各省、自治区、直辖市通信管理局,中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国广播电视网络有限公司,互联网域名注册管理和服务机构,互联网企业,有关单位:
为深入贯彻习近平总书记在全国网络安全和信息化工作会议上的重要讲话精神,落实关键信息基础设施防护责任,提高电信和互联网行业网络安全防护水平,根据《中华人民共和国网络安全法》、《通信网络安全防护管理办法》(工业和信息化部令第11号)、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号),决定组织开展2018年电信和互联网行业网络安全检查工作。现将有关要求通知如下:
一、总体要求
紧紧围绕加快推进网络强国建设战略目标,深入学习领会习近平总书记关于网络安全的系列重要讲话精神,加快落实《中华人民共和国网络安全法》,坚持以查促建、以查促管、以查促防、以查促改,以防攻击、防病毒、防入侵、防篡改、防泄密为重点,加强网络安全检查,认清风险现状,排查漏洞隐患,通报检查结果,督促整改问题,强化电信和互联网行业网络安全风险防范和责任落实,全面提升行业网络安全保障水平,保障公共互联网安全、稳定运行。
二、检查重点
(一)重点检查对象。检查对象为依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构(以下统称网络运行单位)建设与运营的网络和系统。重点是电信和互联网行业网络基础设施、用户信息和网络数据收集、集中存储与处理的系统、企业门户网站和计费系统、域名系统、电子邮件系统、移动应用商店、移动应用程序及后台系统、公共云服务平台、公众无线局域网、公众视频监控摄像头等重点物联网平台、网约车信息服务平台、车联网信息服务平台等。
(二)重点检查内容。重点检查网络运行单位落实《中华人民共和国网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等法律法规情况,电信和互联网安全防护体系系列标准符合情况,可能存在的弱口令、中高危漏洞和其他网络安全风险隐患等(法律法规和标准依据详见附件)。
三、工作安排
(一)定级备案。各网络运行单位要按照《通信网络安全防护管理办法》的规定,在工业和信息化部“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)对本单位所有正式上线运行的网络和系统进行定级备案或变更备案。
(二)自查整改。各网络运行单位要对照法律法规和本次检查重点,对本单位网络安全工作进行自查自纠,对自查发现的安全问题逐一做好记录,能立即整改的,要边查边改,无法立即整改的,要采取防范措施,制定整改计划,确保整改落实。2018年9月31日前,基础电信企业集团公司、域名注册管理和服务机构应将本单位自查工作总结报告报部(网络安全管理局),基础电信企业省级公司和互联网公司形成自查工作总结报告报当地通信管理局。
(三)开展抽查。电信主管部门选取部分网络和系统,委托专业技术机构采取现场询问、查阅资料、现场检测、远程渗透、代码检测等方式进行检查。对省级基础电信企业和专业公司网络和系统的检查分别按照《2018年省级基础电信企业网络与信息安全工作考核要点与评分标准》《2018年基础电信企业专业公司网络与信息安全工作考核要点与评分标准》进行量化评分,评分结果分别作为2018年省级基础电信企业和专业公司网络与信息安全责任考核依据。各地通信管理局除抽查省级基础电信企业外,至少抽查当地十家以上增值电信企业,将检查工作总结报告于10月31日前报部(网络安全管理局)。
四、工作要求
(一)加强领导,落实责任。各地电信主管部门、网络运行单位应严格落实工作责任制,精心组织制定工作方案,落实机构、队伍和工作经费,确保检查工作不走过场,确保检查发现的问题得到及时有效整改。发现问题的单位要举一反三,健全网络安全问题闭环管理机制,加强定期巡查、整改核验、考核问责,以检查为契机,不断完善电信和互联网行业网络安全保障体系。
