bob体育平台官网

图片
您当前的位置: 首页  >  通知公告  >  其他 > 正文
浙江省通信管理局关于开展2019年电信和互联网行业网络安全检查工作的通知
发布时间:2019年05月28日

中国电信浙江公司、中国移动浙江公司、中国联通浙江分公司,省内电信业务经营者,互联网域名注册服务提供者,相关单位:

根据《中华人民共和国网络安全法》、《通信网络安全防护管理办法》(bob体育平台官网令第11号)和《电信和互联网用户个人信息保护规定》(bob体育平台官网令第24号),,决定组织开展2019年浙江省电信和互联网行业网络安全检查工作。有关事项通知如下:

一、总体要求

依据《中华人民共和国网络安全法》、《通信网络安全防护管理办法》、《电信和互联网用户个人信息保护规定》及有关法律法规、管理政策和标准要求,按照以查促建、以查促管、以查促防、以查促改的要求,以关键信息基础设施防护为基础,以网络数据和用户个人信息保护为重点,进一步强化全省电信和互联网行业网络安全风险防范和责任落实,全面提升行业网络安全保障水平,保障全省公共互联网安全、稳定运行。

二、检查重点

(一)检查对象

省内基础电信企业、增值电信业务经营者、互联网域名注册服务提供者(以下统称网络和系统运行单位)建设和运营的网络和系统。重点检查电信和互联网行业网络基础设施、互联网接入服务系统、用户信息和网络数据收集和集中存储与处理系统、企业门户网站、业务支撑系统、网络管理系统、计费系统、域名系统、电子邮件系统、移动应用商店、移动应用程序及后台系统、公共服务云平台,以及公众视频监控摄像头等重点物联网平台、重点工业互联网平台、网络预约出租汽信息服务平台等情况。

(二)检查内容

1.网络安全管理情况。检查网络安全责任领导、责任部门、管理和技术人员的到位和履职尽责情况,网络安全管理制度建立及落实情况,“三同步”要求落实情况,设备和服务供应链安全管理情况,关键信息基础设施情况梳理及网络和系统定级备案情况,网络安全符合性评测和风险评估工作开展情况,网络安全人员培训、工作经费等保障情况等。

2.网络安全技术防护情况。检查网络隔离、身份鉴别、访问控制、口令管理、边界防护、数据保护、密码应用、容灾备份、安全审计等技术措施的落实情况和有效性,网络安全监测手段的建设和运行情况,相关软硬件和业务系统是否存在技术漏洞、业务逻辑漏洞,是否被植入恶意代码或被非法远程控制等。

3.用户个人信息和网络数据安全保护情况。结合网络数据安全评估和执法检查、网络数据安全技术标准调研等试点工作,检查数据信息收集、存储、使用等过程是否符合法律法规和相关标准规定,用户个人信息和重要数据传输及存储过程中的保护措施,防止内部人员非授权访问的措施,开展业务合作过程中对用户个人信息的保护措施等。

4.网络安全应急工作情况。检查网络安全应急预案制定、演练、评估和修订情况,应急技术支撑队伍建设情况,重大活动和重要时期网络安全服务保障能力,重大网络安全事件的发生、报告和处置情况等。

5.网络安全问题整改情况。重点检查2018年网络安全检查工作中主管部门抽查发现或通报问题的整改情况。

6.bob体育平台官网部署的其他检查内容。

四、检查方式和时间安排

检查采取企业自查和主管部门抽查相结合的方式。

(一)自查整改阶段(即日起至615日)。网络和系统运行单位围绕检查总体要求和检查重点,结合实际组织开展安全自查工作,制定检查实施方案;各网络与系统运行单位应按照《通信网络安全防护管理办法》的规定,通过“增值企业和互联网企业安全防护管理系统https://zzqy.mii-aqfh.cn/cnspmsv.web”完成本企业系统和网络单元的定级备案。对已备案或已提交备案申请的网络和系统,按照《中华人民共和国网络安全法》和《通信网络安全防护管理办法》开展网络安全“三同步”、符合性评测和风险评估,并通过“通信网络安全防护管理系统”或“互联网网络安全服务平台(https://www.cnissp.com)”上传符合性评测报告和风险评估报告。已在2019年电信业务经营信息年报中填报以上报告的无需重复填报。

(二)检查评估阶段(616日至831日)。bob体育平台官网将组织专业技术队伍,按照电信和互联网安全防护体系系列标准(附件1),采取座谈询问、查阅资料、现场检测、远程渗透等方式,对网络和系统运行单位部分重点网络和系统进行抽查。基础电信企业抽查结果纳入2019年省级基础电信企业网络与信息安全责任考核,增值电信企业抽查结果将作为增值电信业务经营许可证年报审核的重要依据。宁波和舟山地区电信和互联网行业网络安全检查由宁波市通信管理局组织实施。

(三)总结阶段(91日至920日)。网络和系统运行单位对检查发现的薄弱环节、安全漏洞和安全风险,逐一做好记录,及时整改,消除隐患。要认真做好网络安全检查工作总结,在总结成绩、分析问题时应坚持定性和定量相结合,总结应包括本年度网络安全防护工作总体情况、取得的成效、存在的主要风险和隐患及整改情况、下一步工作计划等。网络运行单位要920日前将总结报告(模版见附件2)书面报送bob体育平台官网。

五、工作要求

(一)提高认识,落实责任。网络和系统运行单位要从维护国家安全和经济社会稳定的高度,充分认识新形势下网络安全形势的严峻性、复杂性,充分认识做好电信和互联网行业网络安全检查工作的极端重要性和对服务保障建国70周年网络安全的重要意义,严格落实网络安全工作责任制,切实加强网络安全检查工作的组织领导,进一步强化内部统筹协调,明确检查责任,积极主动配合各级电信主管部门做好抽查工作,确保检查工作顺利开展。

