上海市通信管理局是上海市电信和互联网行业主管部门。为深入贯彻习近平总书记关于网络安全的系列重要讲话精神,维护上海公共互联网安全稳定运行,保障首届中国国际进口博览会胜利举办,市通信管理局决定自 2018 年 5 月至 9 月组织开展上海市电信和互联网行业网络安全检查工作。为更好地宣传网络安全法律法规有关知识,推动全行业深入理解贯彻安全检查的重点内容,动员全社会积极参与,市通信管理局对检查相关重点环节进行解读。
工作背景
2017 年,上海市电信和互联网行业发展前景呈现良好态势:电信业务总量增速加快,上海固定宽带和移动宽带平均下载速率均排名全国第一;互联网行业保持快速发展势头,有 20 家上海互联网企业入选中国互联网企业 100 强。
然而作为我国互联网产业发展的核心区域之一,上海地区网络安全形势仍不容乐观。根据《上海市电信业发展研究报告(2018)》,2017 年上海市受木马或僵尸程序控制的主机 IP 地址月均数量为 21318 个,感染“飞客”蠕虫 IP 地址月均数量达 20140 个,被篡改网站月均数量为 253 个,移动互联网恶意程序感染用户月均数量近 745 万。这些数据反映了当前上海互联网在快速发展过程中所暴露出的网络安全问题。
习近平总书记在 2018 年全国网络安全和信息化工作会议上强调,“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”。
为深入贯彻习总书记关于网络安全的系列重要讲话精神,加强上海市电信和互联网行业网络与信息安全工作,切实维护公共互联网安全稳定运行,服务保障首届中国国际进口博览会胜利举办,上海市通信管理局根据《网络安全法》等法律法规和自身职责,决定自 2018 年 5 月至 9 月组织开展上海市电信和互联网行业网络安全检查工作。
为更好地宣传网络安全法律法规、政策制度等相关知识,推动全行业深入理解贯彻安全检查的重点内容,动员全社会积极参与,上海市通信管理局对检查相关重点环节进行解读。
工作目标
2018 年网络安全检查期望实现以下三大目标:
01 牢固树立网络安全观
市通管局将指导督促电信和互联网企业深入贯彻习近平总书记关于网络安全的系列重要讲话精神,进一步强化全行业网络安全风险意识、忧患意识和责任意识;
02 深入落实网络安全法律法规
市通管局将推动各单位加快落实《网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》《互联网新技术新业务信息安全评估管理办法(试行)》等国家有关法律法规要求,并深入推进《上海市互联网网络安全信息通报实施办法》关于网络安全信息通报有关机制的实施;
03 切实强化安全保障能力
市通管局将指导督促各单位以防攻击、防病毒、防篡改、防泄密为重点,深入查找薄弱环节并强化整改,进一步提高电信和互联网行业网络安全保障水平,维护上海市公共互联网安全、稳定运行。
检查对象
网络安全检查对象为上海市各基础电信企业和互联网企业。
在 2018 年,市通信管理局将重点关注与用户信息安全密切相关的基础运营商、网约车企业、车联网企业、数据中心和云服务企业等的安全防护状况。
重点内容
(一)重点检查企业对各自所属的网络信息系统的摸底排查工作情况。
习近平总书记在 2016 年 “419” 讲话中曾指出,“要全面加强网络安全检查,摸清家底,认清风险”。信息系统底数不清,就难以准确掌握公共网络的安全状况,就难以科学评估网络安全的面临风险,也难以为构建电信和互联网安全保障体系提供基础性数据和精准参考。对此,市通信管理局要求各企业对本单位的所有互联网信息系统进行摸底清查,梳理统计系统信息和业务功能;并对基础电信企业和网约车企业做出定级备案、风险评估等更高要求。检查期间,市通管局将对各企业网站系统和移动 APP 应用的梳理情况进行核查,发现漏报、瞒报等情况将予以严肃通报问责,确保每个网站有主管单位,每套系统有责任人员,做到应急响应及时,安全防护到位。
(二)重点检查企业网络安全监测预警和信息报送工作情况。
