关于开展2022年上海市电信和互联网行业网络和数据安全检查的通知
本市各电信企业、互联网企业、域名注册管理和服务机构,相关单位:
为进一步提升本市电信和互联网行业网络和数据安全防护水平,切实做好党的二十大、第五届中国国际进口博览会等网络和数据安全保障工作,按照工业和信息化部保障党的二十大网络安全有关工作要求和《关于开展2022年全市网络安全专项检查的通知》要求,结合我局职责,决定组织开展2022年上海市电信和互联网行业网络和数据安全检查工作。有关事项通知如下:
一、总体目标
深入贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《通信网络安全防护管理办法》等法律法规要求,坚持以查促建、以查促管、以查促防、以查促改,强化行业的风险防范及主体责任落实,做好行业重点信息基础设施安全防护,保障电信网和公共互联网的持续安全稳定运行,共筑网络和数据安全防线,推动上海市电信和互联网行业网络安全和数据安全工作再上新台阶,以优异成绩迎接党的二十大和第五届进口博览会胜利召开。
二、检查对象
提供公共互联网网络信息服务的基础电信企业、互联网企业(含云平台服务提供商、APP和小程序运营企业、车联网平台企业、工业互联网平台和标识解析节点企业等)、域名注册服务机构。重点检查相关网络运行单位的关键信息基础设施和重要网络单元及承载的信息系统,包括但不限于:通信网络基础设施、公共云服务平台、域名服务系统、工业互联网平台、标识解析系统、车联网应用服务平台、网约车信息服务平台等。
三、检查内容
(一)网络安全管理制度和保障体系建设落实情况
检查企业落实《网络安全法》《数据安全法》《个人信息保护法》《通信网络安全防护管理办法》,建立和完善本企业的网络安全管理制度和保障体系,开展法律法规规章的培训,强化日常自身网络安全管理和防护等情况。
(二)通信网络安全防护工作落实情况
各电信和互联网企业要按照《通信网络安全防护管理办法》有关要求,严格落实网络安全定级备案,开展符合性评测和安全风险评估,健全网络安全管理机制,加强防护能力建设,切实提升安全防护水平。各企业应于2022年8月31日前,通过工业和信息化部“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)报送本单位网络单元的定级信息。
为有效防范重大活动保障期间可能发生的各类网络安全事件,各企业要自行组织力量或者委托具有通信网络安全专业服务能力资质的机构,在2022年9月30日前,对本单位重要的通信网络和信息系统(定级为三级及以上的网络信息系统以及掌握超过100万用户个人信息的网络平台)完成一次全方位的网络安全符合性评测和安全风险评估工作,相关评测和评估结果在“通信网络安全防护管理系统”进行更新报送。我局将在重大活动前组织开展系统定级评测评估情况核查和远程网络安全检查,对未开展定级评测评估工作以及发现系统存在安全隐患、安全事件的企业,将依法依规予以处置,必要时依法采取暂停网络接入等措施。
(三)数据安全保护落实情况
检查企业落实《数据安全法》《电信和互联网企业数据安全合规性评估要点》的要求,包括:持续完善本单位数据安全管理制度和技术保护措施的情况;落实开展网络数据安全合规性评估,数据分类分级管理、对外合作安全管理、访问权限管理和安全审计情况;及时发现和处置非授权访问、批量复制或转移、删改异常情况;数据安全事件应急预案制定,重要数据备份和加密等工作情况。
(四)个人信息和用户权益保护工作情况
检查企业按照《个人信息保护法》《电信和互联网用户个人信息保护规定》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《关于开展信息通信服务感知提升行动的通知》要求,落实电信和互联网行业个人信息保护和用户权益保护专项治理工作情况。按照APP用户权益保护相关测评规范和APP收集使用个人信息最小必要相关评估规范,重点对移动互联网APP、小程序运营企业的个人信息保护和用户权益保护情况开展检查。
(五)车联网和工业互联网企业网络安全防护情况
车联网企业网络和数据安全检查参照《上海市通信管理局关于开展2022年车联网网络和数据安全专项检查的通知》(沪通信管互〔2022〕7号)要求予以开展。工业互联网企业网络和数据安全检查对照《关于开展工业互联网安全深度行活动的通知》(工信厅网安函﹝2022﹞97号)要求予以实施,重点检查相关企业落实《工业互联网企业网络安全分类分级管理指南(试行)》的情况,是否按照要求进行分类定级、落实相应级别的网络安全防护措施以及开展网络安全风险评估。
四、工作安排
(一)自查自纠(8月31日前)。各行业单位要按照有关自查评估工作规则,针对当前面临的突出问题、薄弱环节、潜在风险,制定网络安全自查评估工作方案,开展全面的网络安全自查评估,查找漏洞、补齐短板。各单位要利用2022年全市网络安全专项填报工具生成本单位上报文件(工具下载地址:http://shcpzx.odb.sh.cn/shsxxaqpczx/upload/2022.zip),并于8月5日前将本单位上报文件和《网络安全检查总结报告》上报市通信管理局。8月31日前要逐项完成整改,确保问题彻底解决,不留后患。
(二)重点抽查(9月30日前)。市通信管理局将组织开展2022年“磐石行动”网络安全攻防演练,并选取重点单位及其信息系统,委托专业技术机构进行网络安全远程和现场检测,通过实战检测检验各单位的网络和数据安全防护能力。对检查时发现的薄弱环节、安全漏洞和安全风险,专业技术机构要及时形成检查结果记录报告,并上报市通信管理局。
(三)整改问责(重大活动开始前)。对检查过程中发现的问题,各企业要高度重视,认真整改,相关整改情况要形成报告及时报送我局。在国家重大活动前,要确保对发现的安全风险彻底整改,不留死角。对相关网络运行单位拒不配合检查或在检查中发现存在违规问题逾期不改正或导致危害网络安全等后果的,将依法依规给予行政处罚并纳入不良名单和失信名单。
五、工作要求
各单位要从党和国家事业全局出发,深刻认识做好服务保障党的二十大、第五届进口博览会网络和数据安全工作的极端重要性和紧迫性,把保障党的二十大、第五届进口博览会的网络和数据安全作为首要任务,制定工作方案,明确责任部门和责任人,落实专门力量,细化工作措施,确保网络和数据安全防护责任落实,确保检查工作和保障工作到位。对问题隐患整改不力、因未落实责任造成重大影响的单位和个人,将依法依规追究其网络数据安全工作责任。
特此通知。
上海市通信管理局
2022年7月7日
(联系电话:63902000转864)
