青海省通信管理局关于开展2015年电信和互联网网络安全检查工作的通知
省各电信运营公司、增值电信企业:
按照《工业和信息化部关于开展2015年电信和互联网行业网络安全检查工作的通知》(工信厅网安函〔2015〕527号)要求,省通信管理局将于8月-11月组织开展2015年电信和互联网行业网络安全检查工作。现将有关要求通知如下:
一、 检查目的
通过开展电信和互联网行业网络安全检查,以查促建、以查促管、以查促改、以查促防,增强安全意识,落实安全责任,深入分析安全风险,系统评估安全状况,全面排查安全隐患,进一步健全安全管理制度,完善安全防护措施,提升安全防护能力,预防和减少网络安全事件的发生,切实保障网络基础设施的安全稳定运行。
二、检查范围
基础电信企业的所有网络和业务系统,包括固定通信网、移动通信网、传送网、IP承载网、信令网、同步网、业务支撑系统、短消息网、互联网数据中心、互联网域名系统、网上营业厅、移动应用商店、门户网站、基地类业务系统等。增值电信企业提供公共电信和互联网服务的业务系统,包括网站、电子邮件系统、电子商务平台、公共云服务平台、互联网数据中心、移动应用商店等。
三、 检查内容
(一) 网络安全管理情况
重点检查各企业按照11号令和网络安全防护系统标准要求,建立健全网络安全管理制度及落实情况;网络安全主管领导、管理部门、专职管理和技术人员履职情况;“三同步”要求落实情况;资产、采购、外包服务等日常安全管理情况;定期开展网络安全符合性评测和风险评估情况;网络安全经费保障情况等。
(二) 技术防护情况
按照网络安全防护系列标准规范要求,建立健全技术防护体系及安全防护情况。重点检查防病毒、防攻击、防篡改、防瘫痪、防泄密措施及有效性;网络边界防护措施,安全审计措施,身份鉴别与访问控制措施,网络安全监测,恶意代码防范与安全漏洞修复情况等。
(三) 用户个人电子信息和数据安全保护情况
重点检查基础电信企业和互联网企业收集、存储、使用用户个人电子信息的业务系统是否按照网络安全防护标准要求采取了用户信息保护措施,评估用户个人电子信息面临的安全风险;是否对重要数据的传输、存储及使用采取了安全防护措施,在系统运行维护、数据处理、安全评估等对外合作过程中是否对内部人员、合作伙伴开展授权管理和审计,数据是否被提交给境外机构。
(四) 应急工作情况
按照国家网络与信息安全事件应急有关要求,建立健全网络安全应急工作体系情况。重点检查网络安全事件应急预案制修订情况、应急演练情况;应急技术支撑队伍、灾难备份措施建设情况;重大网络安全事件处置情况等。
(五) 网络安全问题整改情况
重点检查上一年度及本年度网络安全防护检查工作中发现问题的整改情况及整改效果。
四、 检查方式
基础电信企业的网络安全检查,采取企业自查和电信主管部门抽查相结合的方式;增值电信企业、互联网域名注册服务机构的检查,以电信主管部门的抽查为主。
(一) 企业自查
基础电信企业应围绕检查目的、检查范围和检查内容,结合实际自行组织开展安全自查工作,制定检查实施方案。对于定级备案信息发生变化的网络单元,应于8月15日前通过“通信网络安全防护管理系统”(网址为https://www.mii-aqfh.cn)完成相关信息的备案更新。每个已备案(包括已提交备案申请)的三级及三级以上网络单元的符合性评测表,应于8月15日前通过“通信网络安全防护管理系统”完成在线填报。
基础电信企业应填写《网络安全自查表》(电子版和纸质版,见附件1),撰写风险评估报告和自查总结报告,并于9月15日前报省通信管理局。风险评估报告应包括本地区三级及三级以上网络单元,以及涉及用户个人电子信息的业务系统的风险评估情况。委托第三方机构开展风险评估的,应在风险评估报告中对评估机构、评估时间等予以说明。自查总结报告内容应包括本单位自查工作部署情况、网络安全防护体系建设推进情况、检查发现问题及整改情况、下一步工作计划和有关建议。
(二) 电信主管部门抽查
工业和信息化部和省通信管理局按照职责分工、围绕检查内容,采取上门访谈、现场检测、远程渗透等方式,检查各企业网络安全防护工作落实情况,并委托专业机构对各电信运营公司的部分重点网络和系统进行检测评估,按照《网络单元安全防护检测评分方法》(见附件2)对被抽查网络和系统的防护水平和风险状况进行量化评分;评分结果作为2015年省级基础电信企业网络与信息安全责任制考核依据。
省通信管理局对省各电信运营公司的现场检查时间定于10月,检查对象为青海电信公司、青海移动公司和联通青海分公司的域名解析系统、IP承载网、业务支撑系统,铁通青海分公司的关口局。对省内增值电信企业的现场检查将择机进行,请省内增值电信企业按照通知要求认真做好自查和整改工作。工业和信息化部现场检查的具体对象和时间另行通知。
五、 工作要求
(一) 加强领导、落实责任
各企业要切实加强网络安全检查工作的组织领导,强化内部统筹协调,保证网络安全检查责任落实到位,积极主动配合部、省两级主管部门做好抽查工作,确保检查工作顺利开展并取得实效。
(二) 全面排查,突出重点
各单位要结合实际,针对上述检查内容,全面深入查找安全问题和安全隐患,切实做到不走过场、不漏环节、不留死角。对于检查工作中发现的安全隐患要及时整改,举一反三、标本兼治。对于企业涉及用户个人电子信息的网络和系统,加大对其中有关数据收集、存储、加工和开放共享环节的检查力度。
(三) 控制风险,强化保密
各单位要强化风险控制,有针对性的制定检查工作应急预案,确保被检查网络和系统的正常运行。要加强对检查活动、检查人员及相关文档和数据的安全保密管理。委托技术检测机构进行安全检测,要对其机构背景、技术能力、服务水平、人员资质及安全保密管理措施进行严格审查,签订保密承诺书,并明确技术检测机构及人员安全责任。
联系人:唐秋燕 联系方式:0971-8208936
附件:1.网络安全自查表
2.网络单元安全防护检测评分方法
青海省通信管理局
2015年8月17日