發(fā)文機關：

辦公廳

標　　題：

工業(yè)和信息化部辦公廳關于開展2018年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全檢查工作的通知

發(fā)文字號：

工信廳網(wǎng)安函〔2018〕261號

成文日期：2018-08-06

發(fā)布日期：2018-08-13

文章來源：網(wǎng)絡安全管理局

分　　類：網(wǎng)絡安全管理

工業(yè)和信息化部辦公廳關于開展2018年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全檢查工作的通知

工業(yè)和信息化部辦公廳關于開展2018年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全檢查工作的通知

工信廳網(wǎng)安函〔2018〕261號
   

各省、自治區(qū)、直轄市通信管理局，中國電信集團有限公司、中國移動通信集團有限公司、中國聯(lián)合網(wǎng)絡通信集團有限公司、中國廣播電視網(wǎng)絡有限公司，互聯(lián)網(wǎng)域名注冊管理和服務機構，互聯(lián)網(wǎng)企業(yè)，有關單位：
 

為深入貫徹習近平總書記在全國網(wǎng)絡安全和信息化工作會議上的重要講話精神，落實關鍵信息基礎設施防護責任，提高電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全防護水平，根據(jù)《中華人民共和國網(wǎng)絡安全法》、《通信網(wǎng)絡安全防護管理辦法》（工業(yè)和信息化部令第11號）、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》（工業(yè)和信息化部令第24號），決定組織開展2018年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全檢查工作?，F(xiàn)將有關要求通知如下：
 

一、總體要求
 

緊緊圍繞加快推進網(wǎng)絡強國建設戰(zhàn)略目標，深入學習領會習近平總書記關于網(wǎng)絡安全的系列重要講話精神，加快落實《中華人民共和國網(wǎng)絡安全法》，堅持以查促建、以查促管、以查促防、以查促改，以防攻擊、防病毒、防入侵、防篡改、防泄密為重點，加強網(wǎng)絡安全檢查，認清風險現(xiàn)狀，排查漏洞隱患，通報檢查結果，督促整改問題，強化電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全風險防范和責任落實，全面提升行業(yè)網(wǎng)絡安全保障水平，保障公共互聯(lián)網(wǎng)安全、穩(wěn)定運行。
 

二、檢查重點
 

（一）重點檢查對象。檢查對象為依法獲得電信主管部門許可的基礎電信企業(yè)、互聯(lián)網(wǎng)企業(yè)、域名注冊管理和服務機構（以下統(tǒng)稱網(wǎng)絡運行單位）建設與運營的網(wǎng)絡和系統(tǒng)。重點是電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡基礎設施、用戶信息和網(wǎng)絡數(shù)據(jù)收集、集中存儲與處理的系統(tǒng)、企業(yè)門戶網(wǎng)站和計費系統(tǒng)、域名系統(tǒng)、電子郵件系統(tǒng)、移動應用商店、移動應用程序及后臺系統(tǒng)、公共云服務平臺、公眾無線局域網(wǎng)、公眾視頻監(jiān)控攝像頭等重點物聯(lián)網(wǎng)平臺、網(wǎng)約車信息服務平臺、車聯(lián)網(wǎng)信息服務平臺等。
 

（二）重點檢查內(nèi)容。重點檢查網(wǎng)絡運行單位落實《中華人民共和國網(wǎng)絡安全法》《通信網(wǎng)絡安全防護管理辦法》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)情況，電信和互聯(lián)網(wǎng)安全防護體系系列標準符合情況，可能存在的弱口令、中高危漏洞和其他網(wǎng)絡安全風險隱患等（法律法規(guī)和標準依據(jù)詳見附件）。
 

三、工作安排
 

（一）定級備案。各網(wǎng)絡運行單位要按照《通信網(wǎng)絡安全防護管理辦法》的規(guī)定，在工業(yè)和信息化部“通信網(wǎng)絡安全防護管理系統(tǒng)”（https://www.mii-aqfh.cn）對本單位所有正式上線運行的網(wǎng)絡和系統(tǒng)進行定級備案或變更備案。
 

