上海市通信管理局关于开展2026年电信和互联网行业网络和数据安全检查的通知
沪通信管互〔2026〕33号
各基础电信企业,增值电信企业、互联网企业、域名注册管理和服务机构,各相关单位:
为深入贯彻习近平总书记关于网络强国的重要思想,落实《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法(试行)》(工信部网安〔2022〕166号)等法律法规和文件要求,进一步提升上海市电信和互联网行业网络和数据安全防护水平,按照工业和信息化部的有关部署要求和《关于开展2026年全市网络安全专项检查的通知》要求,上海市通信管理局(以下简称市通管局)决定组织开展2026年电信和互联网行业网络和数据安全检查。现将有关事项通知如下:
一、检查对象
提供公共互联网网络信息服务的基础电信企业,增值电信企业、互联网企业(含云平台服务提供商、APP和小程序运营企业、车联网企业、工业互联网平台和标识解析企业等)、域名注册服务机构等(以下统称企业)。
重点检查相关网络运行单位的重要网络单元及承载重要数据的信息系统,包括但不限于关键信息基础设施、通信网络基础设施、公共云服务平台、域名服务系统、工业互联网平台、工业互联网标识解析系统、车联网平台及应用等。
二、检查内容
(一)网络和数据安全保障体系建设落实情况
检查企业落实相关法律法规和标准规范情况。包括建立和完善本企业网络和数据安全管理制度和保障体系,明确网络和数据安全负责人,压实安全主体责任,开展法律法规规章培训,加强日常网络和数据安全管理和防护等情况。
(二)通信网络安全防护工作落实情况
检查电信和互联网企业落实通信网络安全防护工作情况。相关企业要按照《通信网络安全防护管理办法》(工业和信息化部令第11号)等有关要求,严格落实通信网络安全定级备案,开展符合性评测和安全风险评估,并按期通过工业和信息化部通信网络安全防护管理系统(https://mii-aqfh.cn),报送通信网络安全单元的定级信息及其网络安全符合性评测和安全风险评估结果。
(三)网络数据安全保护落实情况
检查电信和互联网企业落实2026年“浦江护航”数据安全专项行动要求的情况。包括行业首席数据官履职效能评估、重要数据识别认定及目录管理、行业数据安全风险评估、数据对外共享安全管理、企业出海数据安全与跨境合规、互联网数据中心客户数据安全保护、数据安全风险防范及应急处置工作情况等。
(四)车联网网络和数据安全防护情况
检查车联网企业落实《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》(工信部网安〔2021〕134号)及2026年“铸盾车联”车联网网络和数据安全专项行动要求的情况。包括网络和数据安全主体责任、车联网平台安全、智能网联汽车产品安全、车联网数据安全、车联网安全应急处置、车联网安全漏洞管理、L3及以上自动驾驶网络和数据安全等。
(五)工业互联网企业网络安全防护情况
检查工业互联网平台企业和标识解析企业落实《工业互联网安全分类分级管理办法》(工信部网安〔2024〕68号)及护航新型工业化网络安全专项行动相关要求的情况。企业应通过全国工业互联网安全分类分级管理平台(https://www.ciisec.org.cn)完成本年度工业互联网安全自主定级和信息登记,落实相应级别的网络安全防护措施以及开展符合性评测和安全整改工作。
(六)暴露面风险管理情况
检查网络运行企业互联网暴露面情况。各企业应定期系统梳理互联网暴露面情况,包括承载电信业务、企业办公、业务支撑等的各类信息通信网络单元互联网出入口,严控出入口数量,做好边界隔离和安全防护。统计办公网互联网出入口,以及接入在用的各类信息通信网络单元的虚拟专用网络(VPN)、零信任网络的情况,形成互联网暴露面信息列表。
(七)网络安全威胁监测情况
检查企业落实《公共互联网网络安全威胁监测与处置办法》(工信部网安〔2017〕202号)要求,做好常态化网络安全威胁监测与处置的情况。企业应建设网络安全威胁监测与处置技术手段,在互联网出入口、网络边界等网络关键节点部署攻击监测设备,基于流量监测、网元自身安全组件监测、日志采集分析等,提升恶意程序传播、漏洞攻击利用等网络威胁精准监测、分析研判能力,及时发现并处置各类风险隐患与威胁。
(八)网络和数据安全事件应急处置情况
检查企业落实《公共互联网网络安全突发事件应急预案》(工信部网安〔2017〕281号)《工业和信息化领域数据安全事件应急预案(试行)》(工信部网安〔2024〕214号)《上海市公共互联网网络安全突发事件应急预案》《上海市电信领域数据安全事件应急预案(试行)》(沪通信管互〔2026〕30号)等要求,开展网络和数据安全突发事件应急处置的情况。建立健全网络和数据安全应急响应机制,制定网络和数据安全事件应急预案,定期参与或自行组织开展网络和数据安全事件应急演练,做好重大活动网络安全保障准备。严格落实突发事件报告制度,在发生危害网络安全的事件或较大及以上数据安全事件时,应立即启动应急预案,采取相应的补救措施,并向市通管局报告,并在事件应急响应结束后10个工作日内,提交总结报告。
(九)互联网基础资源管理
检查接入服务企业、域名注册服务机构、递归解析服务机构、应用分发平台等企业落实ICP核准管理及《工业和信息化部办公厅关于组织开展2026“固源”行动的通知》(工信厅信管函〔2026〕127号)要求情况。相关企业应按照《互联网信息服务管理办法》《非经营性互联网信息服务备案管理办法》等有关要求,确保ICP核准信息、IP地址备案信息准确、真实、有效。企业应加强自查巡检,及时处置不合规互联网基础资源,落实应急处置相关要求。
(十)个人信息和用户权益保护工作情况
检查各APP/小程序核准主体按照《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)《关于开展2026年个人信息保护系列专项行动的公告》等要求,落实个人信息和用户权益保护专项治理工作情况。各APP/小程序核准主体应对个人信息保护情况每年至少开展一次自查,并将自查情况报市通管局。市通管局加强对未开展个人信息保护评估企业的监管,提升行业个人信息保护能力。在2026年个人信息保护系列专项行动有关要求基础上,重点加强对互联网广告、教育、交通、卫生健康、金融、网约车、物流寄递等领域APP的检测。
三、工作安排
(一)自查自纠(8月15日前)
各行业单位要针对当前面临的突出问题和潜在风险,制定网络安全自查工作方案,开展全面的网络和数据安全自查,并通过2026年全市网络安全专项填报工具生成本单位上报文件(工具下载地址:https://download.shcert.org/tbgj),于8月15日前将本单位上报文件和《网络安全检查总结报告》报市通管局。相关材料应刻录光盘后通过机要或专人递送方式报送,严禁使用微信、互联网邮箱或快递报送。
(二)重点抽查(10月31日前)
市通管局将选取部分企业和相关系统,委托专业技术机构通过现场询问、查阅资料、现场检测、远程渗透、源代码检测等方式进行网络安全抽查。对检查时发现的薄弱环节、安全漏洞和安全风险,专业技术机构要及时形成检查结果记录报告报市通管局。
(三)整改问责(重大活动开始前)
对检查过程中发现的问题,各企业应及时采取有效措施完成整改,并将相关情况及处置措施书面报送市通管局。在重大活动前,要确保对发现的安全风险彻底整改。对拒不配合检查或在检查中发现存在违规问题逾期不改正或导致危害网络安全等后果的企业,将依法依规给予行政处罚,并将其纳入不良名单和失信名单。
特此通知。
上海市通信管理局
2026年7月2日
(联系电话:63902000转389)