(二)规范检查,严明纪律。各单位要规范检查方法和程序,避免检查工作影响网络和系统的正常运行,检查工作中发现重大问题应及时报我部。采用随机抽取检查对象、随机选派检查队伍的“双随机”方式安排实施检查。任何部门不得向被检查单位收取费用,不得要求被检查单位购买、使用指定的产品和服务。委托专业技术机构进行安全检查,要进行严格审查,签订保密承诺书,并明确专业技术机构及人员的安全责任。要严格遵守有关保密规定,检查结果除按规定报送外,不得提供给其他单位和个人。
(三)加强防范,及时整改。专业检测机构对检查发现的薄弱环节、安全漏洞和安全风险,要现场告知网络运行单位,并指导其防范整改。抽查发现的重大网络安全风险和隐患,电信主管部门可通过《网络安全问题整改通知书》等形式书面向网络运行单位通报,督促其限期整改。网络运行单位要对检查发现的薄弱环节和安全风险进行深入整改,对相关责任部门和责任人进行问责处理,并及时向电信主管部门报告问题整改和问责情况。
(四)强化协同,协调配合。各地通信管理局要强化与网信、公安等部门的协调沟通,按照网络安全工作责任制和中央网信办《关于加强和规范网络安全检查工作的通知》(中网办发文〔2015〕7号)要求,坚持跨部门、跨行业的网络安全检查应由当地网信部门统筹协调,其他部门对电信和互联网行业的网络安全检查应当会同电信主管部门进行,加强协同沟通,提倡开展联合检查,避免交叉重复,基础电信企业向非电信主管部门提供网络安全相关资料和数据的,应征得当地通信管理局同意,或由通信管理局统一协调提供。
特此通知。
附件:网络安全检查工作依据的法律法规和标准
工业和信息化部办公厅
2018年8月6日
(联系电话:010-66022093)
附件
网络安全检查工作依据的法律法规和标准
一、法律法规
1. 《中华人民共和国网络安全法》
2. 《通信网络安全防护管理办法》
3. 《电信和互联网用户个人信息保护规定》
二、电信和互联网安全防护体系系列标准
1. 《移动通信网安全防护要求》
2. 《移动通信网安全防护检测要求》
3. 《互联网安全防护要求》
4. 《互联网安全防护检测要求》
5. 《增值业务网—消息网安全防护要求》
6. 《增值业务网—消息网安全防护检测要求》
7. 《增值业务网—智能网安全防护要求》
8. 《增值业务网—智能网安全防护检测要求》
9. 《接入网安全防护要求》
10.《接入网安全防护检测要求》
11.《传送网安全防护要求》
12.《传送网安全防护检测要求》
13.《IP承载网安全防护要求》
14.《IP承载网安全防护检测要求》
15.《信令网安全防护要求》
16.《信令网安全防护检测要求》
17.《同步网安全防护要求》
18.《同步网安全防护检测要求》
19.《支撑网安全防护要求》
20.《支撑网安全防护检测要求》
21.《域名系统安全防护要求》
22.《域名系统安全防护检测要求》
23.《域名注册系统安全防护要求》
24.《域名注册系统安全防护检测要求》
25.《网上营业厅安全防护要求》
26.《网上营业厅安全防护检测要求》
27.《WAP网关系统安全防护要求》
28.《WAP网关系统安全防护检测要求》
29.《电信网和互联网信息服务业务系统安全防护要求》
30.《电信网和互联网信息服务业务系统安全防护检测要求》
31.《增值业务网即时消息业务系统安全防护要求》
32.《增值业务网即时消息业务系统安全防护检测要求》
33.《移动互联网应用商店安全防护要求》
34.《移动互联网应用商店安全防护检测要求》
35.《互联网内容分发网络安全防护要求》
36.《互联网内容分发网络安全防护检测要求》
37.《互联网数据中心安全防护要求》
38.《互联网数据中心安全防护检测要求》
39.《移动互联网联网应用安全防护要求》
40.《移动互联网联网应用安全防护检测要求》
41.《公众无线局域网安全防护要求》
42.《公众无线局域网安全防护检测要求》
43.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》
44.《电信和互联网用户个人电子信息保护检测要求》