浙江省通信管理局关于开展2021年电信和互联网行业网络安全检查的通知
省内各电信业务经营者、互联网企业、域名注册管理和服务机构、工业互联网企业,各相关单位:
2021年是中国共产党成立100周年,是实施“十四五”规划、全面建设社会主义现代化国家的开局之年。为深入贯彻习近平总书记关于网络安全的系列重要讲话精神,做好庆祝建党100周年网络安全保障工作,按照工业和信息化部、省委省政府总体部署,决定开展2021年浙江省电信和互联网行业网络安全检查工作。有关事项通知如下:
一、总体要求
根据《中华人民共和国网络安全法》、《通信网络安全防护管理办法》、《关于开展工业互联网网络安全分类分级管理试点工作的通知》和有关法律法规、管理政策和标准要求,按照以查促建、以查促管、以查促防、以查促改的要求,防止通信网络阻塞、中断、瘫痪或者被非法控制,开展网络安全检查,推动电信和互联网行业落实主体责任,进一步强化电信和互联网行业网络安全防范意识,全面提升电信和互联网行业网络安全防护能力,保障全省公共互联网安全稳定运行,为争创社会主义现代化先行省贡献力量,以优异成绩庆祝建党100周年。
二、检查对象
省内基础电信企业、增值电信企业、平台企业、域名注册和解析服务提供商、云平台服务提供商、工业互联网标识解析系统和公共工业互联网平台运营单位、网络预约出租汽车经营者(以下统称通信网络运行单位)建设和运营的网络和系统。重点检查电信和互联网行业网络基础设施、互联网接入服务系统、互联网数据中心、网上营业厅、企业门户网站、网络管理系统、网络交易系统、计费系统、域名系统、电子邮件系统、公共服务云平台,重点工业互联网平台、网络预约出租汽车信息服务平台等。
三、检查重点
(一)检查网络安全管理工作落实情况。检查网络安全责任领导、责任部门、管理和技术人员的到位和履职尽责情况,网络安全管理制度建立及落实情况,设备和服务供应链安全管理情况,关键信息基础设施梳理情况,企业网络和系统定级备案情况,“三同步”要求落实情况,网络安全符合性评测和风险评估工作开展情况,应急预案制定、演练、评估和修订情况,重大活动网络安全服务保障能力,网络安全事件发生、报告和处置情况,网络安全人才队伍建设情况等。
(二)检查网络安全技术防护情况。检查网络隔离、身份鉴别、访问控制、口令管理、边界防护、数据保护、密码应用、容灾备份、安全审计等技术措施的落实情况和有效性,网络安全监测手段的建设和运行情况,相关软硬件和业务系统是否存在技术漏洞、业务逻辑漏洞,是否被植入恶意代码或被非法远程控制等。
(三)检查工业互联网企业网络安全防护情况。检查各工业互联网标识解析系统及工业互联网平台、联网工控设备、系统、平台和终端的网络安全防护情况。各企业应加强对本单位建设、运营的工业互联网平台进行网络安全风险排查,重点对标识解析企业平台、工业互联网服务平台等进行安全检测和自查整改,及时修复安全漏洞。
(四)检查平台企业网络安全防护情况。检查各平台企业网络安全管理制度建立和网络安全工作责任落实情况,查验定级备案、符合性评测和网络安全风险评估与排查情况,开展平台企业网络安全技术防护能力评估测试。
(五)检查重点地区网络安全防护情况。紧紧围绕庆祝建党100周年网络安全保障任务,对杭州市、嘉兴市等重点地区相关互联网企业开展网络安全现场检查和远程检测,通过攻防演练等方式,实战检测各单位网络安全防护能力,及时发现并修复薄弱环节、安全漏洞和安全风险。
四、检查安排
(一)定级备案审查(2021年4-5月)。我局将组织专家对已提交的增值电信企业网络单元定级备案情况进行评审。已提交定级备案的单位开展自核自查,确保定级备案信息完整、准确。未提交定级备案的单位(见附件)应按照《通信网络安全防护管理办法》第八条规定和《浙江省通信管理局关于加强电信和互联网行业网络安全防护管理工作的通知》(浙通网安函〔2020〕119号)要求,全面梳理所有正式上线运行的网络与系统,通过工业和信息化部“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)报送本单位网络单元的定级信息。于6月前完成网络单元定级备案补报工作。对于不配合或不及时完成定级备案工作的单位,我局将依据《通信网络安全防护管理办法》第二十二条予以处理。
(二)网络安全风险检查(2021年5-7月)。我局将组织专业技术队伍,按照电信和互联网安全防护体系系列标准,采取座谈询问、查阅资料、现场检测、远程渗透、代码检测等方式,对通信网络运行单位部分重点网络和系统进行抽查。组织开展行业网络安全攻防演练,通过实战检测检验各单位的网络安全防护能力。基础电信企业抽查结果纳入2021年省级基础电信企业网络与信息安全责任考核。对抽查发现的重大网络安全风险和隐患,我局将通过《浙江省网络安全预警通报》、《责令改正通知书》等形式书面向通信网络运行单位通报,督促限期整改。
(三)总结整改(2021年8-9月)。各通信网络运行单位要对检查发现的薄弱环节、安全漏洞和安全风险,逐一做好记录,及时整改,消除隐患。要认真做好网络安全检查工作总结,于9月30日前将总结报告书面报送我局。对拒不配合电信主管部门及委托的专业机构开展检查、拒不落实网络安全防护管理要求、拒不整改检查发现的重大网络安全隐患的,我局将依据《中华人民共和国网络安全法》《通信网络安全防护管理办法》依法给予处罚,并根据《电信业务经营许可管理办法》规定将相关单位列入电信业务经营不良名单。
五、工作要求
(一)高度重视,落实责任。各通信网络运行单位要从维护国家安全和经济社会稳定的高度,充分认识当前网络安全形势的严峻性、复杂性,充分认识做好电信和互联网行业网络安全检查工作的极端重要性,严格落实网络安全工作责任制,切实加强网络安全检查工作的组织领导,进一步强化内部统筹协调,明确检查责任,积极主动配合各级电信主管部门做好抽查工作,确保检查工作顺利开展。
(二)认真实施,确保成效。各通信网络运行单位要结合实际,周密制定检查实施方案和工作计划,落实检查部门、检查队伍及其他保障条件,全面深入查找安全隐患,切实做到不走过场、不留死角。对检查工作中发现的安全隐患,要举一反三、标本兼治,认真评估风险、分析原因并研究解决办法,督促责任部门落实有针对性的整改措施,健全长效机制,持续推动完善网络安全防护体系。
(三)规范检查,控制风险。各通信网络运行单位要严格按照《中华人民共和国网络安全法》、《通信网络安全防护管理办法》和电信和互联网安全防护体系系列标准,严格规范自查和配合检查过程中的方法和程序。要强化风险控制,有针对性的制定检查工作应急预案,确保被检查网络和系统的正常运行。要加强对检查活动、检查人员及相关文档和数据的安全保密管理,委托具有网络安全风险评估服务资质的单位进行安全检测。
浙江省通信管理局
2021年4月22日
(联系人:李梦柔,0571-87060678;邮箱:wac@zca.gov.cn)