發(fā)文機(jī)關(guān)：

辦公廳

標(biāo)　　題：

工業(yè)和信息化部辦公廳關(guān)于開展2018年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全檢查工作的通知

發(fā)文字號：

工信廳網(wǎng)安函〔2018〕261號

成文日期：2018-08-06

發(fā)布日期：2018-08-13

文章來源：網(wǎng)絡(luò)安全管理局

分　　類：網(wǎng)絡(luò)安全管理

工業(yè)和信息化部辦公廳關(guān)于開展2018年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全檢查工作的通知

工業(yè)和信息化部辦公廳關(guān)于開展2018年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全檢查工作的通知

工信廳網(wǎng)安函〔2018〕261號
   

各省、自治區(qū)、直轄市通信管理局，中國電信集團(tuán)有限公司、中國移動通信集團(tuán)有限公司、中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、中國廣播電視網(wǎng)絡(luò)有限公司，互聯(lián)網(wǎng)域名注冊管理和服務(wù)機(jī)構(gòu)，互聯(lián)網(wǎng)企業(yè)，有關(guān)單位：
 

為深入貫徹習(xí)近平總書記在全國網(wǎng)絡(luò)安全和信息化工作會議上的重要講話精神，落實關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)責(zé)任，提高電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全防護(hù)水平，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》（工業(yè)和信息化部令第11號）、《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（工業(yè)和信息化部令第24號），決定組織開展2018年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全檢查工作。現(xiàn)將有關(guān)要求通知如下：
 

一、總體要求
 

緊緊圍繞加快推進(jìn)網(wǎng)絡(luò)強(qiáng)國建設(shè)戰(zhàn)略目標(biāo)，深入學(xué)習(xí)領(lǐng)會習(xí)近平總書記關(guān)于網(wǎng)絡(luò)安全的系列重要講話精神，加快落實《中華人民共和國網(wǎng)絡(luò)安全法》，堅持以查促建、以查促管、以查促防、以查促改，以防攻擊、防病毒、防入侵、防篡改、防泄密為重點，加強(qiáng)網(wǎng)絡(luò)安全檢查，認(rèn)清風(fēng)險現(xiàn)狀，排查漏洞隱患，通報檢查結(jié)果，督促整改問題，強(qiáng)化電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全風(fēng)險防范和責(zé)任落實，全面提升行業(yè)網(wǎng)絡(luò)安全保障水平，保障公共互聯(lián)網(wǎng)安全、穩(wěn)定運行。
 

二、檢查重點
 

（一）重點檢查對象。檢查對象為依法獲得電信主管部門許可的基礎(chǔ)電信企業(yè)、互聯(lián)網(wǎng)企業(yè)、域名注冊管理和服務(wù)機(jī)構(gòu)（以下統(tǒng)稱網(wǎng)絡(luò)運行單位）建設(shè)與運營的網(wǎng)絡(luò)和系統(tǒng)。重點是電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、用戶信息和網(wǎng)絡(luò)數(shù)據(jù)收集、集中存儲與處理的系統(tǒng)、企業(yè)門戶網(wǎng)站和計費系統(tǒng)、域名系統(tǒng)、電子郵件系統(tǒng)、移動應(yīng)用商店、移動應(yīng)用程序及后臺系統(tǒng)、公共云服務(wù)平臺、公眾無線局域網(wǎng)、公眾視頻監(jiān)控攝像頭等重點物聯(lián)網(wǎng)平臺、網(wǎng)約車信息服務(wù)平臺、車聯(lián)網(wǎng)信息服務(wù)平臺等。
 

（二）重點檢查內(nèi)容。重點檢查網(wǎng)絡(luò)運行單位落實《中華人民共和國網(wǎng)絡(luò)安全法》《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》等法律法規(guī)情況，電信和互聯(lián)網(wǎng)安全防護(hù)體系系列標(biāo)準(zhǔn)符合情況，可能存在的弱口令、中高危漏洞和其他網(wǎng)絡(luò)安全風(fēng)險隱患等（法律法規(guī)和標(biāo)準(zhǔn)依據(jù)詳見附件）。
 

三、工作安排
 

（一）定級備案。各網(wǎng)絡(luò)運行單位要按照《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》的規(guī)定，在工業(yè)和信息化部“通信網(wǎng)絡(luò)安全防護(hù)管理系統(tǒng)”（https://www.mii-aqfh.cn）對本單位所有正式上線運行的網(wǎng)絡(luò)和系統(tǒng)進(jìn)行定級備案或變更備案。
 

（二）自查整改。各網(wǎng)絡(luò)運行單位要對照法律法規(guī)和本次檢查重點，對本單位網(wǎng)絡(luò)安全工作進(jìn)行自查自糾，對自查發(fā)現(xiàn)的安全問題逐一做好記錄，能立即整改的，要邊查邊改，無法立即整改的，要采取防范措施，制定整改計劃，確保整改落實。2018年9月31日前，基礎(chǔ)電信企業(yè)集團(tuán)公司、域名注冊管理和服務(wù)機(jī)構(gòu)應(yīng)將本單位自查工作總結(jié)報告報部（網(wǎng)絡(luò)安全管理局），基礎(chǔ)電信企業(yè)省級公司和互聯(lián)網(wǎng)公司形成自查工作總結(jié)報告報當(dāng)?shù)赝ㄐ殴芾砭帧?br/> 

