上海市通信管理局关于开展2017年电信和互联网行业网络安全检查工作的通知
2017-4-12
各相关单位:
为深入贯彻习近平总书记关于网络安全的系列重要讲话精神,加强上海市电信和互联网行业服务保障党的十九大网络安全工作,按照工业和信息化部有关要求以及上海市委网络安全和信息化领导小组《关于开展2017年上海市关键信息基础设施网络安全检查的通知》有关精神,根据《通信网络防护管理办法》(工业和信息化部令第11号)、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)和我局职责,决定组织开展2017年电信和互联网行业网络安全检查工作。现将有关要求通知如下:
一、检查目的
指导督促电信和互联网企业深入贯彻习近平总书记关于网络安全的系列重要讲话精神,加快落实《网络安全法》有关法律要求,切实做好上海市电信和互联网行业服务保障党的十九大网络安全工作;进一步推进《上海市互联网网络安全信息通报实施办法》关于网络安全信息通报有关机制的实施;推动关键信息基础设施网络安全责任制和防范体系建设;以防攻击、防病毒、防篡改、防泄密为重点,深入查找薄弱环节并强化整改,坚持“以查促建、以查促管、以查促防、以查促改”,推动全行业网络安全管理体系建设和安全防护水平提升,为党的十九大胜利召开做好网络安全服务保障工作。
二、检查对象
依法获得电信主管部门许可的上海市基础电信企业、互联网企业、互联网域名注册和服务机构。
三、检查内容
(一)网络安全管理情况。重点检查企业网络安全管理组织建设情况、日常安全监督和审计情况以及网络安全意识培养和管理情况等。
(二)网络安全信息报送工作落实情况。重点检查企业按照《上海市互联网网络安全信息通报实施办法》要求开展网络安全监测预警情况,定期向市通信管理局报送网络安全事件信息等工作落实情况。
(三)关键信息基础设施情况。重点检查关键信息基础设施的数量、分布情况、主管单位、网络安全管理机构、运维机构以及联系方式等情况;主要功能、服务范围、数据存储情况以及遭到破坏后的危害性等情况;运行环境、运维方式、网络安全管理和防护情况等情况。
(四)网络安全技术防护情况。重点检查网络隔离、身份鉴别、访问控制、口令管理、边界防护、数据保护、密码应用、容灾备份、安全审计等技术措施的落实情况和有效性;网络安全监测手段的建设和运行情况;相关软硬件和业务系统是否存在技术漏洞、业务逻辑漏洞,是否已经被植入恶意代码或被非法远程控制等。
(五)用户个人信息和网络数据安全保护情况。重点检查收集、存储和使用用户个人信息是否符合法律法规和相关标准规定;用户个人信息和重要数据传输及存储过程中的保护措施;防止内部人员非授权访问的措施;开展业务合作过程中对用户个人信息的保护措施等。
四、检查方式
(一)开展网络安全信息上报工作。市通信管理局将建立网络安全信息上报系统化工作流程,各单位要按照《上海市互联网网络安全信息通报实施办法》有关要求,制定并完善本单位信息监测机制和信息通报机制,提高监测能力,自主监测涉及本单位管理范围内的信息,并按照工作流程定期向市通信管理局上报网络安全事件信息。
(二)开展网络安全自查整改。各单位要对照《通信网络安全防护管理办法》、《电信和互联网用户个人信息保护规定》的要求和本次检查重点,对本单位网络安全工作进行自查自纠,对自查发现的薄弱环节、安全漏洞和安全风险,要逐一做好记录,对能立即整改的,要边查边改,对无法立即整改的,要采取防范措施,制定整改计划,确保整改落实。完成自查后,各单位需按照市通信管理局要求及时上报自查相关材料。
(三)开展网络安全抽查。市通信管理局选取部分企业和系统,委托专业技术机构采取现场询问、查阅资料、现场检测、远程渗透、源代码检测等方式进行网络安全抽查。专业技术机构对检查发现的薄弱环节、安全漏洞和安全风险,要现场告知相关单位,并指导其进行防范整改;抽查完成后要结合远程渗透结果和企业网络安全信息上报情况,形成检查报告,上报市通信管理局。对省级基础电信企业网络和系统的检查将按照《网络单元安全防护检测评分方法》进行量化评分,评分结果作为2017年省级基础电信企业网络与信息安全责任考核依据。
五、工作要求
(一)提高认识,加强管理。各单位要深入学习领会习近平总书记关于网络安全的系列重要讲话精神,从国家安全战略高度充分认识本单位关键信息基础设施和各类网络系统的重要性,充分认识新形势下网络攻击威胁的严峻性复杂性,坚持预防为主,强化网络安全管理,配合主管部门不断完善电信和互联网行业网络安全保障体系。
(二)强化自查,落实责任。各单位要高度重视行业网络安全检查工作,要按照“谁运行谁负责”的原则牢固树立本单位网络和系统安全的主责意识,建立健全内部网络安全对标达标、监督检查和责任追究制度,做到责任到人,积极配合电信主管部门组织开展的监督检查。
(三)规范检查,控制风险。检查工作过程中要规范检查方法和程序,避免检查工作影响网络和系统的正常运行;任何检查人员和专业技术机构人员不得向被检查单位收取费用,不得要求被检查单位购买、使用指定的产品和服务。专业技术机构进行安全检查的,要进行严格审查,签订保密承诺书,并明确专业技术机构及人员的安全责任。
特此通知。
