發(fā)文機關： 辦公廳

標　　題：工業(yè)和信息化部辦公廳關于開展2018年電信和互聯(lián)網行業(yè)網絡安全檢查工作的通知

發(fā)文字號：工信廳網安函〔2018〕261號

成文日期：2018-08-06發(fā)布日期：2018-08-13

文章來源：網絡安全管理局 分　　類：網絡安全管理

工業(yè)和信息化部辦公廳關于開展2018年電信和互聯(lián)網行業(yè)網絡安全檢查工作的通知

工信廳網安函〔2018〕261號

各省、自治區(qū)、直轄市通信管理局，中國電信集團有限公司、中國移動通信集團有限公司、中國聯(lián)合網絡通信集團有限公司、中國廣播電視網絡有限公司，互聯(lián)網域名注冊管理和服務機構，互聯(lián)網企業(yè)，有關單位：

為深入貫徹習近平總書記在全國網絡安全和信息化工作會議上的重要講話精神，落實關鍵信息基礎設施防護責任，提高電信和互聯(lián)網行業(yè)網絡安全防護水平，根據《中華人民共和國網絡安全法》、《通信網絡安全防護管理辦法》（工業(yè)和信息化部令第11號）、《電信和互聯(lián)網用戶個人信息保護規(guī)定》（工業(yè)和信息化部令第24號），決定組織開展2018年電信和互聯(lián)網行業(yè)網絡安全檢查工作。現將有關要求通知如下：

一、總體要求

緊緊圍繞加快推進網絡強國建設戰(zhàn)略目標，深入學習領會習近平總書記關于網絡安全的系列重要講話精神，加快落實《中華人民共和國網絡安全法》，堅持以查促建、以查促管、以查促防、以查促改，以防攻擊、防病毒、防入侵、防篡改、防泄密為重點，加強網絡安全檢查，認清風險現狀，排查漏洞隱患，通報檢查結果，督促整改問題，強化電信和互聯(lián)網行業(yè)網絡安全風險防范和責任落實，全面提升行業(yè)網絡安全保障水平，保障公共互聯(lián)網安全、穩(wěn)定運行。

二、檢查重點

（一）重點檢查對象。檢查對象為依法獲得電信主管部門許可的基礎電信企業(yè)、互聯(lián)網企業(yè)、域名注冊管理和服務機構（以下統(tǒng)稱網絡運行單位）建設與運營的網絡和系統(tǒng)。重點是電信和互聯(lián)網行業(yè)網絡基礎設施、用戶信息和網絡數據收集、集中存儲與處理的系統(tǒng)、企業(yè)門戶網站和計費系統(tǒng)、域名系統(tǒng)、電子郵件系統(tǒng)、移動應用商店、移動應用程序及后臺系統(tǒng)、公共云服務平臺、公眾無線局域網、公眾視頻監(jiān)控攝像頭等重點物聯(lián)網平臺、網約車信息服務平臺、車聯(lián)網信息服務平臺等。

（二）重點檢查內容。重點檢查網絡運行單位落實《中華人民共和國網絡安全法》《通信網絡安全防護管理辦法》《電信和互聯(lián)網用戶個人信息保護規(guī)定》等法律法規(guī)情況，電信和互聯(lián)網安全防護體系系列標準符合情況，可能存在的弱口令、中高危漏洞和其他網絡安全風險隱患等（法律法規(guī)和標準依據詳見附件）。

三、工作安排

（一）定級備案。各網絡運行單位要按照《通信網絡安全防護管理辦法》的規(guī)定，在工業(yè)和信息化部“通信網絡安全防護管理系統(tǒng)”（https://www.mii-aqfh.cn）對本單位所有正式上線運行的網絡和系統(tǒng)進行定級備案或變更備案。

（二）自查整改。各網絡運行單位要對照法律法規(guī)和本次檢查重點，對本單位網絡安全工作進行自查自糾，對自查發(fā)現的安全問題逐一做好記錄，能立即整改的，要邊查邊改，無法立即整改的，要采取防范措施，制定整改計劃，確保整改落實。2018年9月31日前，基礎電信企業(yè)集團公司、域名注冊管理和服務機構應將本單位自查工作總結報告報部（網絡安全管理局），基礎電信企業(yè)省級公司和互聯(lián)網公司形成自查工作總結報告報當地通信管理局。

（三）開展抽查。電信主管部門選取部分網絡和系統(tǒng)，委托專業(yè)技術機構采取現場詢問、查閱資料、現場檢測、遠程滲透、代碼檢測等方式進行檢查。對省級基礎電信企業(yè)和專業(yè)公司網絡和系統(tǒng)的檢查分別按照《2018年省級基礎電信企業(yè)網絡與信息安全工作考核要點與評分標準》《2018年基礎電信企業(yè)專業(yè)公司網絡與信息安全工作考核要點與評分標準》進行量化評分，評分結果分別作為2018年省級基礎電信企業(yè)和專業(yè)公司網絡與信息安全責任考核依據。各地通信管理局除抽查省級基礎電信企業(yè)外，至少抽查當地十家以上增值電信企業(yè)，將檢查工作總結報告于10月31日前報部（網絡安全管理局）。

四、工作要求

（一）加強領導，落實責任。各地電信主管部門、網絡運行單位應嚴格落實工作責任制，精心組織制定工作方案，落實機構、隊伍和工作經費，確保檢查工作不走過場，確保檢查發(fā)現的問題得到及時有效整改。發(fā)現問題的單位要舉一反三，健全網絡安全問題閉環(huán)管理機制，加強定期巡查、整改核驗、考核問責，以檢查為契機，不斷完善電信和互聯(lián)網行業(yè)網絡安全保障體系。