（二）自查整改。各網(wǎng)絡運行單位要對照法律法規(guī)和本次檢查重點，對本單位網(wǎng)絡安全工作進行自查自糾，對自查發(fā)現(xiàn)的安全問題逐一做好記錄，能立即整改的，要邊查邊改，無法立即整改的，要采取防范措施，制定整改計劃，確保整改落實。2018年9月31日前，基礎電信企業(yè)集團公司、域名注冊管理和服務機構應將本單位自查工作總結報告報部（網(wǎng)絡安全管理局），基礎電信企業(yè)省級公司和互聯(lián)網(wǎng)公司形成自查工作總結報告報當?shù)赝ㄐ殴芾砭帧?br/> 

（三）開展抽查。電信主管部門選取部分網(wǎng)絡和系統(tǒng)，委托專業(yè)技術機構采取現(xiàn)場詢問、查閱資料、現(xiàn)場檢測、遠程滲透、代碼檢測等方式進行檢查。對省級基礎電信企業(yè)和專業(yè)公司網(wǎng)絡和系統(tǒng)的檢查分別按照《2018年省級基礎電信企業(yè)網(wǎng)絡與信息安全工作考核要點與評分標準》《2018年基礎電信企業(yè)專業(yè)公司網(wǎng)絡與信息安全工作考核要點與評分標準》進行量化評分，評分結果分別作為2018年省級基礎電信企業(yè)和專業(yè)公司網(wǎng)絡與信息安全責任考核依據(jù)。各地通信管理局除抽查省級基礎電信企業(yè)外，至少抽查當?shù)厥乙陨显鲋惦娦牌髽I(yè)，將檢查工作總結報告于10月31日前報部（網(wǎng)絡安全管理局）。
 

四、工作要求
 

（一）加強領導，落實責任。各地電信主管部門、網(wǎng)絡運行單位應嚴格落實工作責任制，精心組織制定工作方案，落實機構、隊伍和工作經(jīng)費，確保檢查工作不走過場，確保檢查發(fā)現(xiàn)的問題得到及時有效整改。發(fā)現(xiàn)問題的單位要舉一反三，健全網(wǎng)絡安全問題閉環(huán)管理機制，加強定期巡查、整改核驗、考核問責，以檢查為契機，不斷完善電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全保障體系。
 

（二）規(guī)范檢查，嚴明紀律。各單位要規(guī)范檢查方法和程序，避免檢查工作影響網(wǎng)絡和系統(tǒng)的正常運行，檢查工作中發(fā)現(xiàn)重大問題應及時報我部。采用隨機抽取檢查對象、隨機選派檢查隊伍的“雙隨機”方式安排實施檢查。任何部門不得向被檢查單位收取費用，不得要求被檢查單位購買、使用指定的產(chǎn)品和服務。委托專業(yè)技術機構進行安全檢查，要進行嚴格審查，簽訂保密承諾書，并明確專業(yè)技術機構及人員的安全責任。要嚴格遵守有關保密規(guī)定，檢查結果除按規(guī)定報送外，不得提供給其他單位和個人。
 

（三）加強防范，及時整改。專業(yè)檢測機構對檢查發(fā)現(xiàn)的薄弱環(huán)節(jié)、安全漏洞和安全風險，要現(xiàn)場告知網(wǎng)絡運行單位，并指導其防范整改。抽查發(fā)現(xiàn)的重大網(wǎng)絡安全風險和隱患，電信主管部門可通過《網(wǎng)絡安全問題整改通知書》等形式書面向網(wǎng)絡運行單位通報，督促其限期整改。網(wǎng)絡運行單位要對檢查發(fā)現(xiàn)的薄弱環(huán)節(jié)和安全風險進行深入整改，對相關責任部門和責任人進行問責處理，并及時向電信主管部門報告問題整改和問責情況。
 

（四）強化協(xié)同，協(xié)調(diào)配合。各地通信管理局要強化與網(wǎng)信、公安等部門的協(xié)調(diào)溝通，按照網(wǎng)絡安全工作責任制和中央網(wǎng)信辦《關于加強和規(guī)范網(wǎng)絡安全檢查工作的通知》（中網(wǎng)辦發(fā)文〔2015〕7號）要求，堅持跨部門、跨行業(yè)的網(wǎng)絡安全檢查應由當?shù)鼐W(wǎng)信部門統(tǒng)籌協(xié)調(diào)，其他部門對電信和互聯(lián)網(wǎng)行業(yè)的網(wǎng)絡安全檢查應當會同電信主管部門進行，加強協(xié)同溝通，提倡開展聯(lián)合檢查，避免交叉重復，基礎電信企業(yè)向非電信主管部門提供網(wǎng)絡安全相關資料和數(shù)據(jù)的，應征得當?shù)赝ㄐ殴芾砭滞?，或由通信管理局統(tǒng)一協(xié)調(diào)提供。
 

