上海市電信和互聯網行業網絡和數據安全檢查通知
關于開展2022年上海市電信和互聯網行業網絡和數據安全檢查的通知
本市各電信企業、互聯網企業、域名注冊管理和服務機構,相關單位:
為進一步提升本市電信和互聯網行業網絡和數據安全防護水平,切實做好黨的二十大、第五屆中國國際進口博覽會等網絡和數據安全保障工作,按照工業和信息化部保障黨的二十大網絡安全有關工作要求和《關于開展2022年全市網絡安全專項檢查的通知》要求,結合我局職責,決定組織開展2022年上海市電信和互聯網行業網絡和數據安全檢查工作。有關事項通知如下:
一、總體目標
深入貫徹落實《網絡安全法》《數據安全法》《個人信息保護法》《通信網絡安全防護管理辦法》等法律法規要求,堅持以查促建、以查促管、以查促防、以查促改,強化行業的風險防范及主體責任落實,做好行業重點信息基礎設施安全防護,保障電信網和公共互聯網的持續安全穩定運行,共筑網絡和數據安全防線,推動上海市電信和互聯網行業網絡安全和數據安全工作再上新臺階,以優異成績迎接黨的二十大和第五屆進口博覽會勝利召開。
二、檢查對象
提供公共互聯網網絡信息服務的基礎電信企業、互聯網企業(含云平臺服務提供商、APP和小程序運營企業、車聯網平臺企業、工業互聯網平臺和標識解析節點企業等)、域名注冊服務機構。重點檢查相關網絡運行單位的關鍵信息基礎設施和重要網絡單元及承載的信息系統,包括但不限于:通信網絡基礎設施、公共云服務平臺、域名服務系統、工業互聯網平臺、標識解析系統、車聯網應用服務平臺、網約車信息服務平臺等。
三、檢查內容
(一)網絡安全管理制度和保障體系建設落實情況
檢查企業落實《網絡安全法》《數據安全法》《個人信息保護法》《通信網絡安全防護管理辦法》,建立和完善本企業的網絡安全管理制度和保障體系,開展法律法規規章的培訓,強化日常自身網絡安全管理和防護等情況。
(二)通信網絡安全防護工作落實情況
各電信和互聯網企業要按照《通信網絡安全防護管理辦法》有關要求,嚴格落實網絡安全定級備案,開展符合性評測和安全風險評估,健全網絡安全管理機制,加強防護能力建設,切實提升安全防護水平。各企業應于2022年8月31日前,通過工業和信息化部“通信網絡安全防護管理系統”(https://www.mii-aqfh.cn)報送本單位網絡單元的定級信息。
為有效防范重大活動保障期間可能發生的各類網絡安全事件,各企業要自行組織力量或者委托具有通信網絡安全專業服務能力資質的機構,在2022年9月30日前,對本單位重要的通信網絡和信息系統(定級為三級及以上的網絡信息系統以及掌握超過100萬用戶個人信息的網絡平臺)完成一次全方位的網絡安全符合性評測和安全風險評估工作,相關評測和評估結果在“通信網絡安全防護管理系統”進行更新報送。我局將在重大活動前組織開展系統定級評測評估情況核查和遠程網絡安全檢查,對未開展定級評測評估工作以及發現系統存在安全隱患、安全事件的企業,將依法依規予以處置,必要時依法采取暫停網絡接入等措施。
(三)數據安全保護落實情況
檢查企業落實《數據安全法》《電信和互聯網企業數據安全合規性評估要點》的要求,包括:持續完善本單位數據安全管理制度和技術保護措施的情況;落實開展網絡數據安全合規性評估,數據分類分級管理、對外合作安全管理、訪問權限管理和安全審計情況;及時發現和處置非授權訪問、批量復制或轉移、刪改異常情況;數據安全事件應急預案制定,重要數據備份和加密等工作情況。
(四)個人信息和用戶權益保護工作情況
檢查企業按照《個人信息保護法》《電信和互聯網用戶個人信息保護規定》《工業和信息化部關于開展縱深推進APP侵害用戶權益專項整治行動的通知》《關于開展信息通信服務感知提升行動的通知》要求,落實電信和互聯網行業個人信息保護和用戶權益保護專項治理工作情況。按照APP用戶權益保護相關測評規范和APP收集使用個人信息最小必要相關評估規范,重點對移動互聯網APP、小程序運營企業的個人信息保護和用戶權益保護情況開展檢查。
(五)車聯網和工業互聯網企業網絡安全防護情況
車聯網企業網絡和數據安全檢查參照《上海市通信管理局關于開展2022年車聯網網絡和數據安全專項檢查的通知》(滬通信管互〔2022〕7號)要求予以開展。工業互聯網企業網絡和數據安全檢查對照《關于開展工業互聯網安全深度行活動的通知》(工信廳網安函﹝2022﹞97號)要求予以實施,重點檢查相關企業落實《工業互聯網企業網絡安全分類分級管理指南(試行)》的情況,是否按照要求進行分類定級、落實相應級別的網絡安全防護措施以及開展網絡安全風險評估。
四、工作安排
(一)自查自糾(8月31日前)。各行業單位要按照有關自查評估工作規則,針對當前面臨的突出問題、薄弱環節、潛在風險,制定網絡安全自查評估工作方案,開展全面的網絡安全自查評估,查找漏洞、補齊短板。各單位要利用2022年全市網絡安全專項填報工具生成本單位上報文件(工具下載地址:http://shcpzx.odb.sh.cn/shsxxaqpczx/upload/2022.zip),并于8月5日前將本單位上報文件和《網絡安全檢查總結報告》上報市通信管理局。8月31日前要逐項完成整改,確保問題徹底解決,不留后患。
(二)重點抽查(9月30日前)。市通信管理局將組織開展2022年“磐石行動”網絡安全攻防演練,并選取重點單位及其信息系統,委托專業技術機構進行網絡安全遠程和現場檢測,通過實戰檢測檢驗各單位的網絡和數據安全防護能力。對檢查時發現的薄弱環節、安全漏洞和安全風險,專業技術機構要及時形成檢查結果記錄報告,并上報市通信管理局。
(三)整改問責(重大活動開始前)。對檢查過程中發現的問題,各企業要高度重視,認真整改,相關整改情況要形成報告及時報送我局。在國家重大活動前,要確保對發現的安全風險徹底整改,不留死角。對相關網絡運行單位拒不配合檢查或在檢查中發現存在違規問題逾期不改正或導致危害網絡安全等后果的,將依法依規給予行政處罰并納入不良名單和失信名單。
五、工作要求
各單位要從黨和國家事業全局出發,深刻認識做好服務保障黨的二十大、第五屆進口博覽會網絡和數據安全工作的極端重要性和緊迫性,把保障黨的二十大、第五屆進口博覽會的網絡和數據安全作為首要任務,制定工作方案,明確責任部門和責任人,落實專門力量,細化工作措施,確保網絡和數據安全防護責任落實,確保檢查工作和保障工作到位。對問題隱患整改不力、因未落實責任造成重大影響的單位和個人,將依法依規追究其網絡數據安全工作責任。
特此通知。
上海市通信管理局
2022年7月7日