(联系电话:021-63905198)
为深入贯彻习近平总书记关于网络安全的系列重要讲话精神,加强上海市电信和互联网行业服务保障党的十九大网络安全工作,按照工业和信息化部有关要求以及上海市委网络安全和信息化领导小组《关于开展2017年上海市关键信息基础设施网络安全检查的通知》有关精神,根据《通信网络防护管理办法》(工业和信息化部令第11号)、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)和我局职责,决定组织开展2017年电信和互联网行业网络安全检查工作。现将有关要求通知如下:
一、检查目的
指导督促电信和互联网企业深入贯彻习近平总书记关于网络安全的系列重要讲话精神,加快落实《网络安全法》有关法律要求,切实做好上海市电信和互联网行业服务保障党的十九大网络安全工作;进一步推进《上海市互联网网络安全信息通报实施办法》关于网络安全信息通报有关机制的实施;推动关键信息基础设施网络安全责任制和防范体系建设;以防攻击、防病毒、防篡改、防泄密为重点,深入查找薄弱环节并强化整改,坚持“以查促建、以查促管、以查促防、以查促改”,推动全行业网络安全管理体系建设和安全防护水平提升,为党的十九大胜利召开做好网络安全服务保障工作。
二、检查对象
依法获得电信主管部门许可的上海市基础电信企业、互联网企业、互联网域名注册和服务机构。
三、检查内容
(一)网络安全管理情况。重点检查企业网络安全管理组织建设情况、日常安全监督和审计情况以及网络安全意识培养和管理情况等。
(二)网络安全信息报送工作落实情况。重点检查企业按照《上海市互联网网络安全信息通报实施办法》要求开展网络安全监测预警情况,定期向市通信管理局报送网络安全事件信息等工作落实情况。
(三)关键信息基础设施情况。重点检查关键信息基础设施的数量、分布情况、主管单位、网络安全管理机构、运维机构以及联系方式等情况;主要功能、服务范围、数据存储情况以及遭到破坏后的危害性等情况;运行环境、运维方式、网络安全管理和防护情况等情况。
(四)网络安全技术防护情况。重点检查网络隔离、身份鉴别、访问控制、口令管理、边界防护、数据保护、密码应用、容灾备份、安全审计等技术措施的落实情况和有效性;网络安全监测手段的建设和运行情况;相关软硬件和业务系统是否存在技术漏洞、业务逻辑漏洞,是否已经被植入恶意代码或被非法远程控制等。
(五)用户个人信息和网络数据安全保护情况。重点检查收集、存储和使用用户个人信息是否符合法律法规和相关标准规定;用户个人信息和重要数据传输及存储过程中的保护措施;防止内部人员非授权访问的措施;开展业务合作过程中对用户个人信息的保护措施等。
四、检查方式
(一)开展网络安全信息上报工作。市通信管理局将建立网络安全信息上报系统化工作流程,各单位要按照《上海市互联网网络安全信息通报实施办法》有关要求,制定并完善本单位信息监测机制和信息通报机制,提高监测能力,自主监测涉及本单位管理范围内的信息,并按照工作流程定期向市通信管理局上报网络安全事件信息。
(二)开展网络安全自查整改。各单位要对照《通信网络安全防护管理办法》、《电信和互联网用户个人信息保护规定》的要求和本次检查重点,对本单位网络安全工作进行自查自纠,对自查发现的薄弱环节、安全漏洞和安全风险,要逐一做好记录,对能立即整改的,要边查边改,对无法立即整改的,要采取防范措施,制定整改计划,确保整改落实。完成自查后,各单位需按照市通信管理局要求及时上报自查相关材料。
(三)开展网络安全抽查。市通信管理局选取部分企业和系统,委托专业技术机构采取现场询问、查阅资料、现场检测、远程渗透、源代码检测等方式进行网络安全抽查。专业技术机构对检查发现的薄弱环节、安全漏洞和安全风险,要现场告知相关单位,并指导其进行防范整改;抽查完成后要结合远程渗透结果和企业网络安全信息上报情况,形成检查报告,上报市通信管理局。对省级基础电信企业网络和系统的检查将按照《网络单元安全防护检测评分方法》进行量化评分,评分结果作为2017年省级基础电信企业网络与信息安全责任考核依据。
五、工作要求
(一)提高认识,加强管理。各单位要深入学习领会习近平总书记关于网络安全的系列重要讲话精神,从国家安全战略高度充分认识本单位关键信息基础设施和各类网络系统的重要性,充分认识新形势下网络攻击威胁的严峻性复杂性,坚持预防为主,强化网络安全管理,配合主管部门不断完善电信和互联网行业网络安全保障体系。
(二)强化自查,落实责任。各单位要高度重视行业网络安全检查工作,要按照“谁运行谁负责”的原则牢固树立本单位网络和系统安全的主责意识,建立健全内部网络安全对标达标、监督检查和责任追究制度,做到责任到人,积极配合电信主管部门组织开展的监督检查。
(三)规范检查,控制风险。检查工作过程中要规范检查方法和程序,避免检查工作影响网络和系统的正常运行;任何检查人员和专业技术机构人员不得向被检查单位收取费用,不得要求被检查单位购买、使用指定的产品和服务。专业技术机构进行安全检查的,要进行严格审查,签订保密承诺书,并明确专业技术机构及人员的安全责任。
特此通知。
上海市通信管理局
2017年4月10日
(联系电话:021-63905198)