各相关单位:
为深入贯彻习近平总书记关于网络安全的系列重要讲话精神,加强上海市电信和互联网行业网络与信息安全工作,根据《网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》《互联网新技术新业务信息安全评估管理办法(试行)》等有关法律法规和我局职责,决定组织开展2018年上海市电信和互联网行业网络安全检查工作。现将有关要求通知如下:
一、工作目标
指导督促电信和互联网企业深入贯彻习近平总书记关于网络安全的系列重要讲话精神,加快落实《网络安全法》有关法律要求,推进《上海市互联网网络安全信息通报实施办法》关于网络安全信息通报有关机制的实施,坚持“以查促建、以查促管、以查促防、以查促改”,以防攻击、防病毒、防篡改、防泄密为重点,深入查找薄弱环节并强化整改,切实强化全行业网络安全风险意识、忧患意识和责任意识,进一步提高电信和互联网行业网络安全保障水平,维护上海市公共互联网安全、稳定运行。
二、检查对象
检查对象为依法获得电信主管部门许可的基础电信企业和互联网企业。重点是上海市各基础电信企业、各通过通信主管部门网约车线上服务能力审核的企业(以下简称网约车企业)、各车联网信息服务企业、各数据中心和云服务企业等。
三、检查内容
(一)网络信息系统摸底排查情况。重点检查企业对各自所属的网络信息系统的摸底排查工作落实情况。各基础电信企业要对本单位的所有网络信息系统、各网约车企业要对本单位的网约车平台系统进行定级备案或变更备案,并按照《通信网络安全防护管理办法》的规定开展符合性评测和安全风险评估;各互联网企业要对本单位的所有互联网信息系统进行摸底清查,梳理统计系统信息和业务功能。
(二)网络安全信息报送工作情况。重点检查企业按照《上海市互联网网络安全信息通报实施办法》的要求开展网络安全监测预警情况以及向市通信管理局报送网络安全事件信息等工作落实情况。各电信和互联网企业要按照《上海市互联网网络安全信息通报实施办法》有关要求,制定并完善本单位信息监测机制和信息通报机制,自主监测涉及本单位管理范围内的信息,并按照有关工作流程定期向市通信管理局上报网络安全事件信息。
(三)用户个人信息和网络数据安全保护情况。重点检查企业收集、存储和使用用户个人信息是否符合法律法规和相关标准规定;用户个人信息和重要数据传输及存储过程中的保护措施;防止内部人员非授权访问的措施;开展业务合作过程中对用户个人信息的保护措施等。
(四)网络安全应急演练和安全培训工作情况。重点检查企业网络安全应急预案的制定实施情况,网络安全培训制度的制定实施情况,本年度网络安全应急演练和网络安全培训工作的计划制定、部署实施和开展成果等情况。
(五)网络安全技术防护情况。重点检查网络隔离、身份鉴别、访问控制、口令管理、边界防护、数据保护、密码应用、容灾备份、安全审计等技术措施的落实情况和有效性;网络安全监测手段的建设和运行情况;相关软硬件和业务系统是否存在技术漏洞、业务逻辑漏洞,是否已经被植入恶意代码或被非法远程控制等。
(六)互联网业务名录管理和安全评估工作情况。重点检查企业对本单位互联网业务的清单梳理和名录管理情况;对2018年新上线的互联网新技术新业务的安全评估工作开展情况。
四、时间安排
(一)动员部署(2018年5月31日前)。对本次网络安全检查工作进行动员部署,统一思想,提高认识,规定时限,明确要求。广泛宣传法律法规、政策制度等相关知识,深入解读电信和互联网行业网络安全检查工作的重点环节,动员相关单位积极参与。
(二)全面自查(2018年6月30日前)。各单位要对照《网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》《互联网新技术新业务信息安全评估管理办法(试行)》等有关法律法规的要求和本次检查重点,对本单位网络信息安全工作进行自查自纠,对自查发现的薄弱环节、安全漏洞和安全风险,要逐一做好记录,对能立即整改的,要边查边改,对无法立即整改的,要采取防范措施,制定整改计划,确保整改落实。完成自查后,各单位要按照市通信管理局规定及时上报相关材料。
(三)重点抽查(2018年8月31日前)。市通信管理局将选取部分企业和相关系统,委托专业技术机构采取现场询问、查阅资料、现场检测、远程渗透、源代码检测等方式进行网络安全抽查。专业技术机构对检查发现的薄弱环节、安全漏洞和安全风险,要现场告知相关单位,并指导其进行防范整改;抽查完成后要结合远程渗透结果和企业网络安全信息上报情况,形成检查报告,上报市通信管理局。对省级基础电信企业网络和系统的检查将按照《网络单元安全防护检测评分方法》进行量化评分,评分结果作为2018年省级基础电信企业网络与信息安全责任考核依据。
(四)整改总结(2018年9月30日前)。各电信和互联网企业要对检查发现的薄弱环节和安全风险进行深入整改,并及时向市通信管理局报告整改情况。市通信管理局将组织召开网络安全检查工作总结会,点评安全检查情况,对网络安全工作到位的企业予以表扬,对检查发现的问题隐患进行通报。
五、工作要求
(一)提高认识,加强管理。各单位要深入学习领会习近平总书记关于网络安全的系列重要讲话精神,从国家安全战略高度充分认识本单位各类网络信息系统的重要性,充分认识新形势下网络攻击威胁的严峻性复杂性,坚持预防为主,强化安全管理,配合主管部门不断完善电信和互联网行业网络安全保障体系。
(二)强化自查,落实责任。各单位要高度重视行业网络安全检查工作,要按照“谁运行谁负责”的原则牢固树立本单位网络和系统安全的主责意识,建立健全内部网络安全对标达标、监督检查和责任追究制度,做到责任到人,积极配合电信主管部门组织开展的监督检查。
(三)规范检查,控制风险。检查工作过程中要规范检查方法和程序,避免检查工作影响网络和系统的正常运行;任何检查人员和专业技术机构人员不得向被检查单位收取费用,不得要求被检查单位购买、使用指定的产品和服务。专业技术机构进行安全检查的,要进行严格审查,签订保密承诺书,并明确专业技术机构及人员的安全责任。
特此通知。
上海市通信管理局
2018年4月28日