各省、自治區、直轄市通信管理局,中國電信集團有限公司、中國移動通信集團有限公司、中國聯合網絡通信集團有限公司,中國廣播電視網絡有限公司,互聯網域名注冊管理和服務機構,互聯網企業,有關單位:
為深入貫徹習近平總書記關于網絡安全的系列重要講話精神,切實做好新中國成立70周年網絡安全保障工作,全面提升電信和互聯網行業網絡安全防護水平,根據《中華人民共和國網絡安全法》《通信網絡安全防護管理辦法》《電信和互聯網用戶個人信息保護規定》等法律法規,決定組織開展2019年電信和互聯網行業網絡安全行政檢查工作。現將有關要求通知如下:
一、總體要求
緊緊圍繞加快推進網絡強國建設戰略目標,加快落實《中華人民共和國網絡安全法》,堅持以查促建、以查促管、以查促防、以查促改,以防攻擊、防入侵、防篡改、防竊密為重點,深入查找網絡安全風險隱患并強化整改,落實基礎電信企業、域名注冊管理和服務機構、互聯網服務提供者的主體責任,加強網絡安全防護能力建設,著力防范重大網絡安全風險,保證電信網和公共互聯網持續穩定運行和數據安全。
二、檢查對象
檢查對象為依法獲得電信主管部門許可的基礎電信企業、互聯網企業、互聯網域名注冊管理和服務機構(以下統稱“網絡運行單位”)建設與運營的網絡和系統。重點是電信和互聯網行業網絡基礎設施,通過公共互聯網收集、存儲與處理用戶信息和網絡數據的重要信息系統,包括但不限于:IP承載網、支撐網、互聯網數據中心、公共云服務平臺、互聯網內容分發網絡、域名服務系統、工業互聯網平臺、企業門戶網站、即時通信系統、網絡交易系統、電子郵件系統、軟件應用商店、移動應用程序及后臺系統、公眾無線局域網、公眾視頻監控平臺等。
三、檢查內容
檢查網絡運行單位落實《中華人民共和國網絡安全法》《通信網絡安全防護管理辦法》《電信和互聯網用戶個人信息保護規定》等法律法規情況,電信和互聯網安全防護體系系列標準符合情況,仍然存在的弱口令、漏洞和其他風險隱患等。主要包括:
(一)網絡安全管理落實情況。重點檢查內部安全管理制度制定與落實、網絡安全責任部門和人員履職盡責情況,本單位網絡與系統的定級備案、符合性評測和安全風險評估工作開展情況,網絡安全教育和培訓開展情況等。
(二)網絡安全防護技術手段。重點檢查網絡隔離、身份鑒別、訪問控制、口令管理、邊界防護、數據保護、容災備份、安全審計等網絡安全防護技術措施的標準符合性和有效性,以及網絡安全監測手段的建設和運行情況。
(三)仍然存在的漏洞等風險隱患。重點檢查軟硬件系統存在的漏洞、弱口令、后門、被植入惡意程序、網站被篡改、被非法入侵、被非法遠程控制等。
四、工作安排
(一)自查自糾。各單位全面梳理所有正式上線運行的網絡與系統,7月10日前,在“通信網絡安全防護管理系統”(https://www.mii-aqfh.cn)完成定級備案,并核實已有備案信息的內容,對不準確、不完整的備案信息予以補正,定級備案完成情況將作為電信主管部門檢查評估的重點內容。組織開展本單位網絡與系統的自查評估,及時整改并做好自查總結,7月15日前,基礎電信企業集團公司和域名注冊管理機構將本單位自查工作總結報告報部(網絡安全管理局),基礎電信企業省級公司、域名注冊服務機構和互聯網公司根據屬地通信管理局要求上報自查總結報告。
(二)檢查評估。電信主管部門選取部分重要的網絡和系統,委托專業技術機構采取現場訪談、資料查閱、現場檢測、遠程滲透、代碼檢測等方式進行現場檢查;選取部分與公共互聯網連接的重要信息系統進行遠程技術檢測。對檢查過程中發現的問題,電信主管部門通過整改通知書等形式責令被檢查單位限期整改。各地通信管理局除抽查基礎電信企業省級公司外,還要抽查當地重點互聯網企業和域名注冊服務機構,并可對屬地內基礎電信企業集團公司直屬專業公司進行抽查,將檢查工作總結報告于8月31日前報部(網絡安全管理局)。
(三)整改問責。各單位對檢查發現的薄弱環節和安全風險進行深入整改,并及時向電信主管部門報告整改情況。對基礎電信企業省級公司和專業公司,將其網絡和系統檢查結果作為2019年省級基礎電信企業和專業公司網絡與信息安全責任考核依據。對域名注冊管理和服務機構、互聯網企業,發現存在違反法律法規行為、問題拒不改正或導致危害網絡安全等后果的,依法依規給予行政處罰。
五、工作要求
(一)高度重視,落實責任。各單位要充分認識到網絡安全行政檢查是電信主管部門依法開展行政管理和推進網絡安全防護工作落實的重要舉措,加強組織領導,制定工作方案,明確責任分工,全面深入開展自查自糾工作,積極配合電信主管部門做好監督檢查,堅決確保重大活動期間網絡安全。
(二)規范檢查,嚴明紀律。按照《國務院辦公廳關于推廣隨機抽查規范事中事后監管的通知》,隨機抽取檢查對象、隨機選派檢查人員,及時公開檢查情況和結果。規范檢查方法和程序,避免檢查工作影響網絡和系統的正常運行。被檢查單位對檢查工作中出現的違規違紀行為,可通過電話(010-66022093)或郵箱( wac@miit.gov.cn)進行投訴。
(三)問題導向,注重實效。各單位要強化問題導向,改進自查評估和監督檢查的方法,增強問題發現和整改能力,既要解決已發現的問題,又要注重挖掘問題背后的制度不健全、責任不落實、技術能力不足、人員隊伍欠缺等深層次原因,舉一反三,切實提升檢查工作實效,健全網絡安全問題閉環管理機制。
工業和信息化部網絡安全管理局
2019年5月30日
