安全419注意到,5月19日,北京市通信管理局发布了关于开展2022年电信和互联网行业网络与数据安全检查的通知,通知显示,北京市通信管理局将在下半年组织开展相关检查工作。
本次检查工作检查对象为提供公共互联网网络信息服务的基础电信企业、域名注册服务企业、云平台服务提供商、APP运营企业、车联网平台企业、工业互联网平台和标识解析节点企业等。
重点检查相关网络运行单位的关键信息基础设施和重要网络单元及承载的信息系统,包括但不限于:通信网络基础设施、公共云服务平台、域名服务系统、工业互联网平台、标识解析系统、车联网应用服务平台、网约车信息服务平台等。
检查内容包括网络安全管理制度和保障体系建设落实情况、通信网络安全防护工作落实情况、数据安全保护落实情况、个人信息保护工作情况、工业互联网企业网络安全防护情况。
据通知安排,自通知发布之后到6月15日前为自查自纠期,6月16日起至9月30日将进入重点抽查期,对检查过程中发现的问题将对企业进行整改问责。
通知原文如下:
北京地区各基础电信企业、互联网企业、域名注册服务企业、相关单位:
为深入贯彻习近平总书记关于网络安全的系列重要讲话精神,进一步提升北京地区电信和互联网行业网络与数据安全防护水平,切实做好党的二十大网络安全保障工作,按照工业和信息化部、北京市委市政府总体部署,结合我局工作职责,我局决定组织开展2022年电信和互联网行业网络与数据安全检查工作。有关事项通知如下:
一、总体目标
深入贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《通信网络安全防护管理办法》等法律法规,坚持以查促建、以查促管、以查促防、以查促改,强化行业的风险防范及主体责任落实,做好行业重点信息基础设施安全防护,保障电信网和公共互联网的持续安全稳定运行,共筑网络和数据安全防线,推动北京市电信和互联网行业网络安全与数据安全工作再上新台阶,以优异成绩迎接党的二十大胜利召开。
二、检查对象
提供公共互联网网络信息服务的基础电信企业、域名注册服务企业、云平台服务提供商、APP运营企业、车联网平台企业、工业互联网平台和标识解析节点企业等(以下统称“网络运行单位”)。重点检查相关网络运行单位的关键信息基础设施和重要网络单元及承载的信息系统,包括但不限于:通信网络基础设施、公共云服务平台、域名服务系统、工业互联网平台、标识解析系统、车联网应用服务平台、网约车信息服务平台等。
三、检查内容
(一)网络安全管理制度和保障体系建设落实情况
检查企业落实《网络安全法》《通信网络安全防护管理办法》,建立和完善本企业的网络安全管理制度和保障体系,开展《网络安全法》《通信网络安全防护管理办法》等法律法规规章的培训,强化日常自身网络安全管理和防护等情况。
(二)通信网络安全防护工作落实情况
以增值电信企业为重点,检查企业的通信网络单元安全防护工作开展情况。各增值电信企业要按照《通信网络安全防护管理办法》有关要求,对本单位各类信息系统进行网络单元划分和定级备案,并开展符合性评测和安全风险评估。各增值电信企业应于2022年6月底前,通过工业和信息化部“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)报送本单位网络单元的定级信息。
为有效防范重大活动保障期间可能发生的各类网络安全事件,各企业要自行组织力量或者委托具有通信网络安全专业服务能力资质的机构对本单位重要的通信网络和信息系统进行一次全方位的网络安全符合性评测和安全风险评估工作。我局将组织专业机构开展远程网络安全检查,对未开展定级备案以及发现系统存在安全隐患的企业,将予以通报,问题严重的将依法依规予以处置。
(三)数据安全保护落实情况
检查企业落实《数据安全法》《电信和互联网企业数据安全合规性评估要点》的要求,包括:持续完善本单位数据安全管理制度和技术保护措施的情况;落实开展网络数据安全合规性评估,数据分类分级管理、对外合作安全管理、访问权限管理和安全审计情况;及时发现和处置非授权访问、批量复制或转移、删改异常情况;数据安全事件应急预案制定,重要数据备份和加密等工作情况。
(四)个人信息保护工作情况
检查企业按照《个人信息保护法》《电信和互联网用户个人信息保护规定》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》要求,落实电信和互联网行业个人信息保护专项治理工作情况。按照APP用户权益保护相关测评规范和APP收集使用个人信息最小必要相关评估规范,重点对移动互联网APP运营企业的APP个人信息保护情况开展检查。
(五)工业互联网企业网络安全防护情况
检查相关企业落实工信部文件《工业互联网企业网络安全分类分级管理指南(试行)》的情况,是否按照要求进行分类定级、落实相应级别的网络安全防护措施以及开展网络安全风险评估。重点检查工业互联网服务平台、工业互联网标识解析系统企业。
四、工作安排
(一)自查自纠(通知印发之日起至6月15日)。各企业要统一思想,提高认识,按照本通知要求,对照相关法律法规要求,对本企业网络安全和数据安全工作进行自查自纠,对自查发现的安全问题要逐一做好记录,对能立即整改的,要边查边改,对无法立即整改的,要采取防范措施,制定整改计划,确保整改落实,同时形成自查整改情况台账。
(二)重点抽查(6月16日起至9月30日)。我局将组织专业技术机构通过访谈、资料查阅、现场技术抽测等方式检查企业网络安全和数据安全技术防护措施的落实情况,重点检查相关软硬件和业务系统是否存在安全漏洞,是否已被植入恶意代码、被非法远程控制或发生数据泄露事件等。对检查发现的网络安全隐患,我局将以书面形式要求整改。
(三)整改问责。对检查过程中发现的问题,各企业要高度重视,认真整改,相关整改情况要形成总结报告及时报送我局。对相关网络运行单位拒不配合检查或在检查中发现存在违规问题逾期不改正或导致危害网络安全等后果的,将依法依规给予行政处罚并纳入不良名单和失信名单。
北京市通信管理局
2022年5月18日