浙江省通信管理局关于开展2019年电信和互联网行业网络安全检查工作的通知
2019/8/15 9:02:40  浏览 2112 

一、总体要求

依据《中华人民共和国网络安全法》、《通信网络安全防护管理办法》、《电信和互联网用户个人信息保护规定》及有关法律法规、管理政策和标准要求,按照以查促建、以查促管、以查促防、以查促改的要求,以关键信息基础设施防护为基础,以网络数据和用户个人信息保护为重点,进一步强化全省电信和互联网行业网络安全风险防范和责任落实,全面提升行业网络安全保障水平,保障全省公共互联网安全、稳定运行。

二、检查重点

(一)检查对象

省内基础电信企业、增值电信业务经营者、互联网域名注册服务提供者(以下统称网络和系统运行单位)建设和运营的网络和系统。重点检查电信和互联网行业网络基础设施、互联网接入服务系统、用户信息和网络数据收集和集中存储与处理系统、企业门户网站、业务支撑系统、网络管理系统、计费系统、域名系统、电子邮件系统、移动应用商店、移动应用程序及后台系统、公共服务云平台,以及公众视频监控摄像头等重点物联网平台、重点工业互联网平台、网络预约出租汽信息服务平台等情况。

(二)检查内容

1.网络安全管理情况。检查网络安全责任领导、责任部门、管理和技术人员的到位和履职尽责情况,网络安全管理制度建立及落实情况,“三同步”要求落实情况,设备和服务供应链安全管理情况,关键信息基础设施情况梳理及网络和系统定级备案情况,网络安全符合性评测和风险评估工作开展情况,网络安全人员培训、工作经费等保障情况等。

2.网络安全技术防护情况。检查网络隔离、身份鉴别、访问控制、口令管理、边界防护、数据保护、密码应用、容灾备份、安全审计等技术措施的落实情况和有效性,网络安全监测手段的建设和运行情况,相关软硬件和业务系统是否存在技术漏洞、业务逻辑漏洞,是否被植入恶意代码或被非法远程控制等。

3.用户个人信息和网络数据安全保护情况。结合网络数据安全评估和执法检查、网络数据安全技术标准调研等试点工作,检查数据信息收集、存储、使用等过程是否符合法律法规和相关标准规定,用户个人信息和重要数据传输及存储过程中的保护措施,防止内部人员非授权访问的措施,开展业务合作过程中对用户个人信息的保护措施等。

4.网络安全应急工作情况。检查网络安全应急预案制定、演练、评估和修订情况,应急技术支撑队伍建设情况,重大活动和重要时期网络安全服务保障能力,重大网络安全事件的发生、报告和处置情况等。

5.网络安全问题整改情况。重点检查2018年网络安全检查工作中主管部门抽查发现或通报问题的整改情况。

6.工业和信息化部部署的其他检查内容。

四、检查方式和时间安排

检查采取企业自查和主管部门抽查相结合的方式。

(一)自查整改阶段(即日起至615日)。网络和系统运行单位围绕检查总体要求和检查重点,结合实际组织开展安全自查工作,制定检查实施方案;各网络与系统运行单位应按照《通信网络安全防护管理办法》的规定,通过“增值企业和互联网企业安全防护管理系统https://zzqy.mii-aqfh.cn/cnspmsv.web”完成本企业系统和网络单元的定级备案。对已备案或已提交备案申请的网络和系统,按照《中华人民共和国网络安全法》和《通信网络安全防护管理办法》开展网络安全“三同步”、符合性评测和风险评估,并通过“通信网络安全防护管理系统”或“互联网网络安全服务平台(https://www.cnissp.com)”上传符合性评测报告和风险评估报告。已在2019年电信业务经营信息年报中填报以上报告的无需重复填报。

(二)检查评估阶段(616日至831日)。我局将组织专业技术队伍,按照电信和互联网安全防护体系系列标准,采取座谈询问、查阅资料、现场检测、远程渗透等方式,对网络和系统运行单位部分重点网络和系统进行抽查。基础电信企业抽查结果纳入2019年省级基础电信企业网络与信息安全责任考核,增值电信企业抽查结果将作为增值电信业务经营许可证年报审核的重要依据。宁波和舟山地区电信和互联网行业网络安全检查由宁波市通信管理局组织实施。

(三)总结阶段(91日至920日)。网络和系统运行单位对检查发现的薄弱环节、安全漏洞和安全风险,逐一做好记录,及时整改,消除隐患。要认真做好网络安全检查工作总结,在总结成绩、分析问题时应坚持定性和定量相结合,总结应包括本年度网络安全防护工作总体情况、取得的成效、存在的主要风险和隐患及整改情况、下一步工作计划等。网络运行单位要920日前将总结报告书面报送我局。

五、工作要求

(一)提高认识,落实责任。网络和系统运行单位要从维护国家安全和经济社会稳定的高度,充分认识新形势下网络安全形势的严峻性、复杂性,充分认识做好电信和互联网行业网络安全检查工作的极端重要性和对服务保障建国70周年网络安全的重要意义,严格落实网络安全工作责任制,切实加强网络安全检查工作的组织领导,进一步强化内部统筹协调,明确检查责任,积极主动配合各级电信主管部门做好抽查工作,确保检查工作顺利开展。

(二)认真实施,确保成效。网络和系统运行单位要结合实际,周密制定检查实施方案和工作计划,落实检查部门、检查队伍、检查经费及其他保障条件,全面深入查找安全隐患,切实做到不走过场、不留死角。对检查工作中发现的安全隐患,要举一反三、标本兼治,认真评估风险、分析原因并研究解决办法,督促责任部门落实有针对性的整改措施,健全长效机制,持续推动完善网络安全防护体系。

(三)规范检查,控制风险。网络和系统运行单位要按照严格《中华人民共和国网络安全法》、《通信网络安全防护管理办法》等法律法规和电信和互联网安全防护体系系列标准严格规范自查和配合检查过程中的方法和程序。要强化风险控制,有针对性的制定检查工作应急预案,确保被检查网络和系统的正常运行。要加强对检查活动、检查人员及相关文档和数据的安全保密管理。应当委托具有网络安全风险评估服务资质的单位或通过“互联网网络安全服务平台”进行安全检测,并对技术检测机构背景、技术能力、服务水平、机构和人员资质及安全保密管理措施进行严格审查,签订保密承诺书,明确技术检测机构及人员的安全责任。

  • 上一个内容:
  • 下一个内容:
  • 推荐文章

    《食品经营许可管理办法》

    食品经营许可管理办法 第一章  总 则   第一条 为规范食品经营许可活动,加详细>>

    浙江省通信管理局关于开展2019年电信和…

    一、总体要求 依据《中华人民共和国网络安全法》、《通信网络安全防护管理办法》、详细>>

    《医疗器械网络销售监督管理办法》解读

      一、为什么要制定《办法》?   随着“互联网+”行动不断向前推进,医疗器械详细>>

    浙ICP备12044618号-4 浙公网安备 33010602003943号
    Copyright © 2014-2015, zjwwbl.com All Rights Reserved. 杭州彩锦信息科技有限公司
    关于我们  |   联系我们  |   我们的客户  |   人才招聘  |   法律声明  |   常见问题