上海市通信管理局关于规范和加强公共互联网网络安全监测预警和信息通报工作的通知
本市各电信企业、域名注册管理和服务机构、互联网企业、网络安全专业机构、网络安全企业,相关单位:
为加强维护上海市公共网络的安全稳定运行,健全完善公共互联网领域网络安全监测预警和信息通报制度,切实做好中国国际进口博览会网络安全保障工作,根据《网络安全法》《公共互联网网络安全威胁监测与处置办法》《上海市公共互联网网络安全突发事件应急预案》等法律法规和规定的要求,结合我局职责,决定规范和加强本市公共互联网网络安全监测预警和信息通报工作。现将有关要求通知如下:
一、报送范围
公共互联网网络安全信息的报送单位为在本市行政区域内面向社会提供服务的电信企业、域名注册管理和服务机构、互联网企业(含工业互联网平台企业);报送内容为本单位基本情况信息、连接公共互联网的各类网络系统信息、面向社会提供服务的电信业务和互联网业务信息以及网络安全相关信息。
鼓励各网络安全专业机构、各网络安全企业和其他相关单位自主监测和报送本市公共互联网相关网络安全信息。
二、报送要求
(一)报送基本情况信息。各报送单位应当自收到本通知之日起30日内,在上海市通信管理局“网络安全监测预警和信息通报管理系统”(通过上海市通信管理局官方网站首页左侧“行政管理工作系统链接”-“网络安全信息通报”进入)完成账号注册;经市通信管理局审核通过后,各单位可登录系统并按照规范报送本单位基本情况信息。报送单位的基本情况信息发生变化的,应当自变化之日起30日内在该系统内进行更新。
(二)报送网络系统信息和业务信息。各报送单位应在账号审核通过后30日内,在系统内按照有关规范报送本单位连接公共互联网的各类网络系统信息(包括但不限于互联网站、移动APP应用、联网应用系统等),并报送本单位面向社会提供服务的电信业务和互联网业务信息。报送单位的网络系统信息和业务信息发生变化的,应当自变化之日起30日内在系统内进行更新。
(三)报送网络安全信息。各报送单位应当建立健全本单位网络安全信息通报机制,自主监测涉及本单位管理范围内的网络安全信息,并按照《上海市公共互联网网络安全突发事件应急预案》的要求对安全事件、安全预警等各类网络安全信息进行分级。报送单位认为达到特别重大、重大、较大或一般级别的事件信息,或者认为达到红色、橙色、黄色或蓝色级别的预警信息,应当在系统内单独填报相关事件或预警信息的详细内容,并及时报告市通信管理局;认为未达到相关事件或预警级别的,报送单位应按月汇总本单位内部不同部门、不同渠道掌握的网络安全事件信息,于次月10日前在系统内统一报送。
(四)报送网络安全威胁处置情况。市通信管理局汇总、分析、研判各单位报送的网络安全信息,并对各单位的网络安全威胁、隐患情况进行监测;发现网络安全威胁的,将通过系统通知或其他方式通报涉事单位。涉事单位收到通报后,应及时处置整改网络安全威胁,并在规定时间内将整改情况按规范报送市通信管理局。
三、督查机制
(一)建立网络安全工作月报机制。市通信管理局建立网络安全工作情况月度报送工作机制,各报送单位应按月汇总本单位网络安全相关工作,并按照规范撰写网络安全月度情况报告,于次月10日前在系统内统一报送。市通信管理局定期对各单位的报送信息和月报内容进行审查,并对各单位的报送工作落实情况进行抽查。
(二)加强网络安全日常监督检查。市通信管理局定期对各单位的网络安全责任义务落实情况以及互联网业务、互联网系统等的安全状况进行巡查和抽测,抽测方式包括但不限于报送信息核查、系统远程渗透、工作情况现场询问等,必要时组织专业技术机构对相关单位开展专项现场检查。
特此通知。
上海市通信管理局
2019年5月17日