工信部：2018年電信和互聯(lián)網行業(yè)網絡安全檢查工作的通知

【計算機論文】工信部：2018年電信和互聯(lián)網行業(yè)網絡安全檢查工作的通知

(電子商務研究中心訊)工業(yè)和信息化部辦公廳關于開展2018年電信和互聯(lián)網行業(yè)網絡安全檢查工作的通知工信廳網安函〔2018〕261號各省、自治區(qū)、直轄市通信管理局，中國電信集團有限公司、中國移動通信集團有限公司、中國聯(lián)合網絡通信集團有限公司、中國廣播電視網絡有限公司，互聯(lián)網域名注冊管理和服務機構，互聯(lián)網企業(yè)，有關單位：為深入貫徹習近平總書記在全國網絡安全和信息化工作會議上的重要講話精神，落實關鍵信息基礎設施防護責任，提高電信和互聯(lián)網行業(yè)網絡安全防護水平，根據《中華人民共和國網絡安全法》、《通信網絡安全防護管理辦法》（工業(yè)和信息化部令第11號）、《電信和互聯(lián)網用戶個人信息保護規(guī)定》（工業(yè)和信息化部令第24號），決定組織開展2018年電信和互聯(lián)網行業(yè)網絡安全檢查工作。現(xiàn)將有關要求通知如下：一、總體要求緊緊圍繞加快推進網絡強國建設戰(zhàn)略目標，深入學習領會習近平總書記關于網絡安全的系列重要講話精神，加快落實《中華人民共和國網絡安全法》，堅持以查促建、以查促管、以查促防、以查促改，以防攻擊、防病毒、防入侵、防篡改、防泄密為重點，加強網絡安全檢查，認清風險現(xiàn)狀，排查漏洞隱患，通報檢查結果，督促整改問題，強化電信和互聯(lián)網行業(yè)網絡安全風險防范和責任落實，全面提升行業(yè)網絡安全保障水平，保障公共互聯(lián)網安全、穩(wěn)定運行。二、檢查重點（一）重點檢查對象。檢查對象為依法獲得電信主管部門許可的基礎電信企業(yè)、互聯(lián)網企業(yè)、域名注冊管理和服務機構（以下統(tǒng)稱網絡運行單位）建設與運營的網絡和系統(tǒng)。重點是電信和互聯(lián)網行業(yè)網絡基礎設施、用戶信息和網絡數(shù)據收集、集中存儲與處理的系統(tǒng)、企業(yè)門戶網站和計費系統(tǒng)、域名系統(tǒng)、電子郵件系統(tǒng)、移動應用商店、移動應用程序及后臺系統(tǒng)、公共云服務平臺、公眾無線局域網、公眾視頻監(jiān)控攝像頭等重點物聯(lián)網平臺、網約車信息服務平臺、車聯(lián)網信息服務平臺等。（二）重點檢查內容。重點檢查網絡運行單位落實《中華人民共和國網絡安全法》《通信網絡安全防護管理辦法》《電信和互聯(lián)網用戶個人信息保護規(guī)定》等法律法規(guī)情況，電信和互聯(lián)網安全防護體系系列標準符合情況，可能存在的弱口令、中高危漏洞和其他網絡安全風險隱患等（法律法規(guī)和標準依據詳見附件）。三、工作安排（一）定級備案。各網絡運行單位要按照《通信網絡安全防護管理辦法》的規(guī)定，在工業(yè)和信息化部“通信網絡安全防護管理系統(tǒng)”（）對本單位所有正式上線運行的網絡和系統(tǒng)進行定級備案或變更備案。（二）自查整改。各網絡運行單位要對照法律法規(guī)和本次檢查重點，對本單位網絡安全工作進行自查自糾，對自查發(fā)現(xiàn)的安全問題逐一做好記錄，能立即整改的，要邊查邊改，無法立即整改的，要采取防范措施，制定整改計劃，確保整改落實。2018年9月31日前，基礎電信企業(yè)集團公司、域名注冊管理和服務機構應將本單位自查工作總結報告報部（網絡安全管理局），基礎電信企業(yè)省級公司和互聯(lián)網公司形成自查工作總結報告報當?shù)赝ㄐ殴芾砭?。（三）開展抽查。電信主管部門選取部分網絡和系統(tǒng)，委托專業(yè)技術機構采取現(xiàn)場詢問、查閱資料、現(xiàn)場檢測、遠程滲透、代碼檢測等方式進行檢查。對省級基礎電信企業(yè)和專業(yè)公司網絡和系統(tǒng)的檢查分別按照《2018年省級基礎電信企業(yè)網絡與信息安全工作考核要點與評分標準》《2018年基礎電信企業(yè)專業(yè)公司網絡與信息安全工作考核要點與評分標準》進行量化評分，評分結果分別作為2018年省級基礎電信企業(yè)和專業(yè)公司網絡與信息安全責任考核依據。各地通信管理局除抽查省級基礎電信企業(yè)外，至少抽查當?shù)厥乙陨显鲋惦娦牌髽I(yè)，將檢查工作總結報告于10月31日前報部（網絡安全管理局）。四、工作要求（一）加強領導，落實責任。各地電信主管部門、網絡運行單位應嚴格落實工作責任制，精心組織制定工作方案，落實機構、隊伍和工作經費，確保檢查工作不走過場，確保檢查發(fā)現(xiàn)的問題得到及時有效整改。發(fā)現(xiàn)問題的單位要舉一反三，健全網絡安全問題閉環(huán)管理機制，加強定期巡查、整改核驗、考核問責，以檢查為契機，不斷完善電信和互聯(lián)網行業(yè)網絡安全保障體系。（二）規(guī)范檢查，嚴明紀律。各單位要規(guī)范檢查方法和程序，避免檢查工作影響網絡和系統(tǒng)的正常運行，檢查工作中發(fā)現(xiàn)重大問題應及時報我部。采用隨機抽取檢查對象、隨機選派檢查隊伍的“雙隨機”方式安排實施檢查。任何部門不得向被檢查單位收取費用，不得要求被檢查單位購買、使用指定的產品和服務。委托專業(yè)技術機構進行安全檢查，要進行嚴格審查，簽訂保密承諾書，并明確專業(yè)技術機構及人員的安全責任。要嚴格遵守有關保密規(guī)定，檢查結果除按規(guī)定報送外，不得提供給其他單位和個人。（三）加強防范，及時整改。專業(yè)檢測機構對檢查發(fā)現(xiàn)的薄弱環(huán)節(jié)、安全漏洞和安全風險，要現(xiàn)場告知網絡運行單位，并指導其防范整改。抽查發(fā)現(xiàn)的重大網絡安全風險和隱患，電信主管部門可通過《網絡安全問題整改通知書》等形式書面向網絡運行單位通報，督促其限期整改。網絡運行單位要對檢查發(fā)現(xiàn)的薄弱環(huán)節(jié)和安全風險進行深入整改，對相關責任部門和責任人進行問責處理，并及時向電信主管部門報告問題整改和問責情況。（四）強化協(xié)同，協(xié)調配合。各地通信管理局要強化與網信、公安等部門的協(xié)調溝通，按照網絡安全工作責任制和中央網信辦《關于加強和規(guī)范網絡安全檢查工作的通知》（中網辦發(fā)文〔2015〕7號）要求，堅持跨部門、跨行業(yè)的網絡安全檢查應由當?shù)鼐W信部門統(tǒng)籌協(xié)調，其他部門對電信和互聯(lián)網行業(yè)的網絡安全檢查應當會同電信主管部門進行