通知公告
北京市通信管理局关于开展2024年电信和互联网行业网络与数据安全检查的通知
时间:2024-09-04 来源:
关于开展2024年电信和互联网行业 京信网安函〔2024〕145号
网络与数据安全检查的通知
北京地区各基础电信企业、互联网企业、域名注册服务企业、相关网络系统平台应用运行单位:
为进一步提升我市电信和互联网行业网络与数据安全防护水平,按照工业和信息化部、北京市委市政府总体部署,结合工作职责,我局决定组织开展2024年电信和互联网行业网络与数据安全检查工作。现将有关事项通知如下:
一、总体目标
深入学习贯彻习近平总书记关于网络强国的重要思想和全国网络安全和信息化工作会议精神,根据《网络安全法》《数据安全法》《个人信息保护法》《通信网络安全防护管理办法》《工业和信息化领域数据安全管理办法(试行)》等法律法规,坚持以查促建、以查促管、以查促防、以查促改,强化行业的风险防范及主体责任落实,做好行业重点信息基础设施安全防护,保障电信网和公共互联网的持续安全稳定运行,为服务保障重大活动网络安全,北京信息通信行业高质量发展提供有力支撑。
二、检查对象
本市基础电信企业、域名注册服务企业、云平台服务提供商、APP运营企业、车联网平台企业、工业互联网平台和标识解析节点企业等。重点检查相关企业建设运营的网络、系统、平台、应用、业务,特别是电信和互联网行业关键信息基础设施和重要网络单元及承载的信息系统,包括但不限于:管理支撑系统、公共云服务平台、域名服务系统、移动应用商店、工业互联网平台、物联网服务平台、车联网应用及数据服务平台、电子商务平台、网络支付平台、网络游戏运营平台、网约车信息服务平台、移动智能终端及移动应用分发平台等。
三、检查内容
(一)网络安全管理制度和保障体系建设落实情况
检查企业落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《通信网络安全防护管理办法》《网络产品安全漏洞管理规定》《工业和信息化领域数据安全管理办法(试行)》,建立和完善本企业的网络数据安全管理制度和保障体系,开展法律法规规章的培训,强化日常自身网络和数据安全管理和防护等情况。
(二)通信网络安全防护工作落实情况
各企业要按照《北京市通信管理局关于进一步加强电信和互联网行业通信网络安全防护管理工作的通知》有关要求,对本企业各类信息系统进行网络单元划分和定级备案,并开展符合性评测和安全风险评估。各企业应于2024年10月底前,通过工业和信息化部“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)报送本企业网络单元定级信息。
为有效防范重要保障时期可能发生的各类网络安全事件,各企业要自行组织力量或者委托本市具有通信网络安全专业服务能力资质的机构,对本企业的重要通信网络和信息系统进行全方位网络安全符合性评测和安全风险评估。我局将组织开展系统定级评测评估情况核查和远程网络安全检查,对未落实整改要求、未开展定级评测评估工作以及发现系统存在安全隐患、安全事件的企业,将依法依规予以处置,必要时依法采取暂停其网络接入等措施。
(三)数据安全保护落实情况
检查企业落实《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法(试行)》《电信领域数据安全风险评估规范》《北京地区电信领域数据安全管理实施细则》的要求,包括:健全完善本企业数据安全管理制度和技术保护措施的情况;落实开展重要数据目录备案、数据安全风险评估、数据安全合规性评估、数据分级保护、合作方管理、安全审计、数据安全风险监测与预警处置、数据安全事件应急预案制定与应急演练等情况;及时检查发现并处置数据非法收集、数据非法利用、防护措施不到位、人员违规操作等突出问题。
(四)个人信息保护及安全隐患工作情况
检查各APP/小程序开发者及运营者按照《个人信息保护法》《电信和互联网用户个人信息保护规定》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》要求,落实电信和互联网行业个人信息保护和用户权益保护专项治理工作情况。按照APP用户权益保护相关测评规范和APP收集使用个人信息最小必要相关评估规范,重点对移动互联网APP/小程序开发者及运营者的个人信息保护和用户权益保护情况开展检查,对检查出有违法违规问题的APP/小程序,给予运营者5个工作日进行整改,整改不通过或拒不整改的予以公开通报或下架。
(五)工业互联网企业网络安全防护情况
重点检查工业互联网平台企业和标识解析企业落实工业互联网网络安全分类分级管理工作情况。有关工业互联网企业应对照《工业互联网安全分类分级管理办法》及配套标准要求,实施分类分级全环节工作,按要求完成自主定级,落实相应级别的网络安全防护措施并开展网络安全符合性评测,于2024年9月30日前,将相关定级报告和评测报告报送北京市通信管理局。
(六)车联网网络安全防护定级备案管理情况
检查车联网企业网络安全防护定级备案落实情况。各车联网服务平台企业应按照《关于做好车联网网络安全防护定级备案工作的通知》《车联网网络安全防护定级备案实施指南》有关要求,对本企业车联网网络设施和系统进行单元划分和系统定级,于2024年9月30日前在“全国车联网网络安全防护管理系统(www.iovsec.org.cn)”完成定级备案,并在取得系统备案号的60日内完成相应系统级别的符合性评测和安全风险评估工作。在落实定级备案、评测评估的基础上,按照《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》要求,重点提升车联网系统安全防护能力,加强车联网数据安全保护。
四、工作安排
(一)自查自纠(自通知印发之日起至2024年9月20日)
各企业要统一思想、提高认识,对照相关法律法规要求,对本企业网络安全和数据安全工作进行自查自纠,对自查发现的安全问题要逐一做好记录,对能立即整改的要边查边改,对无法立即整改的要采取防范措施,制定整改计划,确保整改落实,同时形成自查整改情况台账。
(二)通报处置(通知印发之日起至11月30日)
我局依托工业和信息化部的网络安全威胁共享平台和我局监测数据,对企业存在高中危漏洞、僵尸网络、移动互联网恶意程序、恶意主机、数据泄露等安全威胁开展专项治理,依法对相关企业采取通报、约谈、(暂停)停止接入、行政处罚等措施。
(三)重点抽查(2023年9月21日至10月30日)
我局将选取重点企业及其信息系统,通过访谈、资料查阅、现场技术抽测等方式检查企业网络安全和数据安全技术防护措施的落实情况,重点检查相关软硬件和业务系统是否存在安全漏洞,是否已被植入恶意代码、被非法远程控制或发生数据泄露事件等。
(四)整改问责
对检查过程中发现的问题,各企业要高度重视,切实整改,相关整改情况要形成总结报告及时报送我局。相关企业如拒不配合检查,或在检查中发现存在违规问题逾期不改正,或有关问题导致严重后果的,我局将依法依规严肃处理。
(联系人:郭瑶瑶;联系电话:51938048)
来源:北京市通信管理局