（三）開展抽查。電信主管部門選取部分網(wǎng)絡(luò)和系統(tǒng)，委托專業(yè)技術(shù)機(jī)構(gòu)采取現(xiàn)場詢問、查閱資料、現(xiàn)場檢測、遠(yuǎn)程滲透、代碼檢測等方式進(jìn)行檢查。對省級基礎(chǔ)電信企業(yè)和專業(yè)公司網(wǎng)絡(luò)和系統(tǒng)的檢查分別按照《2018年省級基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點與評分標(biāo)準(zhǔn)》《2018年基礎(chǔ)電信企業(yè)專業(yè)公司網(wǎng)絡(luò)與信息安全工作考核要點與評分標(biāo)準(zhǔn)》進(jìn)行量化評分，評分結(jié)果分別作為2018年省級基礎(chǔ)電信企業(yè)和專業(yè)公司網(wǎng)絡(luò)與信息安全責(zé)任考核依據(jù)。各地通信管理局除抽查省級基礎(chǔ)電信企業(yè)外，至少抽查當(dāng)?shù)厥乙陨显鲋惦娦牌髽I(yè)，將檢查工作總結(jié)報告于10月31日前報部（網(wǎng)絡(luò)安全管理局）。
 

四、工作要求
 

（一）加強(qiáng)領(lǐng)導(dǎo)，落實責(zé)任。各地電信主管部門、網(wǎng)絡(luò)運行單位應(yīng)嚴(yán)格落實工作責(zé)任制，精心組織制定工作方案，落實機(jī)構(gòu)、隊伍和工作經(jīng)費，確保檢查工作不走過場，確保檢查發(fā)現(xiàn)的問題得到及時有效整改。發(fā)現(xiàn)問題的單位要舉一反三，健全網(wǎng)絡(luò)安全問題閉環(huán)管理機(jī)制，加強(qiáng)定期巡查、整改核驗、考核問責(zé)，以檢查為契機(jī)，不斷完善電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全保障體系。
 

（二）規(guī)范檢查，嚴(yán)明紀(jì)律。各單位要規(guī)范檢查方法和程序，避免檢查工作影響網(wǎng)絡(luò)和系統(tǒng)的正常運行，檢查工作中發(fā)現(xiàn)重大問題應(yīng)及時報我部。采用隨機(jī)抽取檢查對象、隨機(jī)選派檢查隊伍的“雙隨機(jī)”方式安排實施檢查。任何部門不得向被檢查單位收取費用，不得要求被檢查單位購買、使用指定的產(chǎn)品和服務(wù)。委托專業(yè)技術(shù)機(jī)構(gòu)進(jìn)行安全檢查，要進(jìn)行嚴(yán)格審查，簽訂保密承諾書，并明確專業(yè)技術(shù)機(jī)構(gòu)及人員的安全責(zé)任。要嚴(yán)格遵守有關(guān)保密規(guī)定，檢查結(jié)果除按規(guī)定報送外，不得提供給其他單位和個人。
 

（三）加強(qiáng)防范，及時整改。專業(yè)檢測機(jī)構(gòu)對檢查發(fā)現(xiàn)的薄弱環(huán)節(jié)、安全漏洞和安全風(fēng)險，要現(xiàn)場告知網(wǎng)絡(luò)運行單位，并指導(dǎo)其防范整改。抽查發(fā)現(xiàn)的重大網(wǎng)絡(luò)安全風(fēng)險和隱患，電信主管部門可通過《網(wǎng)絡(luò)安全問題整改通知書》等形式書面向網(wǎng)絡(luò)運行單位通報，督促其限期整改。網(wǎng)絡(luò)運行單位要對檢查發(fā)現(xiàn)的薄弱環(huán)節(jié)和安全風(fēng)險進(jìn)行深入整改，對相關(guān)責(zé)任部門和責(zé)任人進(jìn)行問責(zé)處理，并及時向電信主管部門報告問題整改和問責(zé)情況。
 

（四）強(qiáng)化協(xié)同，協(xié)調(diào)配合。各地通信管理局要強(qiáng)化與網(wǎng)信、公安等部門的協(xié)調(diào)溝通，按照網(wǎng)絡(luò)安全工作責(zé)任制和中央網(wǎng)信辦《關(guān)于加強(qiáng)和規(guī)范網(wǎng)絡(luò)安全檢查工作的通知》（中網(wǎng)辦發(fā)文〔2015〕7號）要求，堅持跨部門、跨行業(yè)的網(wǎng)絡(luò)安全檢查應(yīng)由當(dāng)?shù)鼐W(wǎng)信部門統(tǒng)籌協(xié)調(diào)，其他部門對電信和互聯(lián)網(wǎng)行業(yè)的網(wǎng)絡(luò)安全檢查應(yīng)當(dāng)會同電信主管部門進(jìn)行，加強(qiáng)協(xié)同溝通，提倡開展聯(lián)合檢查，避免交叉重復(fù)，基礎(chǔ)電信企業(yè)向非電信主管部門提供網(wǎng)絡(luò)安全相關(guān)資料和數(shù)據(jù)的，應(yīng)征得當(dāng)?shù)赝ㄐ殴芾砭滞猓蛴赏ㄐ殴芾砭纸y(tǒng)一協(xié)調(diào)提供。
 

