本市各电信企业、互联网企业、域名注册管理和服务机构,各相关单位:
为深入贯彻习近平总书记网络强国战略思想,落实《网络安全法》有关规定,做好建党100周年、城市数字化转型、第十届中国花卉博览会、第四届中国国际进口博览会等网络安全服务保障工作,根据《网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等法律法规和《关于开展2021年全市网络安全专项检查的通知》等文件精神,结合工业和信息化部有关要求以及我局职责,决定组织开展2021年电信和互联网行业网络安全专项检查工作。现将有关要求通知如下:
一、检查目的
深入贯彻习近平总书记网络强国战略思想,落实《网络安全法》有关规定,通过检查掌握本市电信和互联网行业重要网站、平台、生产系统的风险和防护状况,力争以查“促建、促管、促防、促改”,推动企业网络安全主体责任全面落实,做好建党100周年、城市数字化转型、第十届中国花卉博览会、第四届中国国际进口博览会等网络安全服务保障工作。
二、检查对象
检查对象为本市行政区域内面向社会提供互联网信息服务的电信企业、域名注册管理和服务机构、互联网企业(含工业互联网企业)。重点是上海市各基础电信企业、增值电信企业、车联网企业、移动互联网App运营企业等。
三、检查任务
此次检查要重点查清三方面的情况:一是重要网站、平台、生产系统的数量、分布情况、主管单位、网络安全管理机构、运维机构以及联系方式;二是重要网站、平台、生产系统的主要功能、服务范围、数据存储情况以及遭受破坏后的危害性;三是重要网站、平台、生产系统的运行环境、运维方式、网络安全管理和防护情况。同时在检查过程中,及时发现和防范风险,深入挖掘安全隐患。
四、检查内容
(一)检查通信网络单元定级备案、符合性评测和安全风险评估工作落实情况。以增值电信企业为重点,检查企业的通信网络单元安全防护工作开展情况。各电信和互联网企业要按照《通信网络安全防护管理办法》《上海市通信管理局关于加强电信和互联网行业通信网络安全防护管理工作的通知》有关要求,对本单位各类信息系统进行网络单元划分和定级备案,并开展符合性评测和安全风险评估。其中,持有增值电信业务经营许可证的企业应于4月30日前,通过工业和信息化部“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)报送本单位网络单元的定级信息。市通信管理局将组织专家对各网络单元的定级情况进行评审,并将评审结果通报相应报送单位。各单位应在评审通过后三十日内,通过“网络安全监测预警和信息通报管理系统”(通过上海市通信管理局官方网站(http://shca.miit.gov.cn)首页左侧“办事服务”-“网络安全信息通报”进入),对相应单元的定级评审、符合性评测和安全风险评估结果进行备案。
(二)检查工业互联网平台和联网工控设备安全防护情况。各工业互联网企业应对本单位建设、运营的工业互联网平台进行摸底排查,于4月30日前在市通信管理局“网络安全监测预警和信息通报管理系统”报送相关平台信息。各企业应加强对联网设备、系统、平台和终端的网络安全防护,重点对工业互联网服务平台、车联网信息服务平台以及联网工控资产、智能网联汽车终端等进行安全检测和自查整改,及时修复安全漏洞。
(三)检查App个人信息保护工作情况。按照《电信和互联网用户个人信息保护规定》《工业和信息化部关于开展纵深推进App侵害用户权益专项整治行动的通知》要求,深化App侵害用户权益专项整治行动,对照App用户权益保护相关测评规范和App收集使用个人信息最小必要相关评估规范, 重点对App个人信息保护情况开展检查。
(四)检查网络安全管理和技术防护情况。检查各互联网企业按照《网络安全法》有关要求建立安全管理体系制度、开展网络安全相关工作的情况。通过远程检测、现场抽测等方式检查企业网络安全技术防护措施的落实情况和有效性,相关软硬件和业务系统是否存在技术漏洞、业务逻辑漏洞,是否已经被植入恶意代码、被非法远程控制或发生数据泄露事件等。
五、工作安排
(一)动员部署(2021年3月31日前)。对本次网络安全专项检查工作进行动员部署,统一思想,提高认识,规定时限,明确要求。广泛宣传法律法规、政策制度等相关知识,深入解读电信和互联网行业网络安全检查工作的重点环节,动员相关单位积极落实。
(二)全面自查(2021年4月30日前)。各单位要对照《网络安全法》等法律法规要求和本次检查重点,对本单位网络安全工作进行自查自纠,对自查发现的薄弱环节、安全漏洞和安全风险,要逐一做好记录,对能立即整改的,要边查边改,对无法立即整改的,要采取防范措施,制定整改计划,确保整改落实;相关自查情况要形成总结报告,并通过“全市网络安全专项检查填报工具”,按要求规范上报。
(三)重点抽查(2021年5月31日前)。市通信管理局将组织开展电信和互联网行业网络安全攻防演练,并选取部分企业和相关系统,委托专业技术机构进行网络安全远程和现场检测,通过实战检测检验各单位的网络安全防护能力。对检查时发现的薄弱环节、安全漏洞和安全风险,专业技术机构要及时形成检查结果记录报告,并上报市通信管理局。
(四)整改总结(2021年6月15日前)。各企业要对攻防演练和检查中发现的薄弱环节和安全风险进行深入整改,并按时向市通信管理局报告整改情况。市通信管理局将组织总结网络安全检查工作情况,对网络安全工作到位的企业予以表扬,对检查发现的问题隐患进行通报;发现存在违反法律法规行为、问题拒不改正或导致危害网络安全等后果的,依法依规给予行政处罚。
特此通知。
附件:1.全市网络安全专项检查填报工具使用手册
2.网络安全检查总结报告(范本)
3.重要网站、平台、生产系统清单(范本)
4.通信网络安全防护材料报送流程
5.App个人信息保护自查评估报告报送流程
(请点击页面左下角“阅读原文”以下载附件)
上海市通信管理局
2021年3月24日
原文始发于微信公众号(上海通信圈):上海市通信管理局关于开展2021年电信和互联网行业网络安全专项检查的通知