（二）規(guī)范檢查，嚴明紀律。各單位要規(guī)范檢查方法和程序，避免檢查工作影響網絡和系統(tǒng)的正常運行，檢查工作中發(fā)現重大問題應及時報我部。采用隨機抽取檢查對象、隨機選派檢查隊伍的“雙隨機”方式安排實施檢查。任何部門不得向被檢查單位收取費用，不得要求被檢查單位購買、使用指定的產品和服務。委托專業(yè)技術機構進行安全檢查，要進行嚴格審查，簽訂保密承諾書，并明確專業(yè)技術機構及人員的安全責任。要嚴格遵守有關保密規(guī)定，檢查結果除按規(guī)定報送外，不得提供給其他單位和個人。

（三）加強防范，及時整改。專業(yè)檢測機構對檢查發(fā)現的薄弱環(huán)節(jié)、安全漏洞和安全風險，要現場告知網絡運行單位，并指導其防范整改。抽查發(fā)現的重大網絡安全風險和隱患，電信主管部門可通過《網絡安全問題整改通知書》等形式書面向網絡運行單位通報，督促其限期整改。網絡運行單位要對檢查發(fā)現的薄弱環(huán)節(jié)和安全風險進行深入整改，對相關責任部門和責任人進行問責處理，并及時向電信主管部門報告問題整改和問責情況。

（四）強化協(xié)同，協(xié)調配合。各地通信管理局要強化與網信、公安等部門的協(xié)調溝通，按照網絡安全工作責任制和中央網信辦《關于加強和規(guī)范網絡安全檢查工作的通知》（中網辦發(fā)文〔2015〕7號）要求，堅持跨部門、跨行業(yè)的網絡安全檢查應由當地網信部門統(tǒng)籌協(xié)調，其他部門對電信和互聯(lián)網行業(yè)的網絡安全檢查應當會同電信主管部門進行，加強協(xié)同溝通，提倡開展聯(lián)合檢查，避免交叉重復，基礎電信企業(yè)向非電信主管部門提供網絡安全相關資料和數據的，應征得當地通信管理局同意，或由通信管理局統(tǒng)一協(xié)調提供。

特此通知。

附件：網絡安全檢查工作依據的法律法規(guī)和標準

工業(yè)和信息化部辦公廳

2018年8月6日

（聯(lián)系電話：010-66022093）

附件

網絡安全檢查工作依據的法律法規(guī)和標準

一、法律法規(guī)

1. 《中華人民共和國網絡安全法》

2. 《通信網絡安全防護管理辦法》

3. 《電信和互聯(lián)網用戶個人信息保護規(guī)定》

二、電信和互聯(lián)網安全防護體系系列標準

1. 《移動通信網安全防護要求》

2. 《移動通信網安全防護檢測要求》

3. 《互聯(lián)網安全防護要求》

4. 《互聯(lián)網安全防護檢測要求》

5. 《增值業(yè)務網—消息網安全防護要求》

6. 《增值業(yè)務網—消息網安全防護檢測要求》

7. 《增值業(yè)務網—智能網安全防護要求》

8. 《增值業(yè)務網—智能網安全防護檢測要求》

9. 《接入網安全防護要求》

10.《接入網安全防護檢測要求》

11.《傳送網安全防護要求》

12.《傳送網安全防護檢測要求》

13.《IP承載網安全防護要求》

14.《IP承載網安全防護檢測要求》

15.《信令網安全防護要求》

16.《信令網安全防護檢測要求》

17.《同步網安全防護要求》

18.《同步網安全防護檢測要求》

19.《支撐網安全防護要求》

20.《支撐網安全防護檢測要求》

21.《域名系統(tǒng)安全防護要求》

22.《域名系統(tǒng)安全防護檢測要求》

23.《域名注冊系統(tǒng)安全防護要求》

24.《域名注冊系統(tǒng)安全防護檢測要求》

25.《網上營業(yè)廳安全防護要求》

26.《網上營業(yè)廳安全防護檢測要求》

27.《WAP網關系統(tǒng)安全防護要求》

28.《WAP網關系統(tǒng)安全防護檢測要求》

29.《電信網和互聯(lián)網信息服務業(yè)務系統(tǒng)安全防護要求》

30.《電信網和互聯(lián)網信息服務業(yè)務系統(tǒng)安全防護檢測要求》

31.《增值業(yè)務網即時消息業(yè)務系統(tǒng)安全防護要求》

32.《增值業(yè)務網即時消息業(yè)務系統(tǒng)安全防護檢測要求》

33.《移動互聯(lián)網應用商店安全防護要求》

34.《移動互聯(lián)網應用商店安全防護檢測要求》

35.《互聯(lián)網內容分發(fā)網絡安全防護要求》

36.《互聯(lián)網內容分發(fā)網絡安全防護檢測要求》

37.《互聯(lián)網數據中心安全防護要求》

38.《互聯(lián)網數據中心安全防護檢測要求》

39.《移動互聯(lián)網聯(lián)網應用安全防護要求》

40.《移動互聯(lián)網聯(lián)網應用安全防護檢測要求》

41.《公眾無線局域網安全防護要求》

42.《公眾無線局域網安全防護檢測要求》

43.《電信和互聯(lián)網用戶個人電子信息保護通用技術要求和管理要求》

44.《電信和互聯(lián)網用戶個人電子信息保護檢測要求》