特此通知。
   

附件：網(wǎng)絡安全檢查工作依據(jù)的法律法規(guī)和標準

工業(yè)和信息化部辦公廳
2018年8月6日

（聯(lián)系電話：010-66022093）
 
附件

網(wǎng)絡安全檢查工作依據(jù)的法律法規(guī)和標準

一、法律法規(guī)

1. 《中華人民共和國網(wǎng)絡安全法》

2. 《通信網(wǎng)絡安全防護管理辦法》

3. 《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》

二、電信和互聯(lián)網(wǎng)安全防護體系系列標準

1. 《移動通信網(wǎng)安全防護要求》

2. 《移動通信網(wǎng)安全防護檢測要求》

3. 《互聯(lián)網(wǎng)安全防護要求》

4. 《互聯(lián)網(wǎng)安全防護檢測要求》

5. 《增值業(yè)務網(wǎng)—消息網(wǎng)安全防護要求》

6. 《增值業(yè)務網(wǎng)—消息網(wǎng)安全防護檢測要求》

7. 《增值業(yè)務網(wǎng)—智能網(wǎng)安全防護要求》

8. 《增值業(yè)務網(wǎng)—智能網(wǎng)安全防護檢測要求》

9. 《接入網(wǎng)安全防護要求》

10.《接入網(wǎng)安全防護檢測要求》

11.《傳送網(wǎng)安全防護要求》

12.《傳送網(wǎng)安全防護檢測要求》

13.《IP承載網(wǎng)安全防護要求》

14.《IP承載網(wǎng)安全防護檢測要求》

15.《信令網(wǎng)安全防護要求》

16.《信令網(wǎng)安全防護檢測要求》

17.《同步網(wǎng)安全防護要求》

18.《同步網(wǎng)安全防護檢測要求》

19.《支撐網(wǎng)安全防護要求》

20.《支撐網(wǎng)安全防護檢測要求》

21.《域名系統(tǒng)安全防護要求》

22.《域名系統(tǒng)安全防護檢測要求》

23.《域名注冊系統(tǒng)安全防護要求》

24.《域名注冊系統(tǒng)安全防護檢測要求》

25.《網(wǎng)上營業(yè)廳安全防護要求》

26.《網(wǎng)上營業(yè)廳安全防護檢測要求》

27.《WAP網(wǎng)關系統(tǒng)安全防護要求》

28.《WAP網(wǎng)關系統(tǒng)安全防護檢測要求》

29.《電信網(wǎng)和互聯(lián)網(wǎng)信息服務業(yè)務系統(tǒng)安全防護要求》

30.《電信網(wǎng)和互聯(lián)網(wǎng)信息服務業(yè)務系統(tǒng)安全防護檢測要求》

31.《增值業(yè)務網(wǎng)即時消息業(yè)務系統(tǒng)安全防護要求》

32.《增值業(yè)務網(wǎng)即時消息業(yè)務系統(tǒng)安全防護檢測要求》

33.《移動互聯(lián)網(wǎng)應用商店安全防護要求》

34.《移動互聯(lián)網(wǎng)應用商店安全防護檢測要求》

35.《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡安全防護要求》

36.《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡安全防護檢測要求》

37.《互聯(lián)網(wǎng)數(shù)據(jù)中心安全防護要求》

38.《互聯(lián)網(wǎng)數(shù)據(jù)中心安全防護檢測要求》

39.《移動互聯(lián)網(wǎng)聯(lián)網(wǎng)應用安全防護要求》

40.《移動互聯(lián)網(wǎng)聯(lián)網(wǎng)應用安全防護檢測要求》

41.《公眾無線局域網(wǎng)安全防護要求》

42.《公眾無線局域網(wǎng)安全防護檢測要求》

43.《電信和互聯(lián)網(wǎng)用戶個人電子信息保護通用技術要求和管理要求》

44.《電信和互聯(lián)網(wǎng)用戶個人電子信息保護檢測要求》