《网络安全法》第五十二条规定,“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息”。为加强电信和互联网行业网络安全工作,上海市通信管理局于 2016 年制定发布了《上海市互联网网络安全信息通报实施办法》,规范上海市互联网网络安全信息通报工作,促进网络安全信息共享,提高网络安全预警、防范和应急水平,保护上海市互联网用户和互联网企业的合法权益。2018 年,市通信管理局将结合安全检查,持续指导各单位按照有关规定制定完善本单位信息监测机制和信息通报机制,自主监测涉及本单位管理范围内的信息,并定期向主管部门报送。
(三)重点检查用户个人信息收集和网络数据安全保护情况。
《网络安全法》在第四章专章规定了公民个人信息保护的基本法律制度,例如,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”等。当前,各互联网平台收集了大量用户信息,一些不合理、不正当、不必要的信息收集和使用方式将对公民的信息、财产安全带来威胁。因此在本次检查中,市通管局将重点审查各企业收集、存储和使用用户个人信息是否符合法律法规和相关标准规定,用户个人信息和重要数据传输及存储过程中的保护措施等,加强对用户的信息、财产安全保护。
(四)重点检查网络安全应急演练和安全培训工作情况。
安全应急演练和安全培训是网络安全管理的重要内容,定期开展网络安全事件应急演练和安全培训工作,对从业人员安全意识的培养和安全管理的实践具有重要意义。《网络安全法》《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》等有关法律和文件对安全演练和培训均做出明确要求。在本年度检查中,市通管局将加强核查各企业安全演练和培训的计划制定及实施情况,并重点审查有关演练和培训开展的工作记录,确保网络安全各项工作做到踏石留印,抓铁有痕。
(五)重点检查网络安全技术防护情况。
技术手段是强化网络安全防护的基础手段,网络安全技术能力建设情况历来是安全检查中的关键内容之一。2018 年,市通管局将组织有关专业技术机构进一步加强对各企业安全技术防护情况的检查:一是持续开展对各类互联网站的漏洞监测,二是着力加强对移动互联网 APP 应用的安全检测,三是集中力量深入各企业加大现场检查力度;发现存在安全问题或产生事件后果的,市通管局将视情节予以通报、约谈和行政处罚。
(六)重点检查互联网新技术新业务信息安全评估工作情况。
互联网领域创新活跃,新业务层出不穷,与此同时网络安全风险也日益突出;对互联网新技术新业务开展安全评估,对各类新业务应用可能引发的信息安全风险进行分析,并研究明确管理要求和应对措施,能够感知网络安全态势,准确把握网络安全风险发生的动向趋势,有效防范安全风险。为适应互联网行业发展和安全管理的新形势,市通管局根据《互联网新技术新业务信息安全评估管理办法(试行)》,在 2018 年将各企业安全评估的开展情况纳入检查重点之一,推动行业建立完善安全评估工作制度,维护网络信息安全,促进互联网健康发展。检查期间,通信管理局将组织各企业梳理本单位互联网业务的名录清单,并对 2018 年新上线的业务开展信息安全评估。市通管局将对各企业工作情况和安全评估报告进行审查,对评估工作不到位、风险分析不准确以及评估报告不规范的,将予以通报并责令重新评估。
2018 年电信和互联网行业网络安全检查将于 5 月至 9 月开展,上海市通信管理局将针对本次工作目标和重点内容,督促各企业加强开展安全自查,推动实现网络空间天朗气清。市通管局也将持续开展督查工作,并定期汇总有关网络安全问题和隐患,向社会发布安全风险警示,及时提醒公众防范各类网络安全风险,提升安全保护意识,营造安全健康的网络环境。
习近平总书记指出,“网络安全为人民,网络安全靠人民”。
随着安全威胁日益渗透到互联网的各个层面与各个角落,维护公共网络安全已成为全社会的共同责任,需要政府、企业、社会组织和广大网民共同参与。上海市通信管理局通过开展行业安全检查等工作,力求强化安全知识的宣传普及,培养和增强全行业对网络安全极端重要性的认识,努力形成网络安全事关人人、维护安全人人可为的良好局面。
本文转载自公众号七牛云(ID:qiniutek)。
原文链接:
https://mp.weixin.qq.com/s/8lD-HSi6G8QtJxqgOGZr_Q
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
评论