为深入贯彻习近平总书记关于网络安全的系列重要讲话精神,进一步提升我省电信和互联网行业网络与数据安全防护水平,切实做好党的二十大网络安全保障工作,按照工业和信息化部、省委省政府对相关专项工作部署精神及要求,依据《网络安全法》《数据安全法》《个人信息保护法》等相关法律法规及文件要求,结合我局工作职责,我局决定组织开展2022年电信和互联网行业网络与数据安全检查工作。有关事项通知如下:
一、总体目标
深入贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《通信网络安全防护管理办法》(工业和信息化部令第11号,以下简称《管理办法》)等法律法规,坚持以查促建、以查促管、以查促防、以查促改,强化行业的风险防范及主体责任落实,做好行业重点信息基础设施安全防护,保障电信网和公共互联网的持续安全稳定运行,共筑网络和数据安全防线,推动电信和互联网行业网络安全与数据安全工作再上新台阶,以优异成绩迎接党的二十大胜利召开。
二、检查对象
提供公共互联网信息服务的基础电信企业、域名服务机构、云平台服务提供商、APP运营企业、车联网平台企业、工业互联网平台和标识解析节点企业等(以下统称“网络运行单位”)。重点检查相关网络运行单位的关键信息基础设施和重要网络单元及承载的信息系统,包括但不限于:通信网络基础设施、公共云服务平台、域名服务系统、工业互联网平台、标识解析系统、车联网应用服务平台、网约车信息服务平台等。
三、检查内容
(一)网络安全管理制度和保障体系建设落实情况
检查企业落实《网络安全法》《管理办法》,建立和完善本企业的网络安全管理制度和保障体系,开展《网络安全法》《管理办法》等法律法规规章的学习,强化日常自身网络安全管理和防护等情况。
(二)通信网络安全防护工作落实情况
以增值电信企业为重点,检查企业的通信网络单元安全防护工作开展情况。各增值电信企业要按照《管理办法》有关要求,对本单位各类信息系统进行网络单元划分和定级备案,并开展符合性评测和安全风险评估。各增值电信企业应于2022年4月底前,通过工业和信息化部“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)报送本单位网络单元的定级信息。
为有效防范重要保障时期可能发生的各类网络安全事件,各企业要自行组织力量或者委托省内具有通信网络安全专业服务能力资质的机构开展对本单位重要的通信网络和信息系统进行一次全方位的网络安全符合性评测和安全风险评估工作。我局将组织专业机构开展远程网络安全检查,对未开展定级备案以及发现系统存在安全隐患的企业,将定期通报,严重的采取行政处罚措施。
(三)数据安全保护落实情况
检查企业落实《数据安全法》《电信和互联网企业数据安全合规性评估要点》要求:持续完善本单位数据安全管理制度和技术保护措施的情况;落实开展网络数据安全合规性评估,数据分类分级管理、对外合作安全管理、访问权限管理和安全审计情况;及时发现和处置非授权访问、批量复制或转移、删改异常情况;数据安全事件应急预案制定,重要数据备份和加密等工作情况。
(四)个人信息保护工作情况
检查企业按照《个人信息保护法》《电信和互联网用户个人信息保护规定》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》要求,落实电信和互联网行业个人信息保护专项治理工作情况。按照APP用户权益保护相关测评规范和APP收集使用个人信息最小必要相关评估规范,重点对移动互联网APP运营企业的APP个人信息保护情况开展检查。
(五)工业互联网企业网络安全防护情况
检查相关企业落实工信部文件《工业互联网企业网络安全分类分级管理指南(试行)》的情况,是否按照要求进行分类定级、落实相应级别的网络安全防护措施以及开展网络安全风险评估。重点检查工业互联网服务平台、工业互联网标识解析系统企业。
四、工作安排
(一)自查自纠(通知印发之日起至4月30日)。各企业要统一思想,提高认识,对照相关法律法规要求,对本单位网络安全和数据安全工作进行自查自纠,对自查发现的安全问题要逐一做好记录,立即整改,要采取防范措施,制定整改计划,确保整改落实。
(二)通报处置(通知印发之日起至9月30日)。依托工业和信息化部的网络安全威胁共享平台和我局监测数据,对企业存在高中危漏洞、僵尸网络、移动互联网恶意程序、恶意主机、数据泄露等安全威胁开展专项治理,对其采取通报、约谈、(暂停)停止接入、行政处罚等措施。
(三)重点抽查(7月1日起至9月30日)。我局将结合2022年“双随机一公开”网络安全检查工作,委托专业技术机构通过访谈、资料查阅、现场技术抽测等方式检查企业网络安全和数据安全技术防护措施的落实情况,重点检查相关软硬件和业务系统是否存在安全漏洞,是否已被植入恶意代码、被非法远程控制或发生数据泄露事件等。
(四)整改问责。对检查过程中发现的问题,各单位要高度重视,认真整改。对相关网络运行单位拒不配合检查或在检查中发现存在违规问题逾期不改正或导致危害网络安全等后果的,将依法依规给予警告、罚款等行政处罚并纳入不良名单和失信名单。
广东省通信管理局
2022年3月17日