對工業互聯網服務平臺、車聯網信息服務平臺以及聯網工控資產、智能網聯汽車終端等進行安全檢測和自查整改,及時修復安全漏洞。市通信管理局將會同有關主管部門對相關系統、平臺的安全狀況進行評估和檢查。
(四)數據安全和個人信息保護工作情況。按照《電信和互聯網用戶個人信息保護規定》《工業和信息化部辦公廳關于做好2020年電信和互聯網行業網絡數據安全管理工作的通知》要求,深化行業網絡數據安全專項治理行動,重點對App應用違法違規收集使用個人信息情況開展檢查。市通信管理局將組織專業技術機構對各企業的App收集使用個人信息合規情況進行評估,并加強對違法違規收集使用個人信息行為的處罰;對強制、過度收集個人信息,未經用戶同意、違反法律法規規定和雙方約定收集、使用個人信息,發生或可能發生信息泄露、丟失而未采取補救措施,非法出售、非法向他人提供個人信息等行為,依據《網絡安全法》從嚴處罰。
(五)網絡安全管理和技術防護情況。檢查各互聯網企業按照《網絡安全法》有關要求建立安全管理體系制度、開展網絡安全相關工作的情況。通過遠程檢測、現場抽測等方式檢查企業網絡安全技術防護措施的落實情況和有效性,相關軟硬件和業務系統是否存在技術漏洞、業務邏輯漏洞,是否已經被植入惡意代碼、被非法遠程控制或發生數據泄露事件等。重點對近期用戶量急劇攀升、業務規模大幅增加的在線新經濟型“互聯網+”企業加強安全管理,督促相關平臺提升安全防護水平。
(六)行業從業人員網絡安全意識提升情況。行業內各單位、各企業要按照《關于開展網絡安全在線培訓的通知》(工網安函〔2020〕533號)有關要求,面向本單位員工加強網絡安全教育,開展全員性的安全意識培訓。各電信和互聯網企業要積極組織本單位從業人員登錄工業和信息化部“網絡安全在線培訓平臺”(通過微信搜索并運行“工信人才”微信小程序,從主界面選擇“網安學堂”進入培訓平臺),學習網絡安全相關法律法規和基礎知識。市通信管理局將對相關工作落實情況進行督查,并從“網安學堂”中選取部分培訓課程,通過組織線上考試、開展現場抽測等形式對企業內各類型、各崗位的從業人員進行網絡安全知識測試(線上考試具體要求通過市通信管理局“網絡安全監測預警和信息通報管理系統”另行通知)。
四、工作安排
(一)動員部署(2020年6月30日前)。對本次網絡安全檢查工作進行動員部署,統一思想,提高認識,規定時限,明確要求。廣泛宣傳法律法規、政策制度等相關知識,深入解讀電信和互聯網行業網絡安全檢查工作的重點環節,動員相關單位積極參與。
(二)全面自查(2020年7月31日前)。各單位要對照《網絡安全法》《通信網絡安全防護管理辦法》《電信和互聯網用戶個人信息保護規定》等有關法律法規要求和本次檢查重點,對本單位網絡信息安全工作進行自查自糾,對自查發現的薄弱環節、安全漏洞和安全風險,要逐一做好記錄,對能立即整改的,要邊查邊改,對無法立即整改的,要采取防范措施,制定整改計劃,確保整改落實。
(三)重點抽查(2020年8月31日前)。市通信管理局將選取部分企業和相關系統,委托專業技術機構通過現場詢問、查閱資料、現場檢測、遠程滲透、源代碼檢測等方式進行網絡安全抽查。對檢查發現的薄弱環節、安全漏洞和安全風險,專業技術機構要及時告知相關單位,并指導其進行防范整改;檢查完成后要形成檢查結果記錄報告,上報市通信管理局。對基礎電信企業網絡和系統的檢查結果,將作為2020年省級基礎電信企業網絡與信息安全責任考核依據。
(四)整改總結(2020年9月30日前)。各企業要對檢查發現的薄弱環節和安全風險進行深入整改,并按時向市通信管理局報告整改情況。市通信管理局將組織總結網絡安全檢查工作情況,對網絡安全工作到位的企業予以表揚,對檢查發現的問題隱患進行通報;發現存在違反法律法規行為、問題拒不改正或導致危害網絡安全等后果的,依法依規給予行政處罰。
五、工作要求
(一)提高認識,加強管理。各單位要深入學習領會習近平總書記關于網絡安全的系列重要講話精神,從國家安全的戰略高度出發,充分認識本單位各類網絡信息系統的重要性,充分認識新形勢下網絡攻擊威脅的嚴峻性復雜性,堅持預防為主,強化安全管理,配合主管部門不斷完善行業網絡安全保障體系。
(二)高度重視,落實責任。各單位要高度重視行業網絡安全檢查工作,要按照“誰運行誰負責”的原則,牢固樹立本單位網絡和系統安全的主責意識,加強組織領導,制定工作方案,明確責任分工,全面深入開展自查自糾工作,積極配合行業主管部門做好監督檢查,堅決確保重大活動期間網絡安全。
(三)規范檢查,嚴明紀律。檢查工作過程中要規范檢查方法和程序,避免檢查工作影響網絡和系統的正常運行;任何檢查人員和專業技術機構人員不得向被檢查單位收取費用,不得要求被檢查單位購買、使用指定的產品和服務;專業技術機構及人員參加安全檢查的,要進行嚴格審查,簽訂保密承諾書。
(四)強化協同,協調配合。堅持加強協同溝通原則,提倡開展聯合檢查,避免交叉重復。涉及跨部門、跨行業的網絡安全檢查,市通信管理局將會同有關主管部門協同開展。各基礎電信企業向其他部門提供網絡安全相關資料和數據的,應征得市通信管理局同意,并報市通信管理局備案。
特此通知。
上海市通信管理局
2020年6月22日