特此通知。
   

附件：網(wǎng)絡(luò)安全檢查工作依據(jù)的法律法規(guī)和標(biāo)準(zhǔn)

工業(yè)和信息化部辦公廳
2018年8月6日

（聯(lián)系電話：010-66022093）
 
附件

網(wǎng)絡(luò)安全檢查工作依據(jù)的法律法規(guī)和標(biāo)準(zhǔn)

一、法律法規(guī)

1. 《中華人民共和國網(wǎng)絡(luò)安全法》

2. 《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》

3. 《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》

二、電信和互聯(lián)網(wǎng)安全防護(hù)體系系列標(biāo)準(zhǔn)

1. 《移動通信網(wǎng)安全防護(hù)要求》

2. 《移動通信網(wǎng)安全防護(hù)檢測要求》

3. 《互聯(lián)網(wǎng)安全防護(hù)要求》

4. 《互聯(lián)網(wǎng)安全防護(hù)檢測要求》

5. 《增值業(yè)務(wù)網(wǎng)—消息網(wǎng)安全防護(hù)要求》

6. 《增值業(yè)務(wù)網(wǎng)—消息網(wǎng)安全防護(hù)檢測要求》

7. 《增值業(yè)務(wù)網(wǎng)—智能網(wǎng)安全防護(hù)要求》

8. 《增值業(yè)務(wù)網(wǎng)—智能網(wǎng)安全防護(hù)檢測要求》

9. 《接入網(wǎng)安全防護(hù)要求》

10.《接入網(wǎng)安全防護(hù)檢測要求》

11.《傳送網(wǎng)安全防護(hù)要求》

12.《傳送網(wǎng)安全防護(hù)檢測要求》

13.《IP承載網(wǎng)安全防護(hù)要求》

14.《IP承載網(wǎng)安全防護(hù)檢測要求》

15.《信令網(wǎng)安全防護(hù)要求》

16.《信令網(wǎng)安全防護(hù)檢測要求》

17.《同步網(wǎng)安全防護(hù)要求》

18.《同步網(wǎng)安全防護(hù)檢測要求》

19.《支撐網(wǎng)安全防護(hù)要求》

20.《支撐網(wǎng)安全防護(hù)檢測要求》

21.《域名系統(tǒng)安全防護(hù)要求》

22.《域名系統(tǒng)安全防護(hù)檢測要求》

23.《域名注冊系統(tǒng)安全防護(hù)要求》

24.《域名注冊系統(tǒng)安全防護(hù)檢測要求》

25.《網(wǎng)上營業(yè)廳安全防護(hù)要求》

26.《網(wǎng)上營業(yè)廳安全防護(hù)檢測要求》

27.《WAP網(wǎng)關(guān)系統(tǒng)安全防護(hù)要求》

28.《WAP網(wǎng)關(guān)系統(tǒng)安全防護(hù)檢測要求》

29.《電信網(wǎng)和互聯(lián)網(wǎng)信息服務(wù)業(yè)務(wù)系統(tǒng)安全防護(hù)要求》

30.《電信網(wǎng)和互聯(lián)網(wǎng)信息服務(wù)業(yè)務(wù)系統(tǒng)安全防護(hù)檢測要求》

31.《增值業(yè)務(wù)網(wǎng)即時消息業(yè)務(wù)系統(tǒng)安全防護(hù)要求》

32.《增值業(yè)務(wù)網(wǎng)即時消息業(yè)務(wù)系統(tǒng)安全防護(hù)檢測要求》

33.《移動互聯(lián)網(wǎng)應(yīng)用商店安全防護(hù)要求》

34.《移動互聯(lián)網(wǎng)應(yīng)用商店安全防護(hù)檢測要求》

35.《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》

36.《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測要求》

37.《互聯(lián)網(wǎng)數(shù)據(jù)中心安全防護(hù)要求》

38.《互聯(lián)網(wǎng)數(shù)據(jù)中心安全防護(hù)檢測要求》

39.《移動互聯(lián)網(wǎng)聯(lián)網(wǎng)應(yīng)用安全防護(hù)要求》

40.《移動互聯(lián)網(wǎng)聯(lián)網(wǎng)應(yīng)用安全防護(hù)檢測要求》

41.《公眾無線局域網(wǎng)安全防護(hù)要求》

42.《公眾無線局域網(wǎng)安全防護(hù)檢測要求》

43.《電信和互聯(lián)網(wǎng)用戶個人電子信息保護(hù)通用技術(shù)要求和管理要求》

44.《電信和互聯(lián)網(wǎng)用戶個人電子信息保護(hù)檢測要求》