信息來源:安全內參
北京地區(qū)各基礎電信企業(yè)����、互聯(lián)網企業(yè)��、域名注冊服務企業(yè)��、相關單位:
為深入貫徹習近平總書記關于網絡安全的系列重要講話精神�,進一步提升北京地區(qū)電信和互聯(lián)網行業(yè)網絡與數據安全防護水平����,切實做好黨的二十大網絡安全保障工作,按照工業(yè)和信息化部���、北京市委市政府總體部署��,結合我局工作職責����,我局決定組織開展2022年電信和互聯(lián)網行業(yè)網絡與數據安全檢查工作。有關事項通知如下:
一����、總體目標
深入貫徹落實《網絡安全法》《數據安全法》《個人信息保護法》《通信網絡安全防護管理辦法》等法律法規(guī),堅持以查促建�����、以查促管���、以查促防����、以查促改�,強化行業(yè)的風險防范及主體責任落實,做好行業(yè)重點信息基礎設施安全防護�,保障電信網和公共互聯(lián)網的持續(xù)安全穩(wěn)定運行,共筑網絡和數據安全防線���,推動北京市電信和互聯(lián)網行業(yè)網絡安全與數據安全工作再上新臺階���,以優(yōu)異成績迎接黨的二十大勝利召開��。
二��、檢查對象
提供公共互聯(lián)網網絡信息服務的基礎電信企業(yè)��、域名注冊服務企業(yè)��、云平臺服務提供商���、APP運營企業(yè)、車聯(lián)網平臺企業(yè)����、工業(yè)互聯(lián)網平臺和標識解析節(jié)點企業(yè)等(以下統(tǒng)稱“網絡運行單位”)���。重點檢查相關網絡運行單位的關鍵信息基礎設施和重要網絡單元及承載的信息系統(tǒng)�,包括但不限于:通信網絡基礎設施����、公共云服務平臺、域名服務系統(tǒng)�、工業(yè)互聯(lián)網平臺��、標識解析系統(tǒng)���、車聯(lián)網應用服務平臺、網約車信息服務平臺等��。
三�、檢查內容
(一)網絡安全管理制度和保障體系建設落實情況
檢查企業(yè)落實《網絡安全法》《通信網絡安全防護管理辦法》,建立和完善本企業(yè)的網絡安全管理制度和保障體系��,開展《網絡安全法》《通信網絡安全防護管理辦法》等法律法規(guī)規(guī)章的培訓��,強化日常自身網絡安全管理和防護等情況��。
(二)通信網絡安全防護工作落實情況
以增值電信企業(yè)為重點�����,檢查企業(yè)的通信網絡單元安全防護工作開展情況���。各增值電信企業(yè)要按照《通信網絡安全防護管理辦法》有關要求�����,對本單位各類信息系統(tǒng)進行網絡單元劃分和定級備案�����,并開展符合性評測和安全風險評估���。各增值電信企業(yè)應于2022年6月底前����,通過工業(yè)和信息化部“通信網絡安全防護管理系統(tǒng)”(https://www.mii-aqfh.cn)報送本單位網絡單元的定級信息���。
為有效防范重大活動保障期間可能發(fā)生的各類網絡安全事件���,各企業(yè)要自行組織力量或者委托具有通信網絡安全專業(yè)服務能力資質的機構對本單位重要的通信網絡和信息系統(tǒng)進行一次全方位的網絡安全符合性評測和安全風險評估工作。我局將組織專業(yè)機構開展遠程網絡安全檢查���,對未開展定級備案以及發(fā)現系統(tǒng)存在安全隱患的企業(yè)��,將予以通報,問題嚴重的將依法依規(guī)予以處置�����。
(三)數據安全保護落實情況
檢查企業(yè)落實《數據安全法》《電信和互聯(lián)網企業(yè)數據安全合規(guī)性評估要點》的要求���,包括:持續(xù)完善本單位數據安全管理制度和技術保護措施的情況�����;落實開展網絡數據安全合規(guī)性評估����,數據分類分級管理、對外合作安全管理����、訪問權限管理和安全審計情況;及時發(fā)現和處置非授權訪問�����、批量復制或轉移����、刪改異常情況;數據安全事件應急預案制定�,重要數據備份和加密等工作情況。
(四)個人信息保護工作情況
檢查企業(yè)按照《個人信息保護法》《電信和互聯(lián)網用戶個人信息保護規(guī)定》《工業(yè)和信息化部關于開展縱深推進APP侵害用戶權益專項整治行動的通知》要求�,落實電信和互聯(lián)網行業(yè)個人信息保護專項治理工作情況。按照APP用戶權益保護相關測評規(guī)范和APP收集使用個人信息最小必要相關評估規(guī)范,重點對移動互聯(lián)網APP運營企業(yè)的APP個人信息保護情況開展檢查�。
(五)工業(yè)互聯(lián)網企業(yè)網絡安全防護情況
檢查相關企業(yè)落實工信部文件《工業(yè)互聯(lián)網企業(yè)網絡安全分類分級管理指南(試行)》的情況,是否按照要求進行分類定級�、落實相應級別的網絡安全防護措施以及開展網絡安全風險評估。重點檢查工業(yè)互聯(lián)網服務平臺��、工業(yè)互聯(lián)網標識解析系統(tǒng)企業(yè)��。
四�、工作安排
(一)自查自糾(通知印發(fā)之日起至6月15日)。各企業(yè)要統(tǒng)一思想����,提高認識,按照本通知要求��,對照相關法律法規(guī)要求���,對本企業(yè)網絡安全和數據安全工作進行自查自糾��,對自查發(fā)現的安全問題要逐一做好記錄���,對能立即整改的��,要邊查邊改,對無法立即整改的�����,要采取防范措施��,制定整改計劃��,確保整改落實��,同時形成自查整改情況臺賬��。
(二)重點抽查(6月16日起至9月30日)���。我局將組織專業(yè)技術機構通過訪談��、資料查閱�����、現場技術抽測等方式檢查企業(yè)網絡安全和數據安全技術防護措施的落實情況����,重點檢查相關軟硬件和業(yè)務系統(tǒng)是否存在安全漏洞����,是否已被植入惡意代碼���、被非法遠程控制或發(fā)生數據泄露事件等。對檢查發(fā)現的網絡安全隱患�����,我局將以書面形式要求整改����。
(三)整改問責。對檢查過程中發(fā)現的問題��,各企業(yè)要高度重視��,認真整改�,相關整改情況要形成總結報告及時報送我局。對相關網絡運行單位拒不配合檢查或在檢查中發(fā)現存在違規(guī)問題逾期不改正或導致危害網絡安全等后果的����,將依法依規(guī)給予行政處罰并納入不良名單和失信名單。
北京市通信管理局
2022年5月18日
