工信部:加強網絡安全風險隱患排查重點防入侵、篡改、竊密
工信部網站10月12日發布《關於做好2020年電信和互聯網行業網絡安全檢查工作的通知》,全文如下:各省、自治區、直轄市通信管理局,中國電信集團有限公司、中國移動通信集團有限公司、中國聯合網絡通信集團有限公司,中國廣播電視網絡有限公司,互聯網域名註冊管理和服務機構,互聯網企業,有關單位:
為深入貫徹習近平總書記關於網絡安全的系列重要講話精神,落實黨中央、國務院關於加強關鍵信息基礎設施和新型基礎設施安全保護的決策部署,全面提升電信和互聯網行業網絡安全防護水平,根據《中華人民共和國網絡安全法》《通信網絡安全防護管理辦法》《電信和互聯網用戶個人信息保護規定》等相關法律規章,決定組織開展2020年電信和互聯網行業網絡安全檢查工作。現將有關要求通知如下:
一、總體要求
圍繞加快推進網絡強國建設戰略目標,深入落實《中華人民共和國網絡安全法》,堅持以查促建、以查促管、以查促防、以查促改,以防病毒、防入侵、防篡改、防竊密為重點,加強網絡安全風險隱患排查,通報檢查結果並加大整改力度,強化基礎電信企業、互聯網企業、域名註冊管理和服務機構的風險防範及主體責任落實,切實做好行業關鍵信息基礎設施安全防護,保障電信網和公共互聯網的持續安全穩定運行。
二、檢查對象
依法獲得電信主管部門許可的基礎電信企業、互聯網企業、域名註冊管理和服務機構(以下統稱“網絡運行單位”)建設與運營的網絡和系統,重點是電信和互聯網行業關鍵信息基礎設施和重要網絡單元及承載的信息系統,包括不限於:5G網絡基礎設施、IP承載網、管理支撐系統、公共雲服務平台、域名服務系統、移動應用商店、工業互聯網平台、物聯網平台、車聯網應用服務平台、網約車信息服務平台等。
三、檢查依據和主要內容
檢查網絡運行單位落實《中華人民共和國網絡安全法》《通信網絡安全防護管理辦法》《電信和互聯網用戶個人信息保護規定》等法律規章情況,網絡安全監測和防護措施符合電信和互聯網安全防護體系系列標準情況,可導致網絡中斷、非法受控等嚴重危害的網絡安全重大風險隱患等。
(一)網絡安全管理落實情況。重點檢查網絡運行單位是否對網絡進行單元劃分、是否對網絡單元進行定級備案、定級備案信息是否準確、是否按要求開展符合性評測及安全風險評估工作。
(二)網絡安全防護技術措施。重點檢查網絡運行單位是否採取符合安全防護標準要求的安全監測、訪問控制、邊界防護等技術措施,及時發現和有效防範計算機病毒、網絡攻擊、網絡入侵等危害網絡安全的行為。
(三)網絡安全重大風險隱患。重點檢查網絡運行單位存在的可導致網絡與系統阻塞、中斷、癱瘓或者被非法控制等嚴重危害的高危漏洞、弱口令等重大安全隱患,以及木馬、病毒、殭屍程序等惡意程序。
四、工作安排
(一)定級備案。各網絡運行單位要按照《中華人民共和國網絡安全法》《通信網絡安全防護管理辦法》的規定,針對正式上線運行的網絡和系統在“通信網絡安全防護管理系統”(https://www.mii -aqfh.cn)定級備案信息,開展自核自查,確保定級備案信息完整、準確。
(二)自查自糾。各網絡運行單位要對照法律法規和本次檢查重點,組織開展對本單位網絡安全工作的自查評估,對自查中發現的安全問題進行及時整改並做好自查總結。2020年10月底前,基礎電信企業集團公司和域名註冊管理機構將本單位自查工作總結報告報部(網絡安全管理局),基礎電信企業省級公司、域名註冊服務機構、互聯網企業根據屬地通信管理局要求上報自查總結報告。
(三)檢查評估。電信主管部門將結合2020年“雙隨機一公開”網絡安全檢查工作,選取部分重要的網絡和系統,委託專業技術機構採取現場訪談、資料查閱、技術檢測等方式進行現場檢查。對檢查過程中發現的問題,電信主管部門通過整改通知書等形式責令被檢查單位限期整改。各地通信管理局通過雙隨機抽取、部(網絡安全管理局)委託等方式,對屬地基礎電信企業省級公司、集團直屬專業公司、重點互聯網企業和域名註冊服務機構進行抽查,並將檢查工作總結報告於2020年11月底前報部(網絡安全管理局)。
(四)整改問責。各網絡運行單位對檢查發現的薄弱環節和安全風險進行深入整改,並及時向電信主管部門報告整改情況。基礎電信企業省級公司和專業公司網絡和系統檢查結果將分別作為2020年省級基礎電信企業和專業公司網絡與信息安全責任考核依據。發現網絡運行單位存在違反法律法規行為、問題拒不改正或導致危害網絡安全等後果的,電信主管部門將依法依規給予行政處罰。
五、工作要求
(一)全面深入,落實責任。各網絡運行單位要充分認識網絡安全檢查工作的重要性,加強組織領導,明確責任分工,制定工作方案,改進自查評估方法,全面開展自查自糾工作,深入排查網絡安全風險隱患,積極配合電信主管部門做好監督檢查,確保網絡安全檢查工作取得實效,切實提升網絡安全防護水平。
(二)規範檢查,嚴明紀律。檢查工作中要嚴格遵守被檢查地區的疫情防控規定,規範檢查方法及操作程序,避免檢查工作影響網絡和系統的正常運行。任何檢查人員和專業技術機構不得向被檢查單位收取費用,不得要求被檢查單位購買、使用指定的產品和服務。對檢查工作中出現的違規違紀行為,被檢查單位可以向電信主管部門投訴。
(三)加強整改,問題導向。各網絡運行單位要對檢查發現的薄弱環節及網絡安全風險進行深入整改,對相關責任部門和責任人進行問責處理,並及時向電信主管部門報告問題整改和問責情況。同時,加強問題導向,舉一反三,增強問題主動發現能力,針對問題暴露出的管理和技術上的不足,不斷完善網絡安全管理制度,提陞技術防護水平。
工業和信息化部網絡安全管理局
2020年10月9日
(原題為:《關於做好2020年電信和互聯網行業網絡安全檢查工作的通知》)