上海市通信管理局关于开展2024年上海市电信和互联网行业网络和数据安全检查的通知
本市各电信企业,互联网企业,域名注册管理和服务机构,各相关单位:
为进一步提升本市电信和互联网行业网络和数据安全防护水平,切实做好重大活动网络和数据安全保障,按照工业和信息化部的有关部署要求和《关于开展2024年全市网络安全专项检查的通知》要求,结合我局职责,决定组织开展2024年上海市电信和互联网行业网络和数据安全检查。有关事项通知如下:
一、总体要求
深入学习贯彻习近平总书记关于网络强国的重要思想,落实《网络安全法》《数据安全法》《个人信息保护法》《通信网络安全防护管理办法》《工业和信息化领域数据安全管理办法(试行)》《电信和互联网用户个人信息保护规定》等法律法规要求,坚持以查“促建、促管、促防、促改”,强化行业的风险防范及主体责任落实,做好行业重点信息基础设施安全防护,保障电信网和公共互联网的持续安全稳定运行,服务保障中华人民共和国成立75周年、第七届中国国际进口博览会等国家重大活动胜利举办。
二、检查对象
提供公共互联网网络信息服务的基础电信企业、互联网企业(含云平台服务提供商、APP和小程序运营企业、车联网企业、工业互联网平台和标识解析节点企业等)、域名注册服务机构等。重点检查相关网络运行单位的重要网络单元及承载重要数据的信息系统,包括但不限于关键信息基础设施、通信网络基础设施、公共云服务平台、域名服务系统、工业互联网平台、标识解析系统、车联网平台及应用等。
三、检查内容
(一)网络和数据安全保障体系建设落实情况
检查企业落实《网络安全法》《数据安全法》《个人信息保护法》《通信网络安全防护管理办法》《工业和信息化领域数据安全管理办法(试行)》《电信和互联网用户个人信息保护规定》,建立和完善本企业的网络数据安全管理制度和保障体系,开展法律法规规章的培训,强化日常自身网络和数据安全管理和防护等情况。
(二)通信网络安全防护工作落实情况
各电信和互联网企业要按照《通信网络安全防护管理办法》有关要求,严格落实通信网络安全定级备案,开展符合性评测和安全风险评估,并按期通过工业和信息化部“通信网络安全防护管理系统”(www.mii-aqfh.cn)报送2024年度通信网络单元的定级信息及其网络安全符合性评测和安全风险评估结果。我局将在重大活动前,组织开展系统定级评测评估情况核查和远程网络安全检查,重点对2023年以来通报过通信网络安全防护管理问题的系统及其运营者进行复查。对未落实整改要求、未开展定级评测评估工作以及发现系统存在安全隐患、安全事件的企业,将依法依规予以处置,必要时依法采取暂停其网络接入等措施。
(三)工业互联网企业网络安全防护情况
重点检查工业互联网平台企业和标识解析企业落实工业互联网网络安全分类分级管理工作情况。有关工业互联网企业要对照《工业互联网企业网络安全分类分级指南(试行)》完成本年度工业互联网安全分类定级、落实相应级别的网络安全防护措施以及开展网络安全风险评估,并将相关定级报告和评估报告报送市通信管理局。推动各工业互联网企业加强与省级工业互联网网络安全态势感知平台的对接,其中,定为三级的工业互联网平台和系统,应当接入省级工业互联网网络安全态势感知平台。
(四)车联网安全防护管理情况
结合“铸盾车联”车联网安全专项行动任务,检查企业落实《网络安全法》《数据安全法》《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》以及专项行动要求的情况,包括:网络和数据安全主体责任、车联网网络设施和系统安全、智能网联汽车产品安全、车联网平台和应用服务安全、车联网数据安全、自动驾驶功能网络安全等。各车联网企业要按照“铸盾车联”专项行动相关任务要求,重点提升各类车联网系统、应用和设施的安全防护能力,加强智能网联汽车安全和车联网数据保护工作。我局将在重大活动前,组织开展专项行动落实情况核查和专项检查。
(五)数据安全保护落实情况
结合2024年度“浦江护航”数据安全专项行动任务,检查企业落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》以及专项行动要求的情况,包括:行业数据要素高效流通和利用、行业首席数据官制度实施、重要数据识别认定及目录管理、行业数据安全风险评估、数据对外共享使用管理、数据安全保护能力提升、人工智能应用数据安全等。
(六)个人信息和用户权益保护工作情况
检查各APP/小程序运营者按照《个人信息保护法》《电信和互联网用户个人信息保护规定》要求,落实个人信息和用户权益保护专项治理工作情况。按照APP用户权益保护相关测评规范和APP收集使用个人信息最小必要相关评估规范,重点对移动互联网APP/小程序运营者的个人信息保护和用户权益保护情况开展检查,对近年来反复通报过存在个人信息和用户权益保护问题的应用,经检测仍存在问题的,予以社会公示或应用下架等措施。
四、工作安排
(一)自查自纠(7月5日前)
各行业单位要针对当前面临的突出问题、薄弱环节、潜在风险,制定网络安全自查工作方案,开展全面的网络和数据安全自查,查找漏洞、补齐短板,并通过2024年全市网络安全专项填报工具生成本单位上报文件(工具下载地址:http://www.shtec.org.cn/shsxxaqpczx/tbgj/tbgj.html)于7月5日前将本单位上报文件和《网络安全检查总结报告》上报我局。
(二)重点抽查(8月31日前)
市通信管理局将选取部分企业和相关系统,委托专业技术机构通过现场询问、查阅资料、现场检测、远程渗透、源代码检测等方式进行网络安全抽查。对检查时发现的薄弱环节、安全漏洞和安全风险,专业技术机构要及时形成检查结果记录报告,并上报市通信管理局。
(三)整改问责(重大活动开始前)
对检查过程中发现的问题,各企业要高度重视,认真整改,相关整改情况要形成报告及时报送我局。在重大活动前,要确保对发现的安全风险彻底整改,不留死角。对相关网络运行单位拒不配合检查或在检查中发现存在违规问题逾期不改正或导致危害网络安全等后果的,将依法依规给予行政处罚,并将其纳入不良名单和失信名单。
特此通知。
上海市通信管理局
2024年6月24日
(联系人及电话:宋老师,021-63902000-389)
