上海市通信管理局关于开展2023年上海市电信和互联网行业网络和数据安全检查的通知
本市各电信企业、互联网企业、域名注册管理和服务机构,各相关单位:
为进一步提升本市电信和互联网行业网络和数据安全防护水平,切实做好第六届中国国际进口博览会等重大活动网络和数据安全保障,按照工业和信息化部的有关部署要求和《关于开展2023年全市网络安全专项检查的通知》要求,结合我局职责,决定组织开展2023年上海市电信和互联网行业网络和数据安全检查。有关事项通知如下:
一、总体目标
深入贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《通信网络安全防护管理办法》《工业和信息化领域数据安全管理办法(试行)》等法律法规要求,坚持以查促建、以查促管、以查促防、以查促改,强化行业的风险防范水平及主体责任落实,做好行业重点信息基础设施安全防护,确保电信网和公共互联网持续安全稳定运行,服务保障第六届中国国际进口博览会等重大活动胜利举办。
二、检查对象
提供公共互联网网络信息服务的基础电信企业、互联网企业(含云平台服务提供商、APP和小程序运营企业、车联网企业、工业互联网平台和标识解析节点企业等)、域名注册服务机构。重点检查相关网络运行单位的重要网络单元及承载重要数据的信息系统,包括但不限于关键信息基础设施、通信网络基础设施、公共云服务平台、域名服务系统、工业互联网平台、标识解析系统、车联网应用服务平台、网约车信息服务平台等。
三、检查内容
(一)网络和数据安全保障体系建设落实情况
检查企业落实《网络安全法》《数据安全法》《个人信息保护法》《通信网络安全防护管理办法》《工业和信息化领域数据安全管理办法(试行)》,建立和完善本企业的网络数据安全管理制度和保障体系,开展法律法规规章的培训,强化日常自身网络和数据安全管理和防护等情况。
(二)通信网络安全防护工作落实情况
各电信和互联网企业要按照《通信网络安全防护管理办法》有关要求,严格落实通信网络安全定级备案,开展符合性评测和安全风险评估,健全网络安全管理机制,加强防护能力建设,切实提升安全防护水平。各企业应于2023年9月30日前,通过工业和信息化部“通信网络安全防护管理系统”(www.mii-aqfh.cn),报送2023年度通信网络单元的定级信息及其网络安全符合性评测和安全风险评估结果。我局将在重大活动前,组织开展系统定级评测评估情况核查和远程网络安全检查,重点对2022年以来通报过通信网络安全防护管理问题的系统及其运营者进行复查。对未落实整改要求、未开展定级评测评估工作以及发现系统存在安全隐患、安全事件的企业,将依法依规予以处置,必要时依法采取暂停其网络接入等措施。
(三)车联网网络安全防护定级备案管理情况
检查车联网行业网络安全防护定级备案落实情况。各车联网企业要按照《关于做好车联网网络安全防护定级备案工作的通知》《车联网网络安全防护定级备案实施指南》有关要求,对本单位车联网网络设施和系统进行单元划分和系统定级,于2023年9月30日前在“全国车联网网络安全防护管理系统”(www.iovsec.org.cn)完成定级备案,并在取得系统备案号的60日内,完成相应系统级别的符合性评测和安全风险评估工作。在落实定级备案、评测评估的基础上,按照《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》要求,重点提升车联网系统安全防护能力,加强车联网数据安全保护工作。我局将在重大活动前,组织开展系统定级评测评估情况核查和远程网络安全检查,并组织开展车联网行业网络和数据安全专项检查。
(四)工业互联网企业网络安全防护情况
重点检查工业互联网平台企业和标识解析企业落实工业互联网网络安全分类分级管理工作情况。有关工业互联网企业要对照《工业互联网企业网络安全分类分级指南(试行)》,于2023年9月30日前,完成本年度工业互联网安全分类定级、落实相应级别的网络安全防护措施以及开展网络安全风险评估,并将相关定级报告和评估报告报送市通信管理局。推动各工业互联网企业加强与省级工业互联网网络安全态势感知平台的对接,其中,定为三级的工业互联网平台和系统,应当接入省级工业互联网网络安全态势感知平台。
(五)网络数据安全保护落实情况
结合“浦江护航”数据安全专项行动任务,检查企业落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》要求的情况,包括实施电信和互联网行业首席数据官制度的情况;落实行业重要数据和核心数据识别认定工作情况;落实开展行业数据安全风险评估工作情况;落实数据安全风险监测预警与信息通报工作机制情况;落实企业数据全生命周期安全管理工作情况;落实企业数据安全培训工作情况等。重点对照“浦江护航”专项行动任务,检查企业首席数据官制度落实情况、重要数据认定情况和年度数据安全风险评估落实情况。
(六)个人信息和用户权益保护工作情况
检查各APP/小程序运营者按照《个人信息保护法》《电信和互联网用户个人信息保护规定》《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》要求,落实电信和互联网行业个人信息保护和用户权益保护专项治理工作情况。按照APP用户权益保护相关测评规范和APP收集使用个人信息最小必要相关评估规范,重点对移动互联网APP/小程序运营者的个人信息保护和用户权益保护情况开展检查,对2022年以来通报过存在个人信息保护和用户权益保护问题的应用,经检测仍存在同类问题的,予以社会公示或应用下架等措施。
四、工作安排
(一)自查自纠(7月31日前)
各行业单位要针对当前面临的突出问题、薄弱环节、潜在风险,制定网络安全自查工作方案,开展全面的网络和数据安全自查,查找漏洞、补齐短板。各单位要利用2023年全市网络安全专项填报工具生成本单位上报文件(工具下载地址:http://www.shtec.org.cn/shsxxaqpczx/tbgj/tbgj.html),并于7月31日前将本单位上报文件和《网络安全检查总结报告》上报我局。
(二)重点抽查(9月30日前)
我局将组织开展2023年“磐石行动”网络安全实战攻防,选取重点单位及其信息系统,委托专业技术机构进行网络安全远程和现场检查,通过实战检测和现场检查检验各单位的网络和数据安全防护能力。对检查时发现的薄弱环节、安全漏洞和安全风险,专业技术机构要及时形成检查结果记录报告,并上报市通信管理局。
(三)整改问责(重大活动开始前)
对检查过程中发现的问题,各企业要高度重视,认真整改,相关整改情况要形成报告及时报送我局。在国家重大活动前,要确保对发现的安全风险彻底整改,不留死角。对相关网络运行单位拒不配合检查或在检查中发现存在违规问题逾期不改正或导致危害网络安全等后果的,将依法依规给予行政处罚,并将其纳入不良名单和失信名单。
特此通知。
上海市通信管理局
2022年6月19日
(联系电话:63902000转864)