福建省通信管理局关于开展2018年电信和互联网行业网络安全检查工作的通知

【发布日期:2018-09-07】 【来源:福建省通信管理局】 【 字体:

闽通信网安〔2018〕18号

中国电信福建分公司、中国移动福建公司、中国联通福建省分公司,福建广电网络集团股份有限公司,省内互联网域名管理和服务机构、互联网企业,有关单位:
       为深入贯彻习近平总书记在全国网络安全和信息化工作会议上的重要讲话精神,落实关键信息基础设施防护责任,提高我省电信和互联网行业网络安全防护水平,按照《工业和信息化部办公厅关于开展2018年电信和互联网行业网络安全检查工作的通知》(工信厅网安函〔2018〕261号)有关工作要求,我局将组织开展2018年度福建省电信和互联网行业网络安全检查工作。现将有关要求通知如下:
       一、总体要求
       紧紧围绕加快推进网络强国建设发展目标,深入学习领会习近平总书记关于网络安全系列重要讲话精神,加快落实《中华人民共和国网络安全法》,坚持以查促建、以查促管、以查促防、以查促改,以防攻击、防病毒、防入侵、防篡改、防泄密为重点,加强网络安全检查,认清风险现状,排查漏洞隐患,通报检查结果,督促问题整改,强化电信和互联网行业网络安全风险防范和责任落实,全面提升行业网络安全保障水平,保障公共互联网安全、稳定运行。
       二、检查重点
       (一)重点检查对象。本次检查对象为依法获得我局业务经营许可的基础电信企业(中国电信福建公司、中国移动福建公司、中国联通福建分公司、福建广电网络集团股份有限公司)、省内互联网接入服务(ISP)企业、互联网数据中心(IDC)企业以及重点互联网企业建设与运营的网络和系统。检查重点是电信和互联网行业网络基础设施、用户信息和网络数据收集、集中存储与处理系统、企业门户网站和计费系统、域名系统、电子邮件系统、移动应用商店、移动应用程序及后台系统、公共云服务平台、公众无线局域网、公众视频监控摄像头等,重点网约车信息服务平台等。
       (二)重点检查内容。重点检查网络运行单位落实《中华人民共和国网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等法律法规情况,电信和互联网安全防护体系系列标准符合情况,可能存在的弱口令、中高危漏洞和其他网络安全风险隐患等(法律法规和标准依据详见附件1)。
       1.网络安全基础管理现状。重点检查各企业、各单位网络安全管理制度制定与落实情况;网络安全主管领导、相关责任部门、管理和技术人员的履职尽责情况;网络设备和安全服务供应链安全管理情况;本企业所属网络和系统定级备案情况等。
       2.网络安全防护情况。一是重点检查各企业、各单位关键信息基础设施网络安全保护措施以及网络安全技术监测手段的建设和运行情况。如相关网络软硬件和业务系统是否存在系统安全漏洞、业务逻辑漏洞或被植入恶意代码等。二是用户个人信息和网络业务数据安全保护情况。重点检查收集、存储和使用用户个人信息是否符合法律法规和相关标准规定;用户个人信息传输及存储过程中的保护措施;防控内部人员非授权访问的管理措施;开展第三方业务合作过程中用户个人信息的保护与防控措施等。
       3.网络安全事件应急处置工作情况。在基础管理方面,重点检查本企业、本单位网络安全应急技术支撑队伍建设情况,网络安全应急处置预案制定、演练、评估和修订情况;重大网络安全事件的监测发现、报告和处置情况。在日常工作配合方面,重点检查基础电信企业的网络安全事件自主监测上报和配合省局处置情况。
       4.网络安全问题整改情况。重点检查往年网络安全检查工作中自查、抽查发现的问题以及通报问题的整改情况。
       三、工作安排
       (一)定级备案。各企业要按照《通信网络安全防护管理办法》(工业和信息化部令第11号)的规定对本单位所有正式上线运行的网络和系统进行重新梳理,全面开展定级备案或变更备案工作,对至今尚未开展定级备案的信息系统及时完成定级备案,并于9月20日前在工业和信息化部“通信网络安全防护管理系统(https://www.mii-aqfh.cn)”中,完成提交备案信息填报或变更申请工作。