(二)认真实施,确保成效。网络和系统运行单位要结合实际,周密制定检查实施方案和工作计划,落实检查部门、检查队伍、检查经费及其他保障条件,全面深入查找安全隐患,切实做到不走过场、不留死角。对检查工作中发现的安全隐患,要举一反三、标本兼治,认真评估风险、分析原因并研究解决办法,督促责任部门落实有针对性的整改措施,健全长效机制,持续推动完善网络安全防护体系。

(三)规范检查,控制风险。网络和系统运行单位要按照严格《中华人民共和国网络安全法》、《通信网络安全防护管理办法》等法律法规和电信和互联网安全防护体系系列标准严格规范自查和配合检查过程中的方法和程序。要强化风险控制,有针对性的制定检查工作应急预案,确保被检查网络和系统的正常运行。要加强对检查活动、检查人员及相关文档和数据的安全保密管理。应当委托具有网络安全风险评估服务资质的单位或通过“互联网网络安全服务平台”进行安全检测,并对技术检测机构背景、技术能力、服务水平、机构和人员资质及安全保密管理措施进行严格审查,签订保密承诺书,明确技术检测机构及人员的安全责任。

 

附件:1.网络安全检查工作依据的法律法规和标准

2.电信和互联网行业网络安全检查工作总结(模版)

3.浙江省互联网协会关于确定网络安全技术服务支撑单位的通知.pdf

              

 

 

 

              浙江省通信管理局

              2019520

(联系人:李扬,黄叶廷,联系电话:0571-870131790571-88092320(传真);邮箱:wac@zca.gov.cn。)

 

 

 

 

附件1

网络安全检查工作依据的法律法规和标准

 

一、法律法规

1.《中华人民共和国网络安全法》

2.《通信网络安全防护管理办法》

3.《电信和互联网用户个人信息保护规定》

二、电信和互联网安全防护体系系列标准

1.《移动通信网安全防护要求》

2.《移动通信网安全防护检测要求》

3.《互联网安全防护要求》

4.《互联网安全防护检测要求》

5.《增值业务网一消息网安全防护要求》

6.《增值业务网一消息网安全防护检测要求》

7.《增值业务网一智能网安全防护要求》

8.《增值业务网一智能网安全防护检测要求》

9.《接入网安全防护要求》

10.《接入网安全防护检测要求》

11.《传送网安全防护要求》

12.《传送网安全防护检测要求》

13.《IP承载网安全防护要求》

14.《IP承载网安全防护检测要求》

15.《信令网安全防护要求》

16.《信令网安全防护检测要求》

17.《同步网安全防护要求》

18.《同步网安全防护检测要求》

19.《支撑网安全防护要求》

20.《支撑网安全防护检测要求》

21.《域名系统安全防护要求》

22.《域名系统安全防护检测要求》

23.《域名注册系统安全防护要求》

24.《域名注册系统安全防护检测要求》

25.《网上营业厅安全防护要求》

26.《网上营业厅安全防护检测要求》

27.《WAP网关系统安全防护要求》

28.《WAP网关系统安全防护检测要求》

29.《电信网和互联网信息服务业务系统安全防护要求》

30.《电信网和互联网信息服务业务系统安全防护检测要求》

31.《增值业务网即时消息业务系统安全防护要求》

32.《增值业务网即时消息业务系统安全防护检测要求》

33.《移动互联网应用商店安全防护要求》

34.《移动互联网应用商店安全防护检测要求》

35.《互联网内容分发网络安全防护要求》

36.《互联网内容分发网络安全防护检测要求》

37.《互联网数据中心安全防护要求》

38.《互联网数据中心安全防护检测要求》

39.《移动互联网联网应用安全防护要求》

40.《移动互联网联网应用安全防护检测要求》

41.《公众无线局域网安全防护要求》

42.《公众无线局域网安全防护检测要求》

43.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》

44.《电信和互联网用户个人电子信息保护检测要求》。
附件2

电信和互联网行业网络安全检查工作总结

(模版)

 

一、工作部署和网络安全防护管理情况

工作部署时间、部署调度、检查方式、承担部门、经费保障等情况。网络安全管理制度建立、责任制落实及各项网络安全管理情况。

二、定级备案、符合性评测和风险评估情况

本单位网络基本情况。网络单元划分、定级情况,向bob体育平台官网备案情况。

对本单位符合性评测进行归纳总结。总结应覆盖检查范围,针对各网络围绕本次安全检查的主要内容,说明落实了哪些防护措施,哪些方面仍不满足要求,并分析原因。

对本单位的风险评估情况进行归纳总结。总结应覆盖检查范围,针对各网络围绕但不限于本次安全检查的主要内容,说明存在的安全隐患和潜在风险,并分析原因。

三、网络数据安全和用户信息保护情况

本单位在用户信息保护方面采取的技术措施、管理方法等。

四、应急工作和宣传教育培训开展情况

网络安全应急预案、应急工作体系统建设、应急演练开展、事件信息报告和应急处置情况等。网络安全宣传教育、领导干部及各级人员网络安全基础培训、信息安全员接受持证上岗培训情况等。

五、整改情况或计划

对符合性评测中不满足要求的情况、以及风险评估中发现的安全隐患,说明哪些方面已经在检查过程中完成了整改,哪些方面短期内无法整改但制定了整改计划,并概要说明整改计划。

六、意见建议

对网络安全检查工作的具体意见和建议。

CopyRight2015-2017 浙江省通信管理局版权所有 备案号浙ICP备05000005号-1