了解最新等保资讯及等保政策
为深入贯彻落实党的二十大精神和习近平总书记关于网络安全的系列重要讲话精神,全面提升电信和互联网行业网络安全防护水平,健全网络综合治理体系,推动电信和互联网行业高质量发展,根据《网络安全法》《数据安全法》《个人信息保护法》《反电信网络诈骗法》等法律法规,结合2023年全国工业和信息化工作会议部署要求,我局决定即日起对全省电信和互联网行业开展网络安全、数据安全、个人信息保护、移动智能终端及互联网应用合规等方面的行政检查工作。现将有关要求通知如下:
一
总体要求
围绕加快推进网络强国建设战略目标,深入贯彻落实《网络安全法》《数据安全法》《个人信息保护法》,坚持以查促建、以查促管、以查促防、以查促改,以防病毒、防入侵、防篡改、防窃密、防黑灰产为重点,加强网络与数据安全风险、合规风险隐患排查,通报检查结果并加大整改力度,强化企业风险防范及主体责任落实,切实做好安全防护,保障公共互联网的持续安全稳定运行,规范互联网行业市场秩序,维护用户合法权益。
二
检查对象
相关企业建设运营的网络、系统、平台、应用、业务,重点是电信和互联网行业关键信息基础设施和重要网络单元及承载的信息系统,包括但不限于:管理支撑系统、公共云服务平台、域名服务系统、移动应用商店、工业互联网平台、物联网服务平台、车联网应用及数据服务平台、电子商务平台、网络支付平台、网络游戏运营平台、网约车信息服务平台、移动智能终端及移动应用分发平台等。
三
检查主要内容
(一)网络与数据安全制度机制
是否成立企业网络安全、数据安全、个人信息保护工作领导机构和负责部门,是否制定企业内部的网络安全、数据安全、个人保护相关管理制度和工作机制,制度中是否包含专项经费保障,是否制订网络安全突发事件应急预案并开展演练,是否开展相关宣贯教育培训。
(二)网络安全防护检查
是否对正式上线运行的网络和系统进行单元划分、定级并在“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)进行备案,定级备案信息是否完整、准确,是否按要求开展符合性评测及安全风险评估工作。是否采取符合安全防护标准要求的安全监测、访问控制、边界防护等技术措施,及时发现和有效防范计算机病毒、网络攻击、网络入侵等危害网络安全的行为,是否存在可导致网络与系统阻塞、中断、瘫痪或者被非法控制等严重危害的高危漏洞、弱口令等重大安全隐患和木马、病毒、僵尸程序等恶意程序。
(三)数据安全和个人信息保护检查
检查数据的分类分级管理、重要数据相关环节安全防护、安全评估、日志审计,数据的采集与使用规范、数据合作方的监督管理、用户账号注销服务、隐私政策和个人信息收集使用合规情况等。
(四)工业互联网、车联网、物联网检查
检查各单位平台设备安全防护情况,重点检查重点工业互联网服务平台、联网工控资产、车联网应用与数据服务平台、物联网服务平台等相关系统、平台的安全状况。
(五)市场秩序和用户权益检查
是否存在违反《规范互联网信息服务市场秩序若干规定》(工业和信息化部令第20号)、《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)、《工业和信息化部关于开展互联网行业市场秩序专项整治行动的通知》(工信部信管函〔2021〕165号)、《关于进一步规范移动智能终端应用软件预置行为的通告》(工信部联信管函〔2022〕269号)等规定的相关问题。
(六)互联网基础资源合规检查
部署在公共互联网的网站、Web系统、移动应用程序(APP)是否履行互联网信息服务备案(ICP备案),ICP备案信息是否真实有效,是否存在未履行备案变更和备案注销手续(重点检查域名过期/易主备案)的情况,网站底部是否正确标明备案号并链接;是否使用未取得相关许可主体和非法来源提供的网络资源;是否未经许可擅自设置公共互联网域名递归解析服务;是否使用或提供互联网资源从事“秒拨”、“网络代理”、虚拟货币“挖矿”等活动;是否履行防范治理电信网络诈骗活动企业主体责任。
四
工作安排
(一)自查自纠
各网络运行单位要对照法律法规和本次检查重点,组织开展对本单位网络安全、数据安全、个人信息保护和合规管理工作进行自查评估,对自查中发现的安全问题进行及时整改。
(二)监督检查(即日起至12月不定期)
我局将结合监管重点和2023年“双随机”检查工作,并委托专业技术机构分别进行远程检测及现场检查:
1.对全省获得电信业务许可及重要公共服务的网站、平台、系统、应用采取抽测方式进行远程检测;抽查发现重大网络安全风险和隐患的,我局将通过《责令整改通知书》《网络安全威胁监测处置通知》《违法违规APP处置通知》等形式书面向网络运行单位通报,督促限期整改,并根据整改情况做进一步处理。
2. 通过抽取,对相关重点企业和网络、系统、平台、应用运行(运营)单位采取现场访谈、资料查阅、检查检测等方式进行现场检查(另行通知)。
(三)整改问责
对检查过程中发现的问题,各单位要高度重视,认真整改,及时向我局报告整改情况。发现存在违反法律法规行为、问题逾期不改正或导致危害网络与数据安全等严重后果的,我局将依法依规给予行政处罚并纳入不良名单和失信名单。
各单位要强化主体责任和问题导向,根据检查重点加强自查评估,增强问题发现和整改能力,举一反三,健全问题闭环管理机制,切实提升自身网络数据安全防护能力和业务应用合规水平。
特此通知。(联系电话:网络数据安全020-87302705,应用合规020-87302657)
来源:深圳市网络与信息安全行业协会 广东省通信管理局