       (二)自查整改。各企业要对照法律法规和本次检查工作的检查重点,对本单位网络安全工作进行全面自查自纠,对自查发现的管理薄弱环节、系统安全漏洞和安全风险等安全问题,要逐一做好记录,对能立即整改的,要边查边改,对无法立即整改的,要采取防范措施,制定整改计划,确保整改落到实处。2018年9月30日前,省级基础电信企业、福建广电网络集团股份有限公司、省内互联网企业形成自查工作总结报告(包含本单位本年度网络安全工作部署情况、网络安全防护体系建设推进情况、自查发现的安全问题及整改情况、下一步工作计划与有关建议,以及按照工信部通信〔2018〕77号文要求有关强化IPV6网络安全防护、网络安全保障措施落实情况等),以书面形式报我局。
       (三)开展抽查。我局选取抽查相关企业部分网络和系统,拟于2018年10月委托专业技术机构,采取听取汇报、现场询问、查阅资料、现场检测、远程渗透、代码检测等方式进行检查。
       同时,我局将同步开展2018年省级基础电信企业网络与信息安全责任考核中期检查(详见闽通信网安〔2018〕17号)。对省级基础电信企业网络和系统的检查按照《福建省通信管理局关于印发<2018年度基础电信企业网络与信息安全责任考核评分标准>的通知》(闽通网安〔2018〕6号)进行量化评分,评分结果分别作为2018年省级基础电信企业网络与信息安全责任考核依据。
       在检查中发现各企业、各单位对工作要求落实不到位的进行约谈,对存在违法违规行为的依法依规处罚,处罚结果纳入电信业务经营不良名单。
       四、工作要求
       (一)高度重视,落实责任。各企业、各单位要高度重视,严格落实工作责任制,精心组织制定工作方案,落实机构、队伍和相关工作经费,加强内部统筹协调,明确责任分工、落实责任人,认真组织做好自查、备查和安全问题整改工作。对自查、检查中发现的安全问题要举一反三,进一步健全网络安全问题闭环管理机制,加强定期巡查、整改核验、内部考核问责。尤其是以此次检查为契机,进一步完善自身网络安全保障体系。请各企业、各单位于9月10日前将此次检查配合工作联系人、联系方式(详见附件2)报我局网络安全管理处。
       (二)规范检查,及时整改。我局将按照工业和信息化部要求采取随机抽取检查对象、随机选派检查队伍的“双随机”方式安排实施检查,对于抽查发现的重大网络安全风险和隐患,我局将通过《网络安全问题整改通知书》等书面形式向各企业通报,督促其限期整改。各企业、各单位要高度重视,对检查发现的管理薄弱环节、系统安全漏洞和安全风险等安全问题即时进行深入整改,对相关责任部门和责任人进行问责处理,并于抽查结束20日内,向我局书面报告安全问题整改落实和问责处理情况。
       (三)统筹配合,规范管理。按照国家网络安全工作责任制和中央网信办《关于加强和规范网络安全检查工作的通知》(中网办发文〔2015〕7号)要求,省内跨部门、跨行业的网络安全检查应由省网信办统筹协调,其他行业外部门对我省电信和互联网行业的网络安全检查应当会同我局进行,加强协调沟通,提倡开展联合检查,避免交叉重复,省内基础电信企业向非电信主管部门提供网络安全相关资料和数据的,应征得我局同意,或由我局统一协调提供。

福建省通信管理局
2018年9月5日
(联系人:林丛茂;联系电话:83175137、18906917778)




附件:
1、 网络安全检查工作依据的法律法规和标准
2、 2018年电信和互联网行业网络安全检查工作配合联络名单
主办单位:福建省通信管理局       地址:福州市乌山西路13号    邮编:350002
© 福建省通信管理局 版权所有    闽ICP备05000001号    网站标识码:bm07130001
技术